amazon-web-services - 为什么此 Terraform 托管的 AWS Cloudfront 分发会给出错误 403 AccessDenied?
问题描述
我设置了 Cloudfront 分配、S3 存储桶和相关策略,如下所示:
resource "aws_s3_bucket" "front_end" {
bucket = var.domain_name
acl = "public"
}
data "aws_iam_policy_document" "front_end" {
statement {
sid = "AllowCloudFront"
actions = [
"s3:GetObject"
]
resources = [
"${aws_s3_bucket.front_end.arn}/*"
]
principals {
type = "AWS"
identifiers = [
aws_cloudfront_origin_access_identity.main.iam_arn,
]
}
}
}
resource "aws_s3_bucket_policy" "front_end" {
bucket = aws_s3_bucket.front_end.id
policy = data.aws_iam_policy_document.front_end.json
}
locals {
origin_id = "tdweb-S3-origin"
}
resource "aws_cloudfront_distribution" "main" {
origin {
domain_name = aws_s3_bucket.front_end.bucket_regional_domain_name
origin_id = local.origin_id
s3_origin_config {
origin_access_identity = aws_cloudfront_origin_access_identity.main.cloudfront_access_identity_path
}
}
enabled = true
is_ipv6_enabled = true
default_root_object = "index.html"
aliases = [
var.domain_name,
]
default_cache_behavior {
allowed_methods = ["GET", "HEAD"]
cached_methods = ["GET", "HEAD"]
target_origin_id = local.origin_id
forwarded_values {
query_string = false
cookies {
forward = "none"
}
}
viewer_protocol_policy = "redirect-to-https"
min_ttl = 0
default_ttl = 86400
max_ttl = 31536000
}
restrictions {
geo_restriction {
restriction_type = "none"
}
}
viewer_certificate {
acm_certificate_arn = aws_acm_certificate.main.arn
ssl_support_method = "sni-only"
minimum_protocol_version = "TLSv1"
}
custom_error_response {
error_code = 403
response_code = 200
error_caching_min_ttl = 0
response_page_path = "/"
}
}
resource "aws_cloudfront_origin_access_identity" "main" {
}
resource "aws_route53_record" "root_domain" {
zone_id = aws_route53_zone.external.zone_id
name = var.domain_name
type = "A"
alias {
name = aws_cloudfront_distribution.main.domain_name
zone_id = aws_cloudfront_distribution.main.hosted_zone_id
evaluate_target_health = false
}
}
当我从域访问我的网站时,我得到了这个:
<Error>
<Code>AccessDenied</Code>
<Message>Access Denied</Message>
<RequestId>DHDW5R8Q8R8RFS1J</RequestId>
<HostId>CaKxdDjJ/azq9BUOePWsc1f/O+sLuoex4mtz57JbtAdAZe05v1Vwy+OjNehkiYGN2jeSOPMIO3o=</HostId>
</Error>
按照调试步骤https://aws.amazon.com/premiumsupport/knowledge-center/s3-rest-api-cloudfront-error-403/,我检查了我认为所有可能的问题。
如果您未配置源访问身份 (OAI),则对象必须可公开访问或使用 AWS 签名版本 4 请求。
我正在使用 OAI。
AWS Key Management Service (AWS KMS) 无法加密存储桶中的对象。
我不认为他们是。这不是启用的。
S3 存储桶策略必须允许访问 s3:GetObject。如果存储桶策略授予访问权限,则拥有 S3 存储桶的 AWS 账户也必须拥有该对象。
是的,我的政策就是这样做的。也只涉及一个帐户。
请求的对象必须存在于 S3 存储桶中。如果客户端请求您的分发的根,那么您必须定义一个默认的根对象。
是的,我正在尝试获取路由,并且此配置指向存储桶中的 index.html。
如果您配置了 OAI,则 OAI 必须包含在 S3 存储桶策略中。如果您未配置 OAI,则必须禁用 Amazon S3 阻止公共访问设置。
据我所知,我确实配置了 OAI,这很可能是罪魁祸首,因为我对这一步最不熟悉,但我认为它已配置。我关注了 Terraform 网站上的文档,其中大部分内容都是从那里复制而来的。
有人知道我在这里缺少什么吗?
编辑:这是这个 terraform 生成的 json。
{“版本”:“2012-10-17”,“声明”:[{“Sid”:“AllowCloudFront”,“效果”:“允许”,“主体”:{“AWS”:“arn:aws:iam ::cloudfront:user/CloudFront 源访问身份 E2I7BV2A1PTW72" }, "Action": "s3:GetObject", "Resource": "arn:aws:s3:::my-bucket-name/*" } ] }
解决方案
推荐阅读
- python - 如何使用 Pytest 为已安装的 Django 应用程序运行测试
- typescript - 与受约束的泛型类型一起使用时,Typescript 类型保护不会推断出正确的类型
- c# - 报告深度优先遍历的进度
- html - 通过减小所有盒子的宽度在一行中显示整个弹性盒子
- xamarin - Visual Studio Mac中的本机链接失败的xamarin ios
- reactjs - 如何在父组件测试中测试子组件props方法
- javascript - 如何在 Chart.JS 中制作动态增长的数据图表?
- javascript - Javascript自动计算
- intellij-idea - IntelliJ-添加testNG maven依赖带来junit
- angular - 在 mat-radio-group 中选择了多个 mat-radio-button