Решение найдено: https://serverfault.com/questions/581268/amazon-cloudfront-with-s3-access-denied
"У меня только что возникла та же проблема, и хотя ответ Коуши действительно решает проблему для индекса. html в пути root Моя проблема была также с подкаталогами, так как я использовал их в сочетании с индексом. html, чтобы получить «красивые URL» (example.com/something/, а не «уродливый» example.com/something.html)
Частично это тоже вина Амазонки, потому что, когда вы настраиваете дистрибутив CloudFront, он предлагает вам S3 корзины на выбор, но если вы выберете один из них, он будет использовать URL корзины, а не веб-сайт c URL хостинга в качестве бэкэнда.
Итак, чтобы решить проблему:
Enable static website hosting for the bucket
Set the Index (and perhaps Error) document appropriately
Copy Endpoint URL - you can find it next to the above settings - It should look something like: <bucket.name>.s3-website-<aws-region>.amazonaws.com
Use that URL as your CloudFront Distribution origin. (This will also make the CF Default Root Object setting unnecessary, but doesn't hurt to set it anyway)"