Why do I receive 403 Access Denied when I use an S3 REST API origin in my CloudFront distribution?

Amazon Web Services

7 Jun 202416:07

Summary

TLDRこのビデオでは、AWSのクラウドサポートエンジニアであるAaronが、Amazon CloudFrontの403アクセス拒否エラーを特定し解決する方法を紹介しています。特に、Amazon S3のREST APIオリジンを使用する場合のエラー対応について、Origin Access Control（OAC）の設定や、AWS KMSで暗号化されたオブジェクトへのアクセス権限の付与、そしてオブジェクト所有者の不一致を解決する手順を解説しています。また、CloudFrontの標準ログとS3のサーバーアクセスログを活用して問題を調査し、403エラーを解決するためのベストプラクティスを紹介しています。

Takeaways

🌐 AWSのCloudFrontの403アクセス拒否エラーを特定し解決する方法について説明しています。
📁 S3バケットをCloudFrontのオリジンとして設定する方法は、REST APIエンドポイントまたはウェブサイトエンドポイントのいずれかです。
🔍 CloudFrontコンソールでS3オリジンタイプを確認する方法が紹介されています。
🛡️ S3 REST APIオリジンを使用するCloudFrontディストリビューションには、オリジンアクセス制御（OAC）またはオリジンアクセスアイデンティティ（OAI）を使用して十分なアクセス権を設定する必要があります。
🔑 S3オブジェクトがAWS KMSで暗号化されている場合、OACを使用してCloudFrontがS3に署名付きリクエストを送信できるようにすることが推奨されています。
📝 KMSキーポリシーを更新して、OACにキーを使用する権限を付与する必要があります。
🔍 S3バケットのオブジェクトがKMSで暗号化されているか確認する方法が示されています。
📜 CloudFrontとS3 REST APIオリジンでOACまたはOAIを使用する場合のバケットポリシーの確認方法が説明されています。
🤖 オブジェクト所有者が異なるAWSアカウントに属する場合、403エラーが発生する可能性があるため、所有権の不一致を解決する手順が提供されています。
🚫 CloudFrontがS3 REST APIオリジンにリクエストを転送する際にオブジェクトが存在しない場合、S3は403エラーを返すことに注意してください。
🗑️ CloudFrontのキャッシュから403エラーをクリアするために、無効化（Invalidation）を作成する方法が紹介されています。
📄 CloudFrontのルートにアクセスする際には、デフォルトのルートオブジェクトを指定する必要があります。
📊 CloudFrontの標準ログとS3のサーバーアクセスログを実装して、403エラーのテストや調査を行うことが推奨されています。

Q & A

Amazon CloudFrontの403アクセス拒否エラーはどのように識別しますか？
-CloudFrontコンソールで対象のディストリビューションを選択し、オリジンタブでS3オリジンのドメイン値を確認します。値がexamplebucket.s3.region.amazonaws.comの形式であればREST APIエンドポイントを示し、examplebucket.s3-website-region.amazonaws.comの形式であればウェブサイトエンドポイントを示します。
S3バケットをCloudFrontオリジンとして構成する方法は？
-S3バケットをCloudFrontオリジンとして構成するには、バケットのREST APIエンドポイントまたはウェブサイトエンドポイントとして設定します。AWSマネジメントコンソールを使用して、CloudFrontディストリビューションのオリジンタブでオリジンタイプを確認します。
オリジンアクセスコントロール(OAC)を使用する場合の設定手順は？
-CloudFrontコンソールで、セキュリティの下にあるオリジンアクセスを選択し、デフォルトのコントロール設定タブでコントロール設定を作成します。名前を入力し、署名の動作として「リクエストに署名」を選択します。OACの署名動作が「リクエストに署名しない」に設定されていると403エラーが発生します。
AWS KMSで暗号化されたオブジェクトに対する設定手順は？
-KMSキーのポリシーを更新してOACにキー使用権限を付与します。KMSコンソールでキーを選択し、キーのポリシーを編集して必要なポリシーを適用します。
バケットポリシーを確認する方法は？
-OACをCloudFrontディストリビューションに関連付けると、必要なバケットポリシーが生成されます。生成されたポリシーをコピーして、S3バケットのパーミッションセクションに貼り付けて保存します。
オブジェクトの所有者が異なる場合の対処方法は？
-S3バケットのオーナーアカウントとオブジェクトのオーナーアカウントが異なる場合、403エラーが発生します。オブジェクトの所有権を変更するか、必要なACL権限を設定します。
403エラーのキャッシュをクリアする方法は？
-CloudFrontディストリビューションの無効化タブで無効化を作成し、オブジェクトのURIパスを入力して無効化を作成します。これにより、CloudFrontのキャッシュがクリアされ、新しいオリジンリクエストが行われます。
ディストリビューションのルートへのアクセス時に403エラーが発生する場合の対処法は？
-デフォルトルートオブジェクトを指定する必要があります。CloudFrontコンソールでディストリビューションを編集し、デフォルトルートオブジェクトにS3の対象オブジェクトを設定します。
S3オブジェクト名の大文字小文字の区別に関する注意点は？
-S3オブジェクト名は大文字小文字を区別します。CloudFrontへのリクエストURIがS3オブジェクト名と完全に一致することを確認してください。
CloudFrontとS3のログを活用して403エラーを調査する方法は？
-CloudFront標準ログとS3サーバアクセスログを有効にします。CloudFrontログにはリクエスト結果、URI、HTTP応答コードが記録され、S3ログにはオブジェクトキー、操作、HTTPステータスが記録されます。