1

我正在尝试使用以 S3 存储桶作为我的来源的 Cloudfront 私有分发来提供内容。

我的存储桶中有一个图像文件用于测试目的,其权限设置为私有。我已经设置了我的存储桶策略,因此 Cloudfront Origin Access Identity 获得了权限

{
"Version": "2008-10-17",
"Id": "PolicyForCloudFrontPrivateContent",
"Statement": [
    {
        "Sid": "1",
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity **************"
        },
        "Action": "s3:GetObject",
        "Resource": "arn:aws:s3:::studeersnel.{{my-bucket}}/*"
    }
]
}

当我将我的 Cloudfront 分发设置为公共(不使用签名的 url)时,它工作正常。无法使用直接 S3 链接访问该对象,但可以使用 Cloudfront url 访问它。

现在,当我在“默认缓存行为设置”下将“限制查看者访问(使用签名 URL)”设置为“是”时,它不再起作用了。我收到 403 错误。如果我遵循签名的网址,我会收到以下消息:

<Error>
  <Code>AccessDenied</Code>
  <Message>Access denied</Message>
</Error>

我正在使用 php-sdk 使用以下代码创建我的签名 URL:

require '../vendor/autoload.php';

use Aws\CloudFront\CloudFrontClient;

$cloudFront = CloudFrontClient::factory(array(
    'key' => '********************',
    'secret' => '****************************************',
    'private_key' => '../pk-********************.pem',
    'key_pair_id' => '********************',
));

$hostUrl = 'http://**************.cloudfront.net';
$resourceKey = 'desert.jpg';
$expires = time() + 300;

$signedUrl = $cloudFront->getSignedUrl(array(
    'url'     => $hostUrl . '/' . $resourceKey,
    'expires' => $expires,
));

echo $signedUrl.'<br><br>';
echo '<img src="' . $signedUrl . '">';

任何想法我做错了什么?

4

1 回答 1

1

今天解决了这个问题,所以如果有人遇到同样的问题,我想我会在这里发布解决方案。

我认为这一定是 url 本身的生成问题,所以再次检查了凭据。检查完所有内容后,我决定尝试创建一个新的 Cloudfront 密钥对。出于某种原因,这已经解决了问题。

于 2014-12-24T14:51:05.263 回答