Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Memecahkan masalah distribusi

PDF
RSS
Mode fokus
Memecahkan masalah distribusi - Amazon CloudFront
CloudFront mengembalikan sebuah Access Denied kesalahanCloudFront mengembalikan sebuah InvalidViewerCertificate kesalahan ketika saya mencoba menambahkan nama domain alternatifCloudFront mengembalikan kesalahan catatan DNS yang tidak dikonfigurasi dengan benar ketika saya mencoba menambahkan CNAME baruSaya tidak dapat melihat file dalam distribusi sayaPesan galat: Sertifikat: <certificate-id>sedang digunakan oleh CloudFront

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan informasi di sini untuk membantu Anda mendiagnosis dan memperbaiki kesalahan sertifikat, masalah yang ditolak akses, atau masalah umum lainnya yang mungkin Anda temui saat menyiapkan situs web atau aplikasi Anda dengan distribusi Amazon CloudFront .

CloudFront mengembalikan sebuah Access Denied kesalahan

Jika Anda menggunakan bucket Amazon S3 sebagai asal CloudFront distribusi, Anda mungkin melihat pesan galat Access Denied (403) dalam contoh berikut.

Anda menentukan objek yang hilang dari asal Amazon S3

Verifikasi bahwa objek yang diminta di bucket Anda ada. Nama objek peka huruf besar/kecil. Memasukkan nama objek yang tidak valid dapat mengembalikan kode kesalahan akses ditolak.

Misalnya, jika Anda mengikuti CloudFront tutorial untuk membuat distribusi dasar, Anda membuat bucket Amazon S3 sebagai asal dan mengunggah file contohindex.html.

Di browser web Anda, jika Anda memasukkan, https://d111111abcdef8.cloudfront.net/INDEX.HTML bukanhttps://d111111abcdef8.cloudfront.net/index.html, Anda mungkin melihat pesan serupa karena index.html file di jalur URL peka huruf besar/kecil. 

<Error>
<Code>AccessDenied</Code>
<Message>Access Denied</Message>
<RequestId>22Q367AHT7Y1ABCD</RequestId>
<HostId>
ABCDE/Vg+7PSNa/d/IfFQ8Fb92TGQ0KH0ZwG5iEKbc6+e06DdMS1ZW+ryB9GFRIVtS66rSSy6So=
</HostId>
</Error>

Asal Amazon S3 Anda tidak memiliki izin IAM

Pastikan Anda telah memilih bucket Amazon S3 yang benar sebagai domain dan nama asal. Asal (Amazon S3) harus memiliki izin yang benar.

Jika Anda tidak menentukan izin yang benar, pesan yang ditolak akses berikut dapat muncul untuk pemirsa Anda. 

<Code>AccessDenied</Code>
<Message>User: arn:aws:sts::856369053181:assumed-role/OriginAccessControlRole/EdgeCredentialsProxy+EdgeHostAuthenticationClient is not authorized to perform: kms:Decrypt on the resource associated with this ciphertext because the resource does not exist in this Region, no resource-based policies allow access, or a resource-based policy explicitly denies access</Message>
<RequestId>22Q367AHT7Y1ABCD/RequestId>
<HostId>
ABCDE/Vg+7PSNa/d/IfFQ8Fb92TGQ0KH0ZwG5iEKbc6+e06DdMS1ZW+ryB9GFRIVtS66rSSy6So=
</HostId>
</Error>
catatan

Dalam pesan kesalahan ini, ID akun 856369053181 adalah akun terkelola. AWS

Saat Anda mendistribusikan konten dari Amazon S3 dan Anda juga menggunakan enkripsi sisi layanan AWS Key Management Service (AWS KMS) (SSE-KMS), ada izin IAM tambahan yang perlu Anda tentukan untuk kunci KMS dan bucket Amazon S3. CloudFront Distribusi Anda memerlukan izin ini untuk menggunakan kunci KMS, yang digunakan untuk enkripsi bucket Amazon S3 asal..

Konfigurasi kebijakan bucket Amazon S3 memungkinkan distribusi mengambil objek CloudFront terenkripsi untuk pengiriman konten.

