由于IPAEM配置,列入允许列表预览返回403

当IP允许列表阻止流量时,AEM中的预览环境会拒绝带403错误的请求。 默认预览允许列表会阻止所有IP或错误的条目拒绝访问。 删除或更正允许列表可恢复预览访问权限。

描述 description

环境

  • Adobe Experience Manager as a Cloud Service (AEMaaCS)
  • AEM as Cloud Service — 站点
  • Adobe Experience Manager内部部署软件

问题/症状

  • 包含消息​的HTTP 403响应不允许错误403。 不允许
  • 响应标头显示deny-reason=preview_whitelist_ip_generated.
  • CDN日志显示因允许列表规则而被拒绝的客户端IP。
  • 使用一个域的预览端点在另一个域失败时有效。
  • 修改或删除允许列表条目后,将恢复访问。

根本原因

使用阻止所有流量的默认IP允许列表创建预览服务。 当此列表保持活动状态或错误条目(如无效的CIDR范围或冲突的规则阻止有效的客户端IP时,请求会被拒绝。

解决方法 resolution

要解决此问题,请执行以下步骤:

  1. 访问失败的预览URL并检查响应标头。
  2. 验证​ x-aem-debug: deny-reason=preview_whitelist_ip_generated ​是否存在,并确认响应是否显示​HTTP 403
  3. 导航到Cloud Manager > 计划 > 环境 > 选择环境 > IP允许列表并查看应用了哪些列表。
  4. 检查是否仍应用预览默认值[ envId]
  5. 取消应用标记为预览默认[ envId]的允许列表。
  6. 重新加载预览URL,并验证它是否加载或显示其他错误。
  7. 查看所有IP/CIDR条目并删除无效条目,如0.0.0.0/32。
  8. 将无效范围替换为访问所需的正确IP范围。
  9. 创建并应用仅包含所需IP范围的新IP允许列表,例如办公VPN公共IP。
  10. 确认新允许列表在Cloud Manager中处于活动状态。
  11. 删除任何不打算预览的冲突或旧版允许列表,包括从创作或发布环境中重用的列表。 验证是否仅保留所需的列表。
  12. 测试预览Dispatcher端点(通常为.net格式),并将其与.com格式的CDN端点进行比较。
  13. 确认允许列表纠正后,两个端点的行为一致。
  14. 通过在浏览器中打开预览URL或运行以下命令并确认响应未返回​ 403 ​来重新测试预览访问权限:

curl -I https://preview-<env>.adobeaemcloud.com

相关阅读

recommendation-more-help
experience-cloud-kcs-help-kbarticles