# AccessDenied：请求无法被满足。CloudFront 尝试与源站建立连接，但请求被地理限制策略阻止。

- **ID:** `policy/cloudfront-georestriction-blocked-request`
- **领域:** policy
- **类别:** network_error
- **错误码:** `403`
- **验证级别:** ai_generated
- **修复率:** 80%

## 根因

CloudFront 分配配置了地理限制（白名单或黑名单），客户端的 IP 地址来自未在白名单中或被列入黑名单的国家。

## 版本兼容性

| 版本 | 状态 | 引入 | 弃用 |
|------|------|------|------|
| AWS CloudFront | active | — | — |
| CloudFront geo-restriction feature | active | — | — |

## 解决方案

1. ```
   更新 CloudFront 分配的地理限制配置，将客户端国家加入白名单或从黑名单中移除。
   ```
2. ```
   使用 CloudFront Functions 或 Lambda@Edge 实现自定义地理白名单，提供更精细的控制。
   ```

## 无效尝试

- **** — The geo-restriction is based on IP address, not client-side data; clearing cache has no effect. (90% 失败率)
- **** — This works temporarily but violates the policy intent and may cause other issues (e.g., latency, compliance). (50% 失败率)