S3 Bucket的主体设置为OAI，但CloudFront无法获取对象。

要将S3 Bucket的主体设置为OAI（Origin Access Identity），以便CloudFront可以获取对象，需要执行以下步骤：

1. 创建一个OAI：

aws cloudfront create-cloud-front-origin-access-identity --cloud-front-origin-access-identity-config CallerReference=unique-reference,Comment=optional-comment

2. 获取刚创建的OAI的ID：

export OAI_ID=$(aws cloudfront list-cloud-front-origin-access-identities --query 'CloudFrontOriginAccessIdentityList.Items[0].Id' --output text)

3. 将OAI的ID授权给S3 Bucket，以允许CloudFront访问该Bucket：

aws s3api put-bucket-policy --bucket your-bucket-name --policy '{
  "Version":"2012-10-17",
  "Statement":[{
    "Sid":"AddPerm",
    "Effect":"Allow",
    "Principal":{"AWS":"arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity your-oai-id"},
    "Action":["s3:GetObject"],
    "Resource":["arn:aws:s3:::your-bucket-name/*"]
  }]
}'

确保将your-bucket-name替换为您的S3 Bucket名称，your-oai-id替换为之前获取的OAI的ID。

4. 配置CloudFront Distribution，以使用OAI来获取S3 Bucket的对象。在CloudFront Distribution的设置中，找到"Origin"部分并选择您的S3 Bucket。然后，在"Restrict Bucket Access"下，选择"Yes"，并选择您之前创建的OAI。

这样，您的S3 Bucket的主体将设置为OAI，并且CloudFront将能够通过OAI获取S3 Bucket的对象。