# Código de status HTTP 403 (Permissão negada)
<a name="http-403-permission-denied"></a>

Um erro HTTP 403 significa que o cliente não está autorizado a acessar o recurso solicitado. O cliente entende a solicitação, mas não pode autorizar o acesso do visualizador. As causas comuns para o CloudFront exibir esse código de status são as seguintes:

**Topics**
+ [O CNAME alternativo está configurado incorretamente.](#alternate-cname-incorrectly-configured)
+ [O AWS WAF está configurado na distribuição do CloudFront ou na origem.](#aws-waf-configured-on-distribution-origin)
+ [A origem personalizada exibe um erro 403](#custom-origin-returning-403)
+ [A origem do Amazon S3 exibe um erro 403](#s3-origin-403-error)
+ [Restrições geográficas exibem um erro 403](#geolocation-403)
+ [URL assinado ou configuração de cookie assinado exibe um erro 403](#signed-URLs-cookies-403)
+ [Distribuições empilhadas causam um erro 403](#stacked-distributions-403)

## O CNAME alternativo está configurado incorretamente.
<a name="alternate-cname-incorrectly-configured"></a>

Verifique se você especificou o CNAME correto para nossa distribuição. Para usar um CNAME alternativo em vez do URL padrão do CloudFront:

1. Crie um registro CNAME no DNS para apontar o CNAME para o URL de distribuição do CloudFront.

1. Adicione o CNAME à configuração de distribuição do CloudFront.

Se você criar o registro DNS e não adicionar o CNAME à configuração de distribuição do CloudFront, a solicitação exibirá um erro 403. Para ter mais informações sobre como configurar um CNAME personalizado, consulte [Usar URLs personalizados adicionando nomes de domínio alternativos (CNAMEs)](CNAMEs.md).

## O AWS WAF está configurado na distribuição do CloudFront ou na origem.
<a name="aws-waf-configured-on-distribution-origin"></a>

Quando o AWS WAF está entre o cliente e o CloudFront, o CloudFront não consegue diferenciar entre um código de erro 403 exibido por sua origem e um exibido pelo AWS WAF quando uma solicitação é bloqueada.

Para encontrar a origem do código de status 403, confira a regra de lista de controle de acesso (ACL) da web do AWS WAF para ver se há uma solicitação bloqueada. Para saber mais, consulte os seguintes tópicos:
+ [AWS WAF Listas de controle de acesso da web (ACLs da web) do)](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl.html)
+ [Testar e ajustar as proteções do AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html)

## A origem personalizada exibe um erro 403
<a name="custom-origin-returning-403"></a>

Se você estiver usando uma origem personalizada, poderá ver um erro 403 se tiver uma configuração de firewall personalizada na origem. Para solucionar o problema, faça a solicitação diretamente na origem. Se você conseguir replicar o erro sem o CloudFront, isso significa que a origem está causando o erro 403. 

Se a origem personalizada estiver causando o erro, confira os logs de origem para identificar o que pode estar causando o erro. Para ter mais informações, consulte os seguintes tópicos de solução de problemas:
+ [Como soluciono erros HTTP 403 do API Gateway?](https://aws.amazon.com/premiumsupport/knowledge-center/api-gateway-troubleshoot-403-forbidden/ )
+ [Como soluciono erros proibidos de HTTP 403 do Application Load Balancer?](https://repost.aws/knowledge-center/alb-http-403-error)

## A origem do Amazon S3 exibe um erro 403
<a name="s3-origin-403-error"></a>

Você pode ver um erro 403 pelos seguintes motivos:
+ O CloudFront não tem acesso ao bucket do Amazon S3. Isso poderá acontecer se a identidade do acesso de origem (OAI) ou o controle do acesso de origem (OAC) não estiverem habilitados para sua distribuição e o bucket for privado.
+ O caminho especificado no URL solicitado não está correto.
+ O objeto solicitado não existe.
+ O cabeçalho do host foi encaminhado com o endpoint da API REST. Para ter mais informações, consulte [Especificação de bucket do cabeçalho Host HTTP](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#VirtualHostingSpecifyBucket), no *Guia do usuário do Amazon Simple Storage Service*.
+ Você configurou páginas de erro personalizadas. Para obter mais informações, consulte [Como o CloudFront processará erros quando páginas de erro personalizadas estiverem configuradas](HTTPStatusCodes.md#HTTPStatusCodes-custom-error-pages).

## Restrições geográficas exibem um erro 403
<a name="geolocation-403"></a>

Se você habilitou restrições geográficas (também conhecidas como bloqueios geográficos), para impedir que usuários em localizações geográficas específicas acessem o conteúdo que você está distribuindo por meio de uma distribuição do CloudFront, os usuários bloqueados receberão um erro 403.

Para obter mais informações, consulte [Restringir a distribuição geográfica do conteúdo](georestrictions.md).

## URL assinado ou configuração de cookie assinado exibe um erro 403
<a name="signed-URLs-cookies-403"></a>

Se você habilitou **Restringir acesso do visualizador** para a configuração de comportamento da distribuição, as solicitações que não usam cookies assinados ou URLs assinados vão gerar um erro 403. Para saber mais, consulte os seguintes tópicos:
+ [Veicular conteúdo privado com URLs e cookies assinados](PrivateContent.md)
+ [Como soluciono problemas relacionados a um URL assinado ou cookies assinados no CloudFront?](https://aws.amazon.com/premiumsupport/knowledge-center/cloudfront-troubleshoot-signed-url-cookies/)

## Distribuições empilhadas causam um erro 403
<a name="stacked-distributions-403"></a>

Se você tiver duas ou mais distribuições em uma cadeia de solicitações para o endpoint de origem, o CloudFront exibirá um erro 403. Não recomendamos colocar uma distribuição na frente da outra.