別のアカウントでアップロードしたファイルにアクセス中にCloudfront 403エラーが発生しました

Question

私はs3バケットの1つを起点サーバーとするCloudfrontディストリビューションを持っています。ファイルはサードパーティの添付ファイルアップローダによってs3にアップロードされます。

クラウドフロント経由でs3のファイルにアクセスしようとすると、アクセス拒否のXML（下記参照）で403禁止されたエラーが発生します。しかし、手動でファイルをs3バケットにアップロードすると、クラウドフロント経由でファイルにアクセスできます。

両方のファイルのアクセス許可は、ファイルの所有者を除いて同じです。私が手動でアップロードしたファイルについては、ファイルの所有者は自分のアカウントであり、アップローダによってアップロードされたファイルについてはアップローダです。サードパーティの添付ファイルアップローダは、オブジェクトのバケット所有者へのフルアクセスを提供します。また、私はバケットアクセスを制限していますが、ビューアアクセスは制限していません。

このエラーが発生する可能性があります理由は何ですか？これをどうデバッグするのですか？

Answer 1

「アクセスが拒否されました」という応答は、S3のオブジェクトが利用可能になる前のCloudFrontによってキャッシュされたS3からの応答である可能性があります。

たとえば、CloudFront URLを試しても、そのファイルがS3に存在しない場合は、「アクセス拒否」という応答が表示されます。ファイルをアップロードした後でも、CloudFrontはTTLの終わりまで「アクセス拒否」応答をキャッシュします。この間、「アクセスが拒否されました」という応答が引き続き表示されます。

配信を無効にしてみます。その後、ファイルを要求し、正しい応答が得られるかどうかを確認します。

これで問題が解決する場合は、S3に存在する前にCloudFrontからオブジェクトを要求しないようにする方法を理解する必要があります。

Answer 2

OAIを使用してCloudFront経由でコンテンツを配信するS3バケットにコンテンツをアップロードする場合、アップロードされたファイルには、-grant read = id = "OAI-canonical-ID"が追加されたOAI標準IDが必要ですファイルはuploadeです。また、S3バケット所有者をgrant full = id = "BucketOwnerID"として追加します。 aws cliはアップロードを実行するために使用されました。使用する方法に合わせて調整してください。 ファイルをS3バケットに表示すると、アクセス権のCloudFrontが受領者としてリストされます。ファイルはCloudFront経由で読み込み可能である必要があります。