尝试设置亚马逊的S3存储桶:403 Forbidden error&设置权限

时间:2015-05-20 13:14:17

标签: ruby-on-rails ruby amazon-web-services amazon-s3 railstutorial.org

我正在关注Hartl的railstutorial.org并已到达11.4.4: Image upload in production。我做了什么:

  • 注册亚马逊网络服务
  • 在亚马逊身份和访问管理中,我创建了一个用户。用户已成功创建。
  • 在Amazon S3中,我创建了一个新存储桶。
  • 设置新存储桶的权限:

权限: 本教程指示“为在上一步中创建的用户授予读写权限”。但是,在存储桶的“Permissons”下,未提及新用户的名称。我只能选择Everyone,Authenticated用户,Log delivery,Me和用户名,亚马逊似乎已经从我的名字+数字创建了自己。我通过选择Authenticated用户并选中上传/删除和查看权限(而不是选择列表和编辑权限)框来尝试它。我也通过选择Everyone并检查所有四个框来尝试它。结果是一样的。

  • 我按照本教程的说明在我的Rails应用程序中实现了(我不相信那里有任何错误,所以我没有把这些步骤包括在内,不要太长)。

初始值设定项carrier_wave.rb设置为以下代码。我已将region: 'eu-west-1'添加到初始值设定项(我从here获得的一个想法)以删除消息connecting to the matching region will be more performant

if Rails.env.production?
  CarrierWave.configure do |config|
    config.fog_credentials = {
      # Configuration for Amazon S3
      :provider              => 'AWS',
      :aws_access_key_id     => ENV['S3_ACCESS_KEY'],           # Set these key's using heroku config:set S3_ACCESS_KEY=<access key>
      :aws_secret_access_key => ENV['S3_SECRET_KEY'],
      :region                => 'eu-west-1'
    }
    config.fog_directory     =  ENV['S3_BUCKET']
  end
end
  • 它在开发中工作,我推到了Heroku。

错误: 在生产中使用上传器上传图片时,我收到错误We're sorry, but something went wrong. Heroku服务器日志说:

app[web.1]:   SQL (1.7ms)  UPDATE "users" SET "avatar" = $1, "updated_at" = $2 WHERE "users"."id" = $3  [["avatar", "animaatjes.png.gif"], ["updated_at", "2015-05-20 12:37:56.683858"], ["id", 18]]
heroku[router]: at=info method=POST path="/users/18" host=xxx.herokuapp.com request_id=xxx-7f9f-4580-89ba-xxx fwd="xx.xxx.xx.xxx" dyno=web.1 connect=0ms service=3461ms status=500 bytes=1714
app[web.1]: Completed 500 Internal Server Error in 3317ms (ActiveRecord: 13.0ms)
app[web.1]:    (1.4ms)  ROLLBACK
app[web.1]: Excon::Errors::Forbidden (Expected(200) <=> Actual(403 Forbidden)
app[web.1]: excon.error.response
app[web.1]:   :body          => "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n<Error><Code>AccessDenied</Code><Message>Access Denied</Message><RequestId>F8xxxD89</RequestId><HostId>MdB5iSMgxxx1vqE+Q=</HostId></Error>"
app[web.1]:   :headers       => {
app[web.1]:     "Connection"       => "close"
app[web.1]:     "Content-Type"     => "application/xml"
app[web.1]:     "Date"             => "Wed, 20 May 2015 12:37:57 GMT"
app[web.1]:     "Server"           => "AmazonS3"
app[web.1]:     "x-amz-id-2"       => "MdB5iSMg***K1vqdP+E+Q="
app[web.1]:     "x-amz-request-id" => "F80A**C58"
app[web.1]:   }
app[web.1]:   :local_address => "***.**.**.**"
app[web.1]:   :local_port    => *****
app[web.1]:   :reason_phrase => "Forbidden"
app[web.1]:   :remote_ip     => "**.***.***.***"
app[web.1]:   :status        => 403
app[web.1]:   :status_line   => "HTTP/1.1 403 Forbidden\r\n"
app[web.1]:   app/controllers/users_controller.rb:46:in 'update'
app[web.1]: Completed 500 Internal Server Error in 6151ms (ActiveRecord: 60.7ms) 

我做错了什么?我似乎与权限有关?

