Código de estado HTTP 403 (permiso denegado)
Un error HTTP 403 significa que el cliente no tiene autorización para acceder al recurso solicitado. El cliente entiende la solicitud, pero no puede autorizar el acceso del lector. Las siguientes son causas comunes cuando CloudFront devuelve este código de estado:
Temas
El CNAME alternativo está configurado incorrectamente
Compruebe que ha especificado el CNAME correcto para nuestra distribución. Para utilizar un CNAME alternativo en lugar de la URL predeterminada de CloudFront:
-
Cree un registro CNAME en el DNS para apuntar el CNAME a la URL de distribución de CloudFront.
-
Agregue el CNAME en la configuración de la distribución de CloudFront.
Si crea el registro DNS pero no agrega el CNAME en la configuración de la distribución de CloudFront, la solicitud devolverá un error 403. Para obtener más información sobre la configuración de un CNAME personalizado, consulte Uso de URL personalizadas añadiendo nombres de dominio alternativos (CNAME).
AWS WAF se configura en la distribución de CloudFront o en el origen
Cuando AWS WAF se sitúa entre el cliente y CloudFront, CloudFront no puede distinguir entre un código de error 403 devuelto por el origen y un código de error 403 devuelto por AWS WAF cuando se bloquea una solicitud.
Para encontrar el origen del código de estado 403, busque en la regla de la lista de control de acceso (ACL) web de AWS WAF una solicitud bloqueada. Para obtener más información, consulte los temas siguientes:
El origen personalizado devuelve un error 403
Si utiliza un origen personalizado, es posible que aparezca un error 403 si tiene una configuración de firewall personalizada en el origen. Para solucionar el problema, efectúe la solicitud directamente al origen. Si puede reproducir el error sin CloudFront, significa que el origen está provocando el error 403.
Si el origen personalizado provoca el error, consulte los registros del origen para identificar la posible causa del error. Para obtener más información, consulte los siguientes temas de solución de problemas:
El origen de Amazon S3 devuelve un error 403
Es posible que vea un error 403 por las siguientes razones:
-
CloudFront no tiene acceso al bucket de Amazon S3. Esto puede ocurrir si la identidad de acceso de origen (OAI) o el control de acceso de origen (OAC) no están habilitados para la distribución y el bucket es privado.
-
La ruta especificada en la URL solicitada no es correcta.
-
El objeto solicitado no existe.
-
El encabezado del host se ha reenviado con el punto de conexión de la API de REST. Para obtener más información, consulte Especificación de bucket de encabezado de host HTTP en la Guía del usuario de Amazon Simple Storage Service.
-
Ha configurado páginas de error personalizadas. Para obtener más información, consulte Cómo CloudFront procesa los errores cuando las páginas de error personalizadas están configuradas.
Las restricciones geográficas devuelven un error 403
Si ha habilitado las restricciones geográficas (también conocidas como bloqueo geográfico) para evitar que los usuarios de ubicaciones geográficas específicas accedan al contenido que está distribuyendo a través de una distribución de CloudFront, los usuarios bloqueados recibirán un error 403.
Para obtener más información, consulte Restricción de la distribución geográfica de su contenido.
La configuración de URL firmada o cookie firmada devuelve un error 403
Si ha habilitado la opción Restringir el acceso de lector en la configuración de comportamiento de la distribución, las solicitudes que no utilicen cookies ni URL firmadas producirán un error 403. Para obtener más información, consulte los temas siguientes:
Las distribuciones apiladas provocan un error 403
Si tiene dos o más distribuciones en una cadena de solicitudes al punto de conexión de origen, CloudFront devuelve un error 403. No recomendamos anteponer una distribución a otra.
