Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Fehlerbehebung bei Problemen mit der Verteilung
Verwenden Sie die Informationen hier, um Ihnen bei der Diagnose und Behebung von Zertifikatsfehlern, Problemen mit verweigertem Zugriff oder anderen häufig auftretenden Problemen zu helfen, die bei der Einrichtung Ihrer Website oder Anwendung mit CloudFront Amazon-Distributionen auftreten können.
CloudFront gibt eine zurück Access Denied error
Wenn Sie einen Amazon S3 S3-Bucket als Ursprung für Ihre CloudFront Distribution verwenden, wird in den folgenden Beispielen möglicherweise die Fehlermeldung Access Denied (403) angezeigt.
Inhalt
Sie haben ein fehlendes Objekt aus dem Amazon S3 S3-Ursprung angegeben
Stellen Sie sicher, dass das angeforderte Objekt in Ihrem Bucket vorhanden ist. Bei Objektnamen wird zwischen Groß- und Kleinschreibung unterschieden. Die Eingabe eines ungültigen Objektnamens kann den Fehlercode „Zugriff verweigert“ zurückgeben.
Wenn Sie beispielsweise dem CloudFront Tutorial zum Erstellen einer Basisdistribution folgen, erstellen Sie einen Amazon S3 S3-Bucket als Ursprung und laden eine index.html Beispieldatei hoch.
Wenn Sie in Ihrem Webbrowser https://d111111abcdef8.cloudfront.net/ statt von eingeben, wird möglicherweise eine ähnliche Meldung angezeigtINDEX.HTMLhttps://d111111abcdef8.cloudfront.net/, da bei der index.htmlindex.html Datei im URL-Pfad zwischen Groß- und Kleinschreibung unterschieden wird.
<Error> <Code>AccessDenied</Code> <Message>Access Denied</Message> <RequestId>22Q367AHT7Y1ABCD</RequestId> <HostId> ABCDE/Vg+7PSNa/d/IfFQ8Fb92TGQ0KH0ZwG5iEKbc6+e06DdMS1ZW+ryB9GFRIVtS66rSSy6So= </HostId> </Error>
Ihrem Amazon S3 S3-Ursprung fehlen IAM-Berechtigungen
Stellen Sie sicher, dass Sie den richtigen Amazon S3 S3-Bucket als Ursprungsdomain und -namen ausgewählt haben. Der Ursprung (Amazon S3) muss über die richtigen Berechtigungen verfügen.
Wenn Sie nicht die richtigen Berechtigungen angeben, kann für Ihre Zuschauer die folgende Meldung „Zugriff verweigert“ angezeigt werden.
<Code>AccessDenied</Code> <Message>User: arn:aws:sts::856369053181:assumed-role/OriginAccessControlRole/EdgeCredentialsProxy+EdgeHostAuthenticationClient is not authorized to perform: kms:Decrypt on the resource associated with this ciphertext because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access</Message> <RequestId>22Q367AHT7Y1ABCD/RequestId> <HostId> ABCDE/Vg+7PSNa/d/IfFQ8Fb92TGQ0KH0ZwG5iEKbc6+e06DdMS1ZW+ryB9GFRIVtS66rSSy6So= </HostId> </Error>
Anmerkung
In dieser Fehlermeldung handelt es sich bei der Konto-ID 856369053181 um ein verwaltetes Konto. AWS
Wenn Sie Inhalte von Amazon S3 verteilen und außerdem AWS Key Management Service (AWS KMS) service-side encryption (SSE-KMS) verwenden, müssen Sie zusätzliche IAM-Berechtigungen für den KMS-Schlüssel und den Amazon S3 S3-Bucket angeben. Ihre CloudFront Distribution benötigt diese Berechtigungen, um den KMS-Schlüssel zu verwenden, der für die Verschlüsselung des ursprünglichen Amazon S3 S3-Buckets verwendet wird.
Die Konfigurationen der Amazon S3 S3-Bucket-Richtlinie ermöglichen es der CloudFront Distribution, die verschlüsselten Objekte für die Inhaltsbereitstellung abzurufen.
Um Ihre Amazon S3 S3-Bucket- und KMS-Schlüsselberechtigungen zu überprüfen
-
Stellen Sie sicher, dass der KMS-Schlüssel, den Sie verwenden, derselbe Schlüssel ist, den Ihr Amazon S3 S3-Bucket für die Standardverschlüsselung verwendet. Weitere Informationen finden Sie unter Serverseitige Verschlüsselung mit AWS KMS (SSE-KMS) angeben im Amazon Simple Storage Service-Benutzerhandbuch.
-
Stellen Sie sicher, dass die Objekte im Bucket mit demselben KMS-Schlüssel verschlüsselt sind. Sie können ein beliebiges Objekt aus dem Amazon S3 S3-Bucket auswählen und die serverseitigen Verschlüsselungseinstellungen überprüfen, um den KMS-Schlüssel-ARN zu überprüfen.