更新 事实证明是授予用户的政策。如果我授予用户标准的AmazonS3FullAccess,那么它可以工作。它不适用于AmazonS3ReadOnlyAccess,因为用户无法保存新图像。在我的应用程序中,用户基本上只需要2个权限:上传自己的头像图像并阅读头像图像。 使用AmazonS3FullAccess是安全的还是我应该编写自己的自定义策略?

我尝试了下面的自定义策略,它应该赋予应用程序读取和写入权限(从here采用)但仍然生成403 Forbidden错误。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": ["arn:aws:s3:::mybucket"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:DeleteObject"
      ],
      "Resource": ["arn:aws:s3:::mybucket/*"]
    }
  ]
}

7 个答案:

答案 0 :(得分:5)

要启用S3文件上传,我必须:

  • 指定我的地区(us-west)
  • 创建IAM用户
  • 添加一个Bucket Policy,将该用户指定为Principal 
{
    "Version": "2008-10-17",
    "Statement": [
        {
            "Sid": "AllowFileUpload",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::XXXXXXX:user/instaswan"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::instaswan-dev",
                "arn:aws:s3:::instaswan-dev/*"
            ]
        }
    ]
}

请务必同时包含顶级和&#34; / *&#34;资源,包括任何其他&#34;行动&#34;你需要的属性。

答案 1 :(得分:1)

在我的情况下,s3:PutObjectAcl是缺少的权限

答案 2 :(得分:1)

如果使用IAM用户配置您的存储桶,您可能会错过设置IAM策略的步骤。

转到IAM控制台,选择您的用户,转到permissions tab,点击attach policy按钮,然后添加administrator access

之后错误应该消失,你可以上传文件没有问题;)

答案 3 :(得分:1)

我有同样的问题。尝试了许多解决方案,包括S3 @ FullAccess,创建用户,编写自定义策略。如果有人遇到问题,请检查存储桶权限。转到存储区名称>权限>公共访问设置,然后将两个ACL设置从“真”更改为“假”。

答案 4 :(得分:0)

问题的根源确实证明是权限。必须编写自定义策略并在存储桶上设置CORS配置。对于想要实现rails教程本章的任何未来用户,请参阅Writing an IAM policy and CORS configuration for Amazon S3以获取必要的代码。

答案 5 :(得分:0)

我遇到了同样的问题,事情是亚马逊改变了他们的布局,所以现在创建用户策略与以前有点不同。因此,一旦您创建策略,请记住将策略附加到相关用户,否则您将收到403禁止错误

答案 6 :(得分:0)

我从教程中得到了两个问题 -

查看你的heroku日志 -

禁止

套接字错误

在一天内试图解决这个问题我基本上重新回到了基础,重新创建了一个新的IAM用户和一个新的s3存储桶,但这次将REGION作为美国标准 - 我唯一可以找到的s3权限作为政策是完全访问 - 没有别的 - 所以附加

还要在heroku上重新输入和确认ENV变量,以及从教程中复制和粘贴carrier_wave.rb - 一定要确定。)

第一次我正在摆弄并且不确定该做什么,所以我可能会点击一些不同的东西 - 添加组和权限,查看错误的东西 - 有时是重置和STEP,尤其是在探索AWS和IMS和s3之后第一次。

有趣的是,在heroku中,他们将桶区域设置为美国标准并发布警告 - 确保在与您的应用相同的区域中创建一个存储桶,以利用AWS的免费区域内数据传输速率。

在这里很好地阅读heroku到s3配置 - &gt; https://devcenter.heroku.com/articles/s3

相关问题
最新问题