CloudFront 响应 403 Forbidden 而不是触发 Lambda
CloudFront responds with 403 Forbidden instead of triggering Lambda
这是一个 CDN 架构,用于调整图像大小并通过 AWS CloudFront 提供它们:
如果在 S3 存储桶中找不到图像,它会发出 307 临时重定向(而不是 404)以通过 API 网关访问 Lambda。 Lambda 调整图像大小(基于 S3 存储桶中的原始图像)并将其上传到 S3 存储桶中。浏览器再次永久重定向到包含新生成图像的 S3 存储桶。
当我想通过 CloudFront 访问同一图像时,收到 403 Forbidden 错误。它来自 S3 或 CloudFront。如状态所示,这可能与访问权限有关。
为什么将 CloudFront 添加到工作请求链中会导致 403 错误?
什么有效:
https://{bucket}.s3-website-{region}.amazonaws.com/100x100/image.jpg
HTTP/1.1 307 Temporary Redirect
x-amz-id-2: xxxx
x-amz-request-id: xxxx
Date: Sat, 19 Aug 2017 15:37:12 GMT
Location: https://{gateway}.execute-api.{region}.amazonaws.com/prod/resize?key=100x100/image.jpg
Content-Length: 0
Server: AmazonS3
https://{gateway}.execute-api.{region}.amazonaws.com/prod/resize?key=100x100/image.jpg
HTTP/1.1 301 Moved Permanently
Content-Type: application/json
Content-Length: 0
Connection: keep-alive
Date: Sat, 19 Aug 2017 15:37:16 GMT
x-amzn-RequestId: xxxx
location: http://{bucket}.s3-website-eu-west-1.amazonaws.com/100x100/image.jpg
X-Amzn-Trace-Id: xxxx
X-Cache: Miss from cloudfront
Via: 1.1 {distribution}.cloudfront.net (CloudFront)
X-Amz-Cf-Id: xxxx
http://{bucket}.s3-website-{region}.amazonaws.com/100x100/image.jpg
HTTP/1.1 200 OK
x-amz-id-2: xxxx
x-amz-request-id: xxxx
Date: Sat, 19 Aug 2017 15:37:18 GMT
Last-Modified: Sat, 19 Aug 2017 15:37:17 GMT
x-amz-version-id: null
ETag: xxxx
Content-Type: image/png
Content-Length: 20495
Server: AmazonS3
什么不起作用:
https://{distribution}.cloudfront.net/100x100/image.jpg
HTTP/1.1 403 Forbidden
Content-Type: application/xml
Transfer-Encoding: chunked
Connection: keep-alive
Date: Sat, 19 Aug 2017 15:38:24 GMT
Server: AmazonS3
X-Cache: Error from cloudfront
Via: 1.1 {distribution}.cloudfront.net (CloudFront)
X-Amz-Cf-Id: xxxx
我已将 S3 存储桶作为源添加到 CloudFront
CloudFront 还缓存来自 S3 的 40x 50x 状态代码(文档:http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HTTPStatusCodes.html#HTTPStatusCodes-cached-errors)。
您应该使已调整大小的 img 路径的 Cloudfront 缓存无效。您可以通过从您的 Lambda 函数调用 CreateInvalidation API 来实现。
文档:
该错误是由于将 REST 端点(例如 s3.amazonaws.com)用于类似网站的功能(重定向、html 错误消息和索引文档)引起的。这些功能仅由网站端点提供(例如 bucketname.s3-website-us-east-1.amazonaws.com)。
http://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteEndpoints.html
这让我感到困惑,因为在创建 CloudFront 分发时,REST 端点是通过控制台中的自动完成提供的。必须手动输入正确的端点。
这是一个 CDN 架构,用于调整图像大小并通过 AWS CloudFront 提供它们:
如果在 S3 存储桶中找不到图像,它会发出 307 临时重定向(而不是 404)以通过 API 网关访问 Lambda。 Lambda 调整图像大小(基于 S3 存储桶中的原始图像)并将其上传到 S3 存储桶中。浏览器再次永久重定向到包含新生成图像的 S3 存储桶。
当我想通过 CloudFront 访问同一图像时,收到 403 Forbidden 错误。它来自 S3 或 CloudFront。如状态所示,这可能与访问权限有关。
为什么将 CloudFront 添加到工作请求链中会导致 403 错误?
什么有效:
https://{bucket}.s3-website-{region}.amazonaws.com/100x100/image.jpg
HTTP/1.1 307 Temporary Redirect
x-amz-id-2: xxxx
x-amz-request-id: xxxx
Date: Sat, 19 Aug 2017 15:37:12 GMT
Location: https://{gateway}.execute-api.{region}.amazonaws.com/prod/resize?key=100x100/image.jpg
Content-Length: 0
Server: AmazonS3
https://{gateway}.execute-api.{region}.amazonaws.com/prod/resize?key=100x100/image.jpg
HTTP/1.1 301 Moved Permanently
Content-Type: application/json
Content-Length: 0
Connection: keep-alive
Date: Sat, 19 Aug 2017 15:37:16 GMT
x-amzn-RequestId: xxxx
location: http://{bucket}.s3-website-eu-west-1.amazonaws.com/100x100/image.jpg
X-Amzn-Trace-Id: xxxx
X-Cache: Miss from cloudfront
Via: 1.1 {distribution}.cloudfront.net (CloudFront)
X-Amz-Cf-Id: xxxx
http://{bucket}.s3-website-{region}.amazonaws.com/100x100/image.jpg
HTTP/1.1 200 OK
x-amz-id-2: xxxx
x-amz-request-id: xxxx
Date: Sat, 19 Aug 2017 15:37:18 GMT
Last-Modified: Sat, 19 Aug 2017 15:37:17 GMT
x-amz-version-id: null
ETag: xxxx
Content-Type: image/png
Content-Length: 20495
Server: AmazonS3
什么不起作用:
https://{distribution}.cloudfront.net/100x100/image.jpg
HTTP/1.1 403 Forbidden
Content-Type: application/xml
Transfer-Encoding: chunked
Connection: keep-alive
Date: Sat, 19 Aug 2017 15:38:24 GMT
Server: AmazonS3
X-Cache: Error from cloudfront
Via: 1.1 {distribution}.cloudfront.net (CloudFront)
X-Amz-Cf-Id: xxxx
我已将 S3 存储桶作为源添加到 CloudFront
CloudFront 还缓存来自 S3 的 40x 50x 状态代码(文档:http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/HTTPStatusCodes.html#HTTPStatusCodes-cached-errors)。
您应该使已调整大小的 img 路径的 Cloudfront 缓存无效。您可以通过从您的 Lambda 函数调用 CreateInvalidation API 来实现。
文档:
该错误是由于将 REST 端点(例如 s3.amazonaws.com)用于类似网站的功能(重定向、html 错误消息和索引文档)引起的。这些功能仅由网站端点提供(例如 bucketname.s3-website-us-east-1.amazonaws.com)。
http://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteEndpoints.html
这让我感到困惑,因为在创建 CloudFront 分发时,REST 端点是通过控制台中的自动完成提供的。必须手动输入正确的端点。