-
Bearbeiten Sie die Amazon S3 S3-Bucket-Richtlinie, um die CloudFront Erlaubnis zu erteilen, den
GetObjectAPI-Vorgang vom Amazon S3 S3-Bucket aus aufzurufen. Ein Beispiel für eine Amazon S3 S3-Bucket-Richtlinie, die Origin Access Control verwendet, finden Sie unterErteilen Sie die CloudFront Erlaubnis, auf den S3-Bucket zuzugreifen. -
Bearbeiten Sie die KMS-Schlüsselrichtlinie, um, und die CloudFront Erlaubnis zu erteilen
EncryptDecrypt, die Aktionen auszuführenGenerateDataKey*. Geben Sie einConditionElement an, sodass nur die angegebene Distribution die aufgelisteten Aktionen ausführen kann, damit nur die angegebene CloudFront Distribution die aufgelisteten Aktionen ausführen kann. Sie können die Richtlinie an Ihre bestehende AWS KMS Richtlinie anpassen. Ein Beispiel für eine KMS-Schlüsselrichtlinie finden Sie unterSSE-KMS.
Wenn Sie Origin Access Identity (OAI) anstelle von OAC verwenden, unterscheiden sich die Berechtigungen für den Amazon S3 S3-Bucket geringfügig, da Sie die Berechtigung für eine Identität statt für die erteilen. AWS-Service Weitere Informationen finden Sie unter Erteilen Sie einer Origin-Zugriffsidentität die Erlaubnis, Dateien im Amazon S3 S3-Bucket zu lesen.
Wenn Sie Ihre Dateien in Ihrer Distribution immer noch nicht anzeigen können, finden Sie weitere Informationen unter. Ich kann die Dateien in meiner Verteilung nicht anzeigen.
Sie verwenden ungültige Anmeldeinformationen oder verfügen nicht über ausreichende Berechtigungen
Eine Fehlermeldung „Zugriff verweigert“ kann angezeigt werden, wenn Sie falsche oder abgelaufene AWS SCT Anmeldeinformationen (Zugriffsschlüssel und geheimer Schlüssel) verwenden oder Ihrer IAM-Rolle oder Ihrem IAM-Benutzer die erforderliche Berechtigung zum Ausführen einer Aktion für eine CloudFront Ressource fehlt. Weitere Informationen zu Fehlermeldungen mit Zugriffsverweigerung finden Sie unter Problembehandlung bei Fehlermeldungen mit Zugriffsverweigerung im IAM-Benutzerhandbuch.
Informationen zur Verwendung von IAM mit finden Sie CloudFront unter. Identity and Access Management für Amazon CloudFront
CloudFront gibt eine zurück InvalidViewerCertificate Fehler, wenn ich versuche, einen alternativen Domainnamen hinzuzufügen
Wenn beim Versuch, Ihrer Distribution einen alternativen Domainnamen (CNAME) hinzuzufügen, ein InvalidViewerCertificate Fehler CloudFront zurückgegeben wird, lesen Sie sich die folgenden Informationen durch, um das Problem zu beheben. Dieser Fehler kann darauf hinweisen, dass Sie eines der folgenden Probleme lösen müssen, bevor Sie den alternativen Domänennamen erfolgreich hinzufügen können.
Die folgenden Fehler sind in der Reihenfolge aufgeführt, in der CloudFront geprüft wird, ob eine Autorisierung für das Hinzufügen eines alternativen Domainnamens vorliegt. Dies kann Ihnen bei der Behebung von Problemen helfen, da Sie anhand des CloudFront zurückgegebenen Fehlers feststellen können, welche Überprüfungsprüfungen erfolgreich abgeschlossen wurden.
- Ihrer Verteilung ist kein Zertifikat angefügt.
-
Um einen alternativen Domänennamen (CNAME) hinzuzufügen, müssen Sie Ihrer Verteilung ein vertrauenswürdiges, gültiges Zertifikat hinzufügen. Überprüfen Sie die Anforderungen, erwerben Sie ein gültiges Zertifikat, das diese Anforderungen erfüllt, und wiederholen Sie den Vorgang. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von alternativen Domänennamen.
- Es gibt zu viele Zertifikate in der Zertifikatskette für das von Ihnen angefügte Zertifikat.
-
Die Zahl der Zertifikate in einer Zertifikatskette ist auf fünf beschränkt. Reduzieren Sie die Anzahl der Zertifikate in der Kette und wiederholen Sie den Vorgang.
- Die Zertifikatskette enthält mindestens ein Zertifikat, das für das aktuelle Datum nicht gültig ist.
