【CloudFront】オリジンのS3にないオブジェクトにアクセスしたら404を返したい

CloudFrontのオリジンであるS3にないオブジェクトへのリクエストに403が返ってきます。

// S3に noobject というフォルダはない
$ curl -I https://<CloudFrontのドメイン>/noobject
HTTP/2 403 
content-type: application/xml
date: Sun, 30 Jul 2023 12:49:10 GMT
server: AmazonS3
x-cache: Error from cloudfront
via: 1.1 ×××××××××××××××.cloudfront.net (CloudFront)
x-amz-cf-pop: ×××××
x-amz-cf-id: ××××××××××××××××××××××××××××××

// S3に noobject というフォルダはない

$ curl -I https://<CloudFrontのドメイン>/noobject

HTTP/2 403

content-type: application/xml

date: Sun, 30 Jul 2023 12:49:10 GMT

server: AmazonS3

x-cache: Error from cloudfront

via: 1.1 ×××××××××××××××.cloudfront.net (CloudFront)

x-amz-cf-pop: ×××××

x-amz-cf-id: ××××××××××××××××××××××××××××××

403 Forbiddenであり、

オブジェクトがないのに「権限で見れません」が返ってきているのに違和感があります。

なので、404 Not Found が返ってくるように設定していきます！

Terraformを使って設定していきます

・バージョン

$ terraform providers -version
Terraform v1.4.2
on linux_amd64
+ provider registry.terraform.io/hashicorp/aws v4.67.0

$ terraform providers -version

Terraform v1.4.2

on linux_amd64

+ provider registry.terraform.io/hashicorp/aws v4.67.0

原因
設定
動作確認
参考記事

原因

オリジンを S3 とした CloudFront に対して、存在しないオブジェクトへアクセスした際の HTTP ステータスコードが 403 Forbidden になったときの対処方法 | DevelopersIO

オリジンを S3 とした CloudFront に対して、存在しないオブジェクトへアクセスした場合、デフォルトの設定では HTTP ステータスコード 403 Forbidden が返ります。こちらの事象に対して、HTTP ステータスコード 404 Not Found を返す方法をご紹介いたします。

↑の記事より、S3のバケットポリシーで許可している権限が足りていないことが原因。

s3:GetObject だけでなく、s3:ListBucket も必要だということ。

GetObjectだけだと、

オブジェクトがない → とってこれなかった（List ないのでオブジェクトの有無はわからん）
　→ 404 Not Found ではなく、403 Forbidden 返しておくか

みたいな流れでエラーコードが返ってきているのでしょうか？

ドキュメントはなかったので、完全に憶測ですが。。。

設定

S3のバケットポリシーを定義している aws_iam_policy_document に追記します。

data "aws_iam_policy_document" "example" {
  # CloudFrontに対して GetObject , ListBucket を許可
  statement {
    principals {
      type = "Service"
      identifiers = [ "cloudfront.amazonaws.com" ]
    }
    actions = [
      "s3:GetObject",
      "s3:ListBucket"
    ]
    resources = [
      "${aws_s3_bucket.example.arn}/*",
      "${aws_s3_bucket.example.arn}"
    ]
    condition {
      test = "StringEquals"
      variable = "aws:SourceArn"
      values = [ aws_cloudfront_distribution.example.arn ]
    }
  }
}

data "aws_iam_policy_document" "example" {

# CloudFrontに対して GetObject , ListBucket を許可

statement {

principals {

type = "Service"

identifiers = [ "cloudfront.amazonaws.com" ]

}

actions = [

"s3:GetObject",

"s3:ListBucket"

]

resources = [

"${aws_s3_bucket.example.arn}/*",

"${aws_s3_bucket.example.arn}"

]

condition {

test = "StringEquals"

variable = "aws:SourceArn"

values = [ aws_cloudfront_distribution.example.arn ]

}

resources の aws_s3_bucket.example.arn
condition > values の aws_cloudfront_distribution.example.arn
は、ご自身の値に書き換えてください

paln および apply をして、AWSへ反映させます。

動作確認

$ curl -I https://<CloudFrontのドメイン>/noobject
HTTP/2 404
content-type: application/xml
date: Sun, 30 Jul 2023 13:45:27 GMT
server: AmazonS3
x-cache: Error from cloudfront
via: 1.1 ×××××××××××××××.cloudfront.net (CloudFront)
x-amz-cf-pop: ×××××
x-amz-cf-id: ××××××××××××××××××××××××××××××