はじめに
静的ファイルをS3に保存し、Cloudfront経由で公開しようとした際に、下記のエラーに出くわしました。
<Code>SignatureDoesNotMatch</Code>
<Message>The request signature we calculated does not match the signature you provided. Check your key and signing method.</Message>
<AWSAccessKeyId>*******</AWSAccessKeyId>
原因
結論から言うと、CloudFrontのオリジンリクエストのキャッシュキーにHostヘッダーを追加していたことが原因でした。
Hostヘッダーを追加すると、OriginにHostヘッダーが転送されます。
OriginにS3を設定した場合、S3バケットの特定にはHOSTヘッダーが使われます。
CloudFrontからS3へリクエストする際のHOSTヘッダーが、クライアントリクエストのHOSTヘッダーで上書きされてしまい、その結果として、S3バケットが見つからず、エラーになったというわけです。
他にもオリジンリクエストポリシーのAllViewerやヘッダーのAuthorizationが追加されると同様に上書きされてしまい、エラーになります。
同様に、CloudFront → ELB → EC2の構成の場合、
abcd.cloudfront.netでアクセスすると、同様のエラーが起きますね。