Untuk memverifikasi izin bucket Amazon S3 dan kunci KMS

  1. Verifikasi bahwa kunci KMS yang Anda gunakan adalah kunci yang sama dengan yang digunakan bucket Amazon S3 Anda untuk enkripsi default. Untuk informasi selengkapnya, lihat Menentukan enkripsi sisi server dengan AWS KMS (SSE-KMS) di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

  2. Verifikasi bahwa objek dalam bucket dienkripsi dengan kunci KMS yang sama. Anda dapat memilih objek apa pun dari bucket Amazon S3 dan memeriksa pengaturan enkripsi sisi server untuk memverifikasi ARN kunci KMS.

  3. Edit kebijakan bucket Amazon S3 untuk memberikan CloudFront izin memanggil operasi GetObject API dari bucket Amazon S3. Untuk contoh kebijakan bucket Amazon S3 yang menggunakan kontrol akses asal, lihat. Berikan izin kontrol akses asal untuk mengakses bucket S3

  4. Edit kebijakan kunci KMS untuk memberikan CloudFront izin untuk melakukan tindakan keEncrypt,Decrypt, danGenerateDataKey*. Untuk menyelaraskan dengan izin hak istimewa terkecil, tentukan Condition elemen sehingga hanya CloudFront distribusi yang ditentukan yang dapat melakukan tindakan yang tercantum. Anda dapat menyesuaikan kebijakan untuk AWS KMS kebijakan yang ada. Untuk contoh kebijakan kunci KMS, lihat. SSE-KMS

Jika Anda menggunakan identitas akses asal (OAI) alih-alih OAC, izin ke bucket Amazon S3 sedikit berbeda karena Anda memberikan izin ke identitas, bukan. Layanan AWS Untuk informasi selengkapnya, lihat Berikan izin identitas akses asal untuk membaca file di bucket Amazon S3.

Jika Anda masih tidak dapat melihat file dalam distribusi, lihatSaya tidak dapat melihat file dalam distribusi saya.

Anda menggunakan kredensyal yang tidak valid atau tidak memiliki izin yang memadai

Pesan galat Access Denied dapat muncul jika Anda menggunakan AWS SCT kredensyal yang salah atau kedaluwarsa (kunci akses dan kunci rahasia) atau peran IAM atau pengguna Anda tidak memiliki izin yang diperlukan untuk melakukan tindakan pada sumber daya. CloudFront Untuk informasi selengkapnya tentang pesan galat akses ditolak, lihat Memecahkan masalah akses ditolak pesan galat di Panduan Pengguna IAM.

Untuk informasi tentang cara kerja IAM CloudFront, lihatIdentity and Access Management untuk Amazon CloudFront.

CloudFront mengembalikan sebuah InvalidViewerCertificate kesalahan ketika saya mencoba menambahkan nama domain alternatif

Jika CloudFront menampilkan InvalidViewerCertificate kesalahan saat Anda mencoba menambahkan nama domain alternatif (CNAME) ke distribusi Anda, tinjau informasi berikut untuk membantu memecahkan masalah. Kesalahan ini dapat menunjukkan bahwa salah satu masalah berikut ini harus diselesaikan sebelum Anda dapat menambahkan nama domain alternatif dengan sukses.

Kesalahan berikut tercantum dalam urutan CloudFront pemeriksaan otorisasi untuk menambahkan nama domain alternatif. Ini dapat membantu Anda memecahkan masalah karena berdasarkan kesalahan yang CloudFront muncul, Anda dapat mengetahui pemeriksaan verifikasi mana yang berhasil diselesaikan.

Tidak ada sertifikat terlampir pada distribusi Anda.

Untuk menambahkan nama domain alternatif (CNAME), Anda harus melampirkan sertifikat yang valid dan tepercaya ke distribusi Anda. Silakan tinjau persyaratan, dapatkan sertifikat yang valid yang memenuhinya, lampirkan ke distribusi Anda, kemudian coba lagi. Untuk informasi selengkapnya, lihat Persyaratan untuk menggunakan nama domain alternatif.

Ada terlalu banyak sertifikat dalam rantai sertifikat untuk sertifikat yang Anda lampirkan.

Anda hanya dapat memiliki hingga lima sertifikat dalam rantai sertifikat. Kurangi jumlah sertifikat dalam rantai, kemudian coba lagi.

