# Código de estado HTTP 403 (permiso denegado)
<a name="http-403-permission-denied"></a>

Un error HTTP 403 significa que el cliente no tiene autorización para acceder al recurso solicitado. El cliente entiende la solicitud, pero no puede autorizar el acceso del lector. Las siguientes son causas comunes cuando CloudFront devuelve este código de estado:

**Topics**
+ [El CNAME alternativo está configurado incorrectamente](#alternate-cname-incorrectly-configured)
+ [AWS WAF se configura en la distribución de CloudFront o en el origen](#aws-waf-configured-on-distribution-origin)
+ [El origen personalizado devuelve un error 403](#custom-origin-returning-403)
+ [El origen de Amazon S3 devuelve un error 403](#s3-origin-403-error)
+ [Las restricciones geográficas devuelven un error 403](#geolocation-403)
+ [La configuración de URL firmada o cookie firmada devuelve un error 403](#signed-URLs-cookies-403)
+ [Las distribuciones apiladas provocan un error 403](#stacked-distributions-403)

## El CNAME alternativo está configurado incorrectamente
<a name="alternate-cname-incorrectly-configured"></a>

Compruebe que ha especificado el CNAME correcto para nuestra distribución. Para utilizar un CNAME alternativo en lugar de la URL predeterminada de CloudFront:

1. Cree un registro CNAME en el DNS para apuntar el CNAME a la URL de distribución de CloudFront.

1. Agregue el CNAME en la configuración de la distribución de CloudFront.

Si crea el registro DNS pero no agrega el CNAME en la configuración de la distribución de CloudFront, la solicitud devolverá un error 403. Para obtener más información sobre la configuración de un CNAME personalizado, consulte [Uso de URL personalizadas añadiendo nombres de dominio alternativos (CNAME)](CNAMEs.md).

## AWS WAF se configura en la distribución de CloudFront o en el origen
<a name="aws-waf-configured-on-distribution-origin"></a>

Cuando AWS WAF se sitúa entre el cliente y CloudFront, CloudFront no puede distinguir entre un código de error 403 devuelto por el origen y un código de error 403 devuelto por AWS WAF cuando se bloquea una solicitud.

Para encontrar el origen del código de estado 403, busque en la regla de la lista de control de acceso (ACL) web de AWS WAF una solicitud bloqueada. Para obtener más información, consulte los temas siguientes:
+ [AWS WAF Listas de control de acceso web (ACL web) de)](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html)
+ [Prueba y ajuste de las protecciones de AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html)

## El origen personalizado devuelve un error 403
<a name="custom-origin-returning-403"></a>

Si utiliza un origen personalizado, es posible que aparezca un error 403 si tiene una configuración de firewall personalizada en el origen. Para solucionar el problema, efectúe la solicitud directamente al origen. Si puede reproducir el error sin CloudFront, significa que el origen está provocando el error 403. 

Si el origen personalizado provoca el error, consulte los registros del origen para identificar la posible causa del error. Para obtener más información, consulte los siguientes temas de solución de problemas:
+ [Cómo soluciono los errores HTTP 403 de API Gateway?](https://aws.amazon.com/premiumsupport/knowledge-center/api-gateway-troubleshoot-403-forbidden/ )
+ [Cómo soluciono los errores de prohibición HTTP 403 del equilibrador de carga de aplicación?](https://repost.aws/knowledge-center/alb-http-403-error)

## El origen de Amazon S3 devuelve un error 403
<a name="s3-origin-403-error"></a>

Es posible que vea un error 403 por las siguientes razones:
+ CloudFront no tiene acceso al bucket de Amazon S3. Esto puede ocurrir si la identidad de acceso de origen (OAI) o el control de acceso de origen (OAC) no están habilitados para la distribución y el bucket es privado.
+ La ruta especificada en la URL solicitada no es correcta.
+ El objeto solicitado no existe.
+ El encabezado del host se ha reenviado con el punto de conexión de la API de REST. Para obtener más información, consulte [Especificación de bucket de encabezado de host HTTP](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#VirtualHostingSpecifyBucket) en la *Guía del usuario de Amazon Simple Storage Service*.
+ Ha configurado páginas de error personalizadas. Para obtener más información, consulte [Cómo CloudFront procesa los errores cuando las páginas de error personalizadas están configuradas](HTTPStatusCodes.md#HTTPStatusCodes-custom-error-pages).

## Las restricciones geográficas devuelven un error 403
<a name="geolocation-403"></a>

Si ha habilitado las restricciones geográficas (también conocidas como bloqueo geográfico) para evitar que los usuarios de ubicaciones geográficas específicas accedan al contenido que está distribuyendo a través de una distribución de CloudFront, los usuarios bloqueados recibirán un error 403.

Para obtener más información, consulte [Restricción de la distribución geográfica de su contenido](georestrictions.md).

## La configuración de URL firmada o cookie firmada devuelve un error 403
<a name="signed-URLs-cookies-403"></a>

Si ha habilitado la opción **Restringir el acceso de lector** en la configuración de comportamiento de la distribución, las solicitudes que no utilicen cookies ni URL firmadas producirán un error 403. Para obtener más información, consulte los temas siguientes:
+ [Distribución de contenido privado con URL firmadas y cookies firmadas](PrivateContent.md)
+ [Cómo soluciono los problemas relacionados con una URL o cookies firmadas en CloudFront?](https://aws.amazon.com/premiumsupport/knowledge-center/cloudfront-troubleshoot-signed-url-cookies/)

## Las distribuciones apiladas provocan un error 403
<a name="stacked-distributions-403"></a>

Si tiene dos o más distribuciones en una cadena de solicitudes al punto de conexión de origen, CloudFront devuelve un error 403. No recomendamos anteponer una distribución a otra.