Excon ::错误::禁止(预期(200)< =>实际(403禁止)

时间:2015-02-17 15:13:50

标签: ruby-on-rails amazon-s3 carrierwave railstutorial.org

当我尝试将图片上传到" Car"对象我拒绝访问S3。但是我添加了S3后,资源文件夹中的站点图像显示得很好。我得到的具体错误是:

2015-02-17T14:40:48.459629+00:00 app[web.1]: Excon::Errors::Forbidden (Expected(200) <=> Actual(403 Forbidden)
2015-02-17T14:40:48.459630+00:00 app[web.1]: excon.error.response
2015-02-17T14:40:48.459635+00:00 app[web.1]:     "Connection"       => "close"
2015-02-17T14:40:48.459637+00:00 app[web.1]:     "Content-Type"     => "application/xml"
2015-02-17T14:40:48.459639+00:00 app[web.1]:     "Date"             => "Tue, 17 Feb 2015 14:40:48 GMT"
2015-02-17T14:40:48.459640+00:00 app[web.1]:     "Server"           => "AmazonS3"
2015-02-17T14:40:48.459632+00:00 app[web.1]:   :body          => "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n<Error><Code>AccessDenied</Code><Message>Access Denied</Message><RequestId>2CE306ACD51F02A1</RequestId><HostId>tKLXUAKxyDFTMExl7kE+AuVVsEJOFqXh983li6N7R2UlYDXv1Z3GJRvW5zy1XIXVs2zArp310vg=</HostId></Error>"
2015-02-17T14:40:48.459642+00:00 app[web.1]:     "x-amz-id-2"       => ""part of secret key"="

使用&#34;部分密钥&#34;显然已经编辑了。我尝试过创建不同的用户并使用新密钥,但这并没有奏效。不是从这里去的地方。

应用/上传/ picture_uploader 

class PictureUploader < CarrierWave::Uploader::Base
  include CarrierWave::MiniMagick
  process resize_to_limit: [400, 400]

  if Rails.env.production?
    storage :fog
  else
    storage :file
  end

  # Override the directory where uploaded files will be stored.
  # This is a sensible default for uploaders that are meant to be mounted:
  def store_dir
    "uploads/#{model.class.to_s.underscore}/#{mounted_as}/#{model.id}"
  end

  # Add a white list of extensions which are allowed to be uploaded.
  def extension_white_list
    %w(jpg jpeg gif png)
  end
end

carrier_wave.rb 

if Rails.env.production?
  CarrierWave.configure do |config|
    config.fog_credentials = {
      # Configuration for Amazon S3
      :provider              => 'AWS',
      :aws_access_key_id     => ENV['S3_ACCESS_KEY'],
      :aws_secret_access_key => ENV['S3_SECRET_KEY']
    }
    config.fog_directory     =  ENV['S3_BUCKET']
  end
end

我相信所有相关文件,请告诉我是否还有更多内容。不确定指定区域或超级用户是否有帮助,似乎不会。

5 个答案:

答案 0 :(得分:43)

[编辑:此时我默认为另一个答案,特别是如果你处于刺激环境中。这是一种解决方法,对我来说在几年前制作易碎玩具时起作用,但我同意在担心安全问题时授予最小权限。]

我遇到了同样的错误,解决方案是从AWS管理控制台附加管理访问策略:

1)通过http://aws.amazon.com/iam/

登录AWS管理控制台

2)点击左侧导航窗格中的“政策”

3)选择“AdministratorAccess”政策

4)点击政策操作&gt;附在页面顶部

5)选择与我的S3_ACCESS_KEY,S3_SECRET_KEY和S3_BUCKET相关联的用户

6)点击“附加政策”

仅仅在https://console.aws.amazon.com/s3/home授予我的存储桶的所有权限是不够的。

答案 1 :(得分:2)

从安全角度来看,告诉您授予IAM用户AdministratorAccess的另一个答案是一个坏主意 - 它允许任何有权访问这些密钥的人在您的帐户中执行任何操作,包括删除所有基础架构。

我还没有确定Carrierwave / Fog所需的最小权限集,但是我工作的一小部分权限看起来像:

使用以下策略文档创建AWS IAM策略:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::BUCKETNAME/*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::BUCKETNAME"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

请注意,在BUCKETNAMEBUCKETNAME/*上指定S3操作并非错误 - 第一个与在存储桶上执行的API操作有关,第二个与存储在的对象上相关斗。

答案 2 :(得分:1)

我使用了本手册:https://medium.com/@mohit_22386/ruby-on-rails-aws-how-to-put-assets-on-aws-s3-and-fetch-using-cloudfront-84de9800ce3d

设置后,我可以通过软件(DragonDisk)从存储桶中添加或删除文件。但是我在Assets:precompile上遇到了同样的错误。我刚刚在存储桶设置的“权限”>“公共访问设置”页面上删除了ACL的ckeckbox:

removed checkboxes

此外,我用的是我的主要帐户,没有IAM,因此Rob Mulholand的要求与我无关。

答案 3 :(得分:1)

另一种最小权限方法是:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "<IAM user with programatic access>"
            },
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::BUCKETNAME"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "<IAM user with programatic access>"
            },
            "Action": [
                "s3:PutObjectAcl",
                "s3:PutObject",
                "s3:GetObject",
                "s3:DeleteObject"
            ],
            "Resource": "arn:aws:s3:::BUCKETNAME/*"
        }
    ]
}

tl; dr:您还需要s3:PutObjectAcl权限。

(我没有检查如果没有GetObject和DeleteObject权限,它是否也可以工作,因为就我而言,我还是想授予它们。)

答案 4 :(得分:0)

如果您的存储桶未公开,请确保config.fog_public = false中的carrierwave.rb

相关问题
最新问题