Rantai sertifikat mencakup satu atau beberapa sertifikat yang tidak berlaku untuk tanggal saat ini.

Rantai sertifikat untuk sertifikat yang telah Anda tambahkan memiliki satu atau beberapa sertifikat yang tidak valid, baik karena sertifikat belum valid atau sertifikat telah kedaluwarsa. Periksa kolom Tidak Valid Sebelum dan Tidak Valid Setelah di sertifikat dalam rantai sertifikat Anda untuk memastikan bahwa semua sertifikat valid berdasarkan tanggal yang Anda cantumkan.

Sertifikat yang Anda lampirkan tidak ditandatangani oleh Otoritas Sertifikat (CA) tepercaya.

Sertifikat yang Anda lampirkan CloudFront untuk memverifikasi nama domain alternatif tidak dapat berupa sertifikat yang ditandatangani sendiri. Informasi tersebut harus ditandatangani oleh CA tepercaya. Untuk informasi selengkapnya, lihat Persyaratan untuk menggunakan nama domain alternatif.

Sertifikat yang Anda lampirkan tidak diformat dengan benar

Nama domain dan format alamat IP yang disertakan dalam sertifikat, dan format sertifikat itu sendiri, harus mengikuti standar sertifikat.

Ada kesalahan CloudFront internal.

CloudFront diblokir oleh masalah internal dan tidak dapat melakukan pemeriksaan validasi untuk sertifikat. Dalam skenario ini, CloudFront mengembalikan kode status HTTP 500 dan menunjukkan bahwa ada CloudFront masalah internal dengan melampirkan sertifikat. Tunggu beberapa menit, lalu coba lagi untuk menambahkan nama domain alternatif dengan sertifikat.

Sertifikat yang Anda lampirkan tidak mencakup nama domain alternatif yang Anda coba tambahkan.

Untuk setiap nama domain alternatif yang Anda tambahkan, CloudFront Anda harus melampirkan sertifikat SSL/TLS yang valid dari Otoritas Sertifikat (CA) tepercaya yang mencakup nama domain, untuk memvalidasi otorisasi Anda untuk menggunakannya. Harap perbarui sertifikat Anda untuk menyertakan nama domain yang mencakup CNAME yang Anda coba tambahkan. Untuk informasi lebih lanjut dan contoh penggunaan nama domain dengan wildcard, lihat Persyaratan untuk menggunakan nama domain alternatif.

CloudFront mengembalikan kesalahan catatan DNS yang tidak dikonfigurasi dengan benar ketika saya mencoba menambahkan CNAME baru

Bila Anda memiliki entri DNS wildcard yang menunjuk ke CloudFront distribusi, jika Anda mencoba menambahkan CNAME baru dengan nama yang lebih spesifik, Anda mungkin mengalami kesalahan berikut:

One or more aliases specified for the distribution includes an incorrectly configured DNS record that points to another CloudFront distribution. You must update the DNS record to correct the problem.

Kesalahan ini terjadi karena CloudFront kueri DNS terhadap CNAME dan entri DNS wildcard menyelesaikan distribusi lain.

Untuk mengatasi ini, pertama buat distribusi lain, lalu buat entri DNS yang menunjuk ke distribusi baru. Terakhir, tambahkan CNAME yang lebih spesifik. Untuk informasi selengkapnya tentang cara menambahkan CNAMEs, lihatTambahkan nama domain alternatif.

Saya tidak dapat melihat file dalam distribusi saya

Jika Anda tidak dapat melihat file dalam CloudFront distribusi Anda, lihat topik berikut untuk beberapa solusi umum.

Apakah Anda mendaftar untuk keduanya CloudFront dan Amazon S3?

Untuk menggunakan Amazon CloudFront dengan asal Amazon S3, Anda harus mendaftar untuk keduanya CloudFront dan Amazon S3, secara terpisah. Untuk informasi selengkapnya tentang mendaftar CloudFront dan Amazon S3, lihat. Siapkan Anda Akun AWS

Apakah izin bucket dan objek Amazon S3 Anda disetel dengan benar?

