【以下的问题经过翻译处理】 我在尝试使用API网关时遇到了一个问题,其中一个账户遇到了403 Forbidden的错误。 VPCE在两个帐户中都有设置。API网关和其中一个VPCE所在的账户可以正常工作,但第二个帐户不能。被禁止的消息仅是“Forbidden”,并没有太多帮助。有什么想法可以解决这个403的问题吗?
这样调用:
curl -v https://vpce-0c868a4b1293a28b5-6gi9t6mm.execute-api.us-east-1.vpce.amazonaws.com/dev -H 'Host: abc123defg.execute-api.us-east-1.amazonaws.com'
资源策略如下(我用任意数字替换了帐户ID和实际API ID):
vpce-078ec1da4e3a0deb3 = 位于API网关所在帐户中的VPCE.
vpce-0c868a4b1293a28b5 = 位于次要帐户中的VPCE。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "execute-api:Invoke",
"Resource": "arn:aws:execute-api:us-east-1:123456789123:abc123defg/*",
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": [
"vpce-0925a8e90cbab6f12",
"vpce-078ec1da4e3a0deb3",
"vpce-0c868a4b1293a28b5"
],
"aws:SourceIP": [
"10.0.0.0/8",
"63.237.3.169/32"
],
"aws:sourceVpc": "vpc-06f730a7eb116c752"
}
}
},
{
"Effect": "Allow",
"Principal": "*",
"Action": "execute-api:Invoke",
"Resource": "arn:aws:execute-api:us-east-1:1234567891323:abc123defg/*"
}
]
}