Código de status HTTP 403 (Permissão negada)
Um erro HTTP 403 significa que o cliente não está autorizado a acessar o recurso solicitado. O cliente entende a solicitação, mas não pode autorizar o acesso do visualizador. As causas comuns para o CloudFront exibir esse código de status são as seguintes:
Tópicos
O CNAME alternativo está configurado incorretamente.
Verifique se você especificou o CNAME correto para nossa distribuição. Para usar um CNAME alternativo em vez do URL padrão do CloudFront:
-
Crie um registro CNAME no DNS para apontar o CNAME para o URL de distribuição do CloudFront.
-
Adicione o CNAME à configuração de distribuição do CloudFront.
Se você criar o registro DNS e não adicionar o CNAME à configuração de distribuição do CloudFront, a solicitação exibirá um erro 403. Para ter mais informações sobre como configurar um CNAME personalizado, consulte Usar URLs personalizados adicionando nomes de domínio alternativos (CNAMEs).
O AWS WAF está configurado na distribuição do CloudFront ou na origem.
Quando o AWS WAF está entre o cliente e o CloudFront, o CloudFront não consegue diferenciar entre um código de erro 403 exibido por sua origem e um exibido pelo AWS WAF quando uma solicitação é bloqueada.
Para encontrar a origem do código de status 403, confira a regra de lista de controle de acesso (ACL) da web do AWS WAF para ver se há uma solicitação bloqueada. Para obter mais informações, consulte os tópicos a seguir.
A origem personalizada exibe um erro 403
Se você estiver usando uma origem personalizada, poderá ver um erro 403 se tiver uma configuração de firewall personalizada na origem. Para solucionar o problema, faça a solicitação diretamente na origem. Se você conseguir replicar o erro sem o CloudFront, isso significa que a origem está causando o erro 403.
Se a origem personalizada estiver causando o erro, confira os logs de origem para identificar o que pode estar causando o erro. Para ter mais informações, consulte os seguintes tópicos de solução de problemas:
A origem do Amazon S3 exibe um erro 403
Você pode ver um erro 403 pelos seguintes motivos:
-
O CloudFront não tem acesso ao bucket do Amazon S3. Isso poderá acontecer se a identidade do acesso de origem (OAI) ou o controle do acesso de origem (OAC) não estiverem habilitados para sua distribuição e o bucket for privado.
-
O caminho especificado no URL solicitado não está correto.
-
O objeto solicitado não existe.
-
O cabeçalho do host foi encaminhado com o endpoint da API REST. Para ter mais informações, consulte Especificação de bucket do cabeçalho Host HTTP, no Guia do usuário do Amazon Simple Storage Service.
-
Você configurou páginas de erro personalizadas. Para obter mais informações, consulte Como o CloudFront processará erros quando páginas de erro personalizadas estiverem configuradas.
Restrições geográficas exibem um erro 403
Se você habilitou restrições geográficas (também conhecidas como bloqueios geográficos), para impedir que usuários em localizações geográficas específicas acessem o conteúdo que você está distribuindo por meio de uma distribuição do CloudFront, os usuários bloqueados receberão um erro 403.
Para obter mais informações, consulte Restringir a distribuição geográfica do conteúdo.
URL assinado ou configuração de cookie assinado exibe um erro 403
Se você habilitou Restringir acesso do visualizador para a configuração de comportamento da distribuição, as solicitações que não usam cookies assinados ou URLs assinados vão gerar um erro 403. Para obter mais informações, consulte os tópicos a seguir.
Distribuições empilhadas causam um erro 403
Se você tiver duas ou mais distribuições em uma cadeia de solicitações para o endpoint de origem, o CloudFront exibirá um erro 403. Não recomendamos colocar uma distribuição na frente da outra.
