生成 CloudFront 签名 URL 的问题;总是拒绝访问

问题描述 投票:0回答:2

我在使用 CloudFront 生成签名 URL 时遇到问题。无论我尝试什么,我都只会得到“访问被拒绝”的响应。

我已在 CloudFront 中创建了一个分配,以及一个 CloudFront 密钥对 ID。我已经下载了该密钥对 ID 的私钥和公钥。

在一个简单的 PHP 脚本中,我正在尝试以下操作:

use Aws\CloudFront\CloudFrontClient;

$cloudfront = new CloudFrontClient([
    'credentials' => [
        'key' => '[redacted]', // Access key ID of IAM user with Administrator policy
        'secret' => '[redacted]', // Secret access key of same IAM user
    ],
    'debug' => true,
    'region' => 'eu-west-1',
    'version' => 'latest',
]);

$expires = strtotime('+6 hours');

$resource = 'https://[redacted].cloudfront.net/mp4/bunny-trailer.mp4';

$url = $cloudfront->getSignedUrl([
    'url' => $resource,
    'policy' => json_encode([
        'Statement' => [
            [
                'Resource' => $resource,
                'Condition' => [
                    'DateLessThan' => [
                        'AWS:EpochTime' => $expires,
                    ],
                ],
            ],
        ],
    ]),
    'expires' => $expires,
    'key_pair_id' => '[redacted]', // Access key ID of CloudFront key pair
    'private_key' => '[redacted]', // Relative path to pk-[redacted].pem file
]);

但是当访问生成的 URL 时,它总是在浏览器中给出错误代码“AccessDenied”。

我做错了什么?

amazon-web-services amazon-cloudfront
2个回答
6
投票

发现问题所在。我的 S3 存储桶中的对象不可公开访问,并且我没有添加源访问身份,因此 CloudFront 无法从我的源(我的 S3 存储桶)中提取对象来缓存它们。

一旦我添加了源访问身份并将其添加到我的 S3 存储桶的策略中,我的对象就可以立即通过我的 CloudFront 分配通过签名 URL 进行访问。

相关文档:https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html#private-content-creating-oai


0
投票

我在使用 Python 3.7 为 S3 对象生成签名 URL 时遇到问题。具体来说,键中带有空格的对象的 URL 会导致“访问被拒绝”错误,而没有空格的对象的 URL 通常工作正常。然而,并非所有没有空格的对象都可以正常工作,并且带有空格的对象始终会失败。

这个网址请帮助我

使用带有私钥的云前端生成签名 URL 的问题..使用 Python 3.7 为带有空格的 S3 对象

© www.soinside.com 2019 - 2024. All rights reserved.