Доступ AWS CloudFront запрещен в ведро S3

Я пытаюсь установить CloudFront для обслуживания статических файлов, размещенных в моем коврике S3. У меня есть дистрибутив настройки, но я получаю AccessDenied при попытке перейти к файлу CSS (/CSS/stlyle.css) внутри ведра S3:

<Error>
    <Code>AccessDenied</Code>
    <Message>Access Denied</Message>
    <RequestId>E193C9CDF4319589</RequestId>
    <HostId>
xbU85maj87/jukYihXnADjXoa4j2AMLFx7t08vtWZ9SRVmU1Ijq6ry2RDAh4G1IGPIeZG9IbFZg=
    </HostId>
</Error>

Я установил свой дистрибутив CloudFront в свой ведро S3 и создал новый Origin Access Identity policy, который был добавлен автоматически в ведро S3:

{
    "Version": "2008-10-17",
    "Id": "PolicyForCloudFrontPrivateContent",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity E21XQ8NAGWMBQQ"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::myhost.com.cdn/*"
        }
    ]
}

Я что-то пропустил?

Я хочу, чтобы все мои файлы в этом ведре S3 служили через CloudFront...

* ОБНОВЛЕНИЕ *

Этот облачный фронт guide говорит:

По умолчанию ваш ведро Amazon S3 и все объекты в нем являются частными: только учетная запись AWS, которая создала ведро, имеет разрешение на чтение или запись объектов в ней. Если вы хотите разрешить кому-либо доступ к объектам в вашем ковше Amazon S3 с использованием URL-адресов CloudFront, вы должны предоставить публичные разрешения на чтение для объектов. (Это одна из самых распространенных ошибок при работе с CloudFront и Amazon S3. Вы должны явно предоставлять привилегии каждому объекту в ведро Amazon S3.)

Таким образом, на основе этого я добавил новые разрешения для всех объектов внутри ведра S3 до Everyone Read/Download. Теперь я могу получить доступ к файлам.

Но теперь, когда я обращаюсь к файлу типа https://d3u61axijg36on.cloudfront.net/css/style.css, он перенаправляется на S3 URI и HTTP. Как отключить это?

ОТВЕТЫ

Ответ 1

Чтобы помочь с вашим вопросом, я воссоздал ситуацию через:

  • Создал ведро Amazon S3 без политики ведомости
  • Загружено public.jpg и опубликует его через "Сделать общедоступным"
  • Загружено private.jpg и сохранено в нем
  • Создал веб-дистрибутив Amazon CloudFront :
    • Происхождение доменного имени: Выбрано мое ведро S3 из списка
    • Ограничить доступ к ведру: Да
    • Идентификатор доступа к исходным данным: Создать новую идентификацию
    • Разрешить чтение разрешений в bucket: Да, обновить ведро.

Я проверил ведро, и CloudFront добавила политику Bucket, похожую на вашу.

Распределение помечалось как In Progress некоторое время. Как только он сказал Enabled, я обратился к файлам через URL xxx.cloudfront.net:

  • xxx.cloudfront.net/public.jpg перенаправлено меня к URL-адресу S3 http://bucketname.s3.amazonaws.com/public.jpg. Да, я мог видеть файл, но он не должен использовать перенаправление.
  • xxx.cloudfront.net/private.jpg перенаправлено, но я получил Access Denied, потому что это частный файл в S3.

Затем я сделал несколько исследование и обнаружил, что это довольно распространенное явление. Некоторые люди используют обходной путь, указывая свой дистрибутив CloudFront на статический URL-адрес веб-хостинга, но это имеет тот недостаток, что он не будет работать с Identity Access Identity, и я также подозреваю, что он не получит ' бесплатный трафик S3 к скину края.

Итак, я ждал всю ночь, проверил это сегодня утром и все работает нормально.

Итог: Даже если он говорит Enabled, для правильной работы может потребоваться несколько часов (например, на ночь). Затем он будет документироваться.

Ответ 2

В моем случае я использовал несколько истоков с поведением "Path Pattern" вместе с Origin Path в моем ведре S3:

Плохая настройка:

Поведение CloudFront: /images/*My-S3-origin

My-S3-происхождения: Происхождение: /images

Файлы S3: /images/my -image.jpg

Запрос GET: /images/my -image.jpg → 403

Что происходило с тем, что весь запрос CloudFront GET отправляется в начало координат: /image/my-image.jpg с префиксом Origin Path: /images, поэтому запрос в S3 выглядит как /images/images/my-image.jpg, который не существует.

Решение

удалить исходный путь.