Jika Anda menggunakan CloudFront dengan asal Amazon S3, versi asli konten Anda disimpan dalam ember S3. Cara termudah untuk digunakan CloudFront dengan Amazon S3 adalah membuat semua objek Anda dapat dibaca publik di Amazon S3. Untuk melakukannya, Anda harus mengaktifkan hak istimewa baca publik secara eksplisit untuk setiap objek yang Anda unggah ke Amazon S3.

Jika konten Anda tidak dapat dibaca publik, Anda harus membuat kontrol akses CloudFront asal (OAC) sehingga CloudFront dapat mengaksesnya. Untuk informasi selengkapnya tentang kontrol akses CloudFront asal, lihatBatasi akses ke asal Amazon Simple Storage Service.

Properti objek dan properti bucket bersifat independen. Anda harus secara eksplisit memberikan hak istimewa ke setiap objek di Amazon S3. Objek tidak mewarisi properti dari buket, dan properti objek harus ditetapkan secara terpisah dari buket.

Apakah nama domain alternatif Anda (CNAME) dikonfigurasi dengan benar?

Jika Anda sudah memiliki catatan CNAME untuk nama domain Anda, perbarui catatan tersebut atau ganti dengan yang baru yang menunjuk ke nama domain distribusi Anda.

Selain itu, pastikan CNAME Anda menyimpan poin ke nama domain distribusi Anda, bukan bucket Amazon S3. Anda dapat mengonfirmasi bahwa catatan CNAME di sistem DNS Anda menunjukkan nama domain distribusi Anda. Untuk melakukannya, gunakan alat DNS sepertidig.

Contoh berikut menunjukkan permintaan penggalian untuk nama domain yang disebut images.example.com dan bagian terkait dari tanggapan. Di bawah ANSWER SECTION, lihat baris yang berisi CNAME. Catatan CNAME untuk nama domain Anda diatur dengan benar jika nilai di sisi kanan CNAME adalah nama domain CloudFront distribusi Anda. Jika itu adalah bucket server asal Amazon S3 atau beberapa nama domain lainnya, maka catatan CNAME diatur dengan tidak benar.

[prompt]> dig images.example.com

; <<> DiG 9.3.3rc2 <<> images.example.com
;; global options:	printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15917
;; flags: qr rd ra; QUERY: 1, ANSWER: 9, AUTHORITY: 2, ADDITIONAL: 0
;; QUESTION SECTION:
;images.example.com.		 IN		A
;; ANSWER SECTION:
images.example.com. 10800 IN	CNAME	d111111abcdef8.cloudfront.net.
...
...

Untuk informasi lebih lanjut tentang CNAMEs, lihatGunakan kustom URLs dengan menambahkan nama domain alternatif (CNAMEs).

Apakah Anda mereferensikan URL yang benar untuk CloudFront distribusi Anda?

Pastikan URL yang Anda referensikan menggunakan nama domain (atau CNAME) CloudFront distribusi Anda, bukan bucket Amazon S3 atau asal kustom Anda.

Apakah Anda memerlukan bantuan untuk memecahkan masalah asal kustom?

Jika Anda AWS perlu membantu Anda memecahkan masalah asal kustom, kami mungkin perlu memeriksa entri X-Amz-Cf-Id header dari permintaan Anda. Jika Anda belum mencatat entri ini, Anda mungkin ingin mempertimbangkannya untuk masa depan. Untuk informasi selengkapnya, lihat Gunakan Amazon EC2 (atau asal kustom lainnya). Untuk bantuan lebih lanjut, lihat Pusat Dukungan AWS.

Pesan galat: Sertifikat: <certificate-id>sedang digunakan oleh CloudFront

Masalah: Anda mencoba menghapus sertifikat SSL/TLS dari toko sertifikat IAM, dan Anda mendapatkan pesan “Sertifikat: <certificate-id>sedang digunakan oleh.” CloudFront

Solusi: Setiap CloudFront distribusi harus dikaitkan dengan CloudFront sertifikat default atau dengan SSL/TLS certificate. Before you can delete an SSL/TLS certificate, you must either rotate the certificate (replace the current custom SSL/TLS certificate with another custom SSL/TLS certificate) or revert from using a custom SSL/TLS sertifikat khusus untuk menggunakan CloudFront sertifikat default. Untuk memperbaikinya, selesaikan langkah-langkah di salah satu prosedur berikut:

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.