-
Die Zertifikatskette für ein von Ihnen hinzugefügtes Zertifikat enthält mindestens ein ungültiges Zertifikat, das entweder noch nicht gültig oder abgelaufen ist. Überprüfen Sie die Felder Not Valid Before (Nicht gültig vor) und Not Valid After (Nicht gültig nach) in den Zertifikaten in Ihrer Zertifikatskette, um sicherzustellen, dass alle Zertifikate basierend auf den von Ihnen aufgelisteten Daten gültig sind.
- Das von Ihnen angefügte Zertifikat wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) signiert.
-
Das Zertifikat, das Sie anhängen, CloudFront um einen alternativen Domainnamen zu verifizieren, kann kein selbstsigniertes Zertifikat sein. Es muss von einer vertrauenswürdigen CA signiert worden sein. Weitere Informationen finden Sie unter Voraussetzungen für die Verwendung von alternativen Domänennamen.
- Das von Ihnen angefügte Zertifikat ist nicht korrekt formatiert.
-
Das Format des Domänennamens und der IP-Adresse im Zertifikat und das Format des Zertifikats selbst müssen den Standards für Zertifikate folgen.
- Es ist ein CloudFront interner Fehler aufgetreten.
-
CloudFront wurde durch ein internes Problem blockiert und es konnten keine Validierungsprüfungen für Zertifikate durchgeführt werden. CloudFront Gibt in diesem Szenario einen HTTP 500-Statuscode zurück und weist darauf hin, dass ein internes CloudFront Problem beim Anhängen des Zertifikats vorliegt. Warten Sie einige Minuten und wiederholen Sie dann den Vorgang, um dem Zertifikat den alternativen Domänennamen hinzuzufügen.
- Das von Ihnen angefügte Zertifikat deckt den alternativen Domänennamen nicht ab, den Sie hinzufügen möchten.
-
Für jeden alternativen Domainnamen, den Sie hinzufügen, CloudFront müssen Sie ein gültiges SSL/TLS-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) anhängen, die den Domainnamen abdeckt, um Ihre Autorisierung zur Verwendung des Domainnamens zu überprüfen. Bitte aktualisieren Sie Ihr Zertifikat, sodass es einen Domänennamen enthält, der den CNAME-Wert abdeckt, den Sie hinzufügen möchten. Weitere Informationen und Beispiele zur Verwendung von Domänennamen mit Platzhalterzeichen finden Sie unter Voraussetzungen für die Verwendung von alternativen Domänennamen.
CloudFront gibt einen falsch konfigurierten DNS-Eintragsfehler zurück, wenn ich versuche, einen neuen CNAME hinzuzufügen
Wenn Sie einen vorhandenen DNS-Platzhaltereintrag haben, der auf eine CloudFront Distribution verweist, kann beim Versuch, einen neuen CNAME mit einem genaueren Namen hinzuzufügen, der folgende Fehler auftreten:
One or more aliases specified for the distribution includes an incorrectly configured DNS record that points to another CloudFront distribution. You must update the DNS record to correct the problem. Dieser Fehler tritt auf, weil das DNS mit dem CNAME CloudFront abgefragt wird und der DNS-Platzhaltereintrag in eine andere Verteilung aufgelöst wird.
Um dieses Problem zu beheben, erstellen Sie zunächst eine weitere Verteilung und dann einen DNS-Eintrag, der auf die neue Verteilung verweist. Fügen Sie abschließend den spezifischeren CNAME hinzu. Weitere Informationen zum Hinzufügen finden Sie CNAMEs unterFügen Sie einen alternativen Domainnamen hinzu.
Ich kann die Dateien in meiner Verteilung nicht anzeigen.
Wenn Sie die Dateien in Ihrer CloudFront Distribution nicht anzeigen können, finden Sie in den folgenden Themen einige gängige Lösungen.
Haben Sie sich sowohl für Amazon S3 als CloudFront auch für Amazon S3 angemeldet?
Um Amazon CloudFront mit einem Amazon S3-Ursprung zu verwenden, müssen Sie sich CloudFront sowohl für Amazon S3 als auch für Amazon S3 separat registrieren. Weitere Informationen zur Registrierung für Amazon S3 CloudFront und Amazon S3 finden Sie unterRichten Sie Ihre ein AWS-Konto.
Sind Ihre Amazon-S3-Bucket- und Objektberechtigungen korrekt festgelegt?
Wenn Sie CloudFront mit einem Amazon S3 S3-Ursprung verwenden, werden die Originalversionen Ihrer Inhalte in einem S3-Bucket gespeichert. Um Ihren Zuschauern die Inhalte bereitzustellen, empfehlen wir Ihnen, CloudFront Origin Access Control (OAC) zu verwenden, um den Zugriff auf den Amazon S3 S3-Bucket zu sichern. Das bedeutet, dass Ihr S3-Bucket nur über CloudFront erreichbar ist. OAC steuert den Zuschauerzugriff und die sichere Bereitstellung über CloudFront. Weitere Informationen zu OAC finden Sie unter. Beschränken Sie den Zugriff auf einen Amazon S3 S3-Ursprung
Weitere Informationen zur Verwaltung Ihres Bucket-Zugriffs finden Sie unter Blockieren des öffentlichen Zugriffs auf Ihren Amazon S3 S3-Speicher im Amazon S3 S3-Benutzerhandbuch.
Objekteigenschaften und Bucket-Eigenschaften existieren unabhängig voneinander. Sie müssen jedem Objekt in Amazon S3 explizit Berechtigungen zuweisen. Objekte erben ihre Eigenschaften nicht von Buckets; Objekteigenschaften müssen unabhängig vom jeweiligen Bucket festgelegt werden.
Ist Ihr alternativer Domänenname (CNAME) richtig konfiguriert?
Wenn Sie bereits über einen CNAME-Datensatz für den Namen Ihrer Domain verfügen, aktualisieren Sie den vorhandenen Datensatz oder ersetzen Sie ihn mit einem neuen, der auf den Domain-Namen Ihrer Verteilung verweist.
Stellen Sie darüber hinaus sicher, dass der CNAME-Datensatz auf den Domänennamen Ihrer Verteilung, und nicht auf das Amazon S3-Bucket zeigt. Sie können überprüfen, ob der CNAME-Datensatz in Ihrem DNS-System auf den Domainnamen Ihrer Verteilung zeigt. Verwenden Sie dafür ein DNS-Tool wie dig.
Das folgende Beispiel zeigt eine Dig-Anfrage für eine Domain mit dem Namen images.example.com sowie den relevanten Teil der Antwort. Unter ANSWER SECTION finden Sie eine Zeile, die den CNAME-Wert enthält. Der CNAME-Eintrag für Ihren Domainnamen ist korrekt eingerichtet, wenn der Wert auf der rechten Seite von CNAME der Domainname Ihrer CloudFront Distribution ist. Wenn das Bucket des Amazon S3-Ursprungsservers oder ein anderer Domainname angegeben wird, ist der CNAME-Datensatz nicht korrekt eingerichtet.
[prompt]> dig images.example.com ; <<> DiG 9.3.3rc2 <<> images.example.com ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15917 ;; flags: qr rd ra; QUERY: 1, ANSWER: 9, AUTHORITY: 2, ADDITIONAL: 0 ;; QUESTION SECTION: ;images.example.com. IN A ;; ANSWER SECTION: images.example.com. 10800 IN CNAME d111111abcdef8.cloudfront.net. ... ...
Weitere Informationen zu finden Sie CNAMEs unter. Verwenden Sie Benutzerdefiniert, URLs indem Sie alternative Domainnamen hinzufügen (CNAMEs)
Verweisen Sie auf die richtige URL für Ihre CloudFront Distribution?
Stellen Sie sicher, dass die URL, auf die Sie verweisen, den Domainnamen (oder CNAME) Ihrer CloudFront Distribution verwendet, nicht Ihren Amazon S3 S3-Bucket oder Ihre benutzerdefinierte Herkunft.
Benötigen Sie Hilfe bei der Fehlerbehebung in Zusammenhang mit einem benutzerdefinierten Ursprungsserver?
Wenn Sie bei der Fehlerbehebung AWS für einen benutzerdefinierten Ursprung helfen müssen, müssen wir wahrscheinlich die X-Amz-Cf-Id Header-Einträge Ihrer Anfragen überprüfen. Wenn Sie diese Einträge nicht bereits protokollieren, sollten Sie das für die Zukunft in Erwägung ziehen. Weitere Informationen finden Sie unter Verwenden Sie Amazon EC2 (oder einen anderen benutzerdefinierten Ursprung). Weitere Hilfe erhalten Sie im AWS
-Supportcenter
Fehlermeldung: Zertifikat: <certificate-id>wird verwendet von CloudFront
Problem: Sie versuchen, ein SSL/TLS-Zertifikat aus dem IAM-Zertifikatsspeicher zu löschen, und Sie erhalten die Meldung „Zertifikat: <certificate-id>wird verwendet von“. CloudFront
Lösung: Jede CloudFront Distribution muss entweder dem CloudFront Standardzertifikat oder einem benutzerdefinierten Zertifikat zugeordnet sein, um das SSL/TLS certificate. Before you can delete an SSL/TLS certificate, you must either rotate the certificate (replace the current custom SSL/TLS certificate with another custom SSL/TLS certificate) or revert from using a custom SSL/TLS Standardzertifikat verwenden zu können. CloudFront Um dies zu beheben, führen Sie die Schritte in einem der folgenden Verfahren aus:
