尝试设置亚马逊的S3存储桶:403禁止错误和设置权限
我正在关注Hartl的railstutorial.org并且已经到了11.4.4:生产中的图像上传 。 我做了什么:
- 注册amazon web services
- 在Amazon Identity and Access Management中,我创建了一个用户。 用户已成功创建。
- 在Amazon S3中,我创建了一个新存储桶。
- 设置新存储桶的权限:
权限:本教程指示“授予对上一步中创建的用户的读写权限”。 但是,在存储桶的“Permissons”下,未提及新用户的名称。 我只能选择Everyone,Authenticated用户,Log delivery,Me和用户名,亚马逊似乎已经从我的名字+数字创建了自己。 我通过选择Authenticated用户并选中了上传/删除和查看权限(而不是选择列表和编辑权限)框来尝试它。 我也通过选择Everyone并检查所有四个框来尝试它。 结果是一样的。
- 我按照本教程的说明在我的Rails应用程序中实现(我不相信那里有任何错误,所以我没有在这里包含这些步骤,以免使它太长)。
初始化程序carrier_wave.rb设置为以下代码。 我已经添加了region: 'eu-west-1'到初始化器(我从这里得到的一个想法)来摆脱connecting to the matching region will be more performant的消息connecting to the matching region will be more performant 。
if Rails.env.production? CarrierWave.configure do |config| config.fog_credentials = { # Configuration for Amazon S3 :provider => 'AWS', :aws_access_key_id => ENV['S3_ACCESS_KEY'], # Set these key's using heroku config:set S3_ACCESS_KEY= :aws_secret_access_key => ENV['S3_SECRET_KEY'], :region => 'eu-west-1' } config.fog_directory = ENV['S3_BUCKET'] end end
- 它在开发中工作,我推到了Heroku。
错误:在生产中使用上传器上传图片时,我收到错误We're sorry, but something went wrong. Heroku服务器日志说:
app[web.1]: SQL (1.7ms) UPDATE "users" SET "avatar" = $1, "updated_at" = $2 WHERE "users"."id" = $3 [["avatar", "animaatjes.png.gif"], ["updated_at", "2015-05-20 12:37:56.683858"], ["id", 18]] heroku[router]: at=info method=POST path="/users/18" host=xxx.herokuapp.com request_id=xxx-7f9f-4580-89ba-xxx fwd="xx.xxx.xx.xxx" dyno=web.1 connect=0ms service=3461ms status=500 bytes=1714 app[web.1]: Completed 500 Internal Server Error in 3317ms (ActiveRecord: 13.0ms) app[web.1]: (1.4ms) ROLLBACK app[web.1]: Excon::Errors::Forbidden (Expected(200) Actual(403 Forbidden) app[web.1]: excon.error.response app[web.1]: :body => "\nAccessDeniedAccess DeniedF8xxxD89MdB5iSMgxxx1vqE+Q=" app[web.1]: :headers => { app[web.1]: "Connection" => "close" app[web.1]: "Content-Type" => "application/xml" app[web.1]: "Date" => "Wed, 20 May 2015 12:37:57 GMT" app[web.1]: "Server" => "AmazonS3" app[web.1]: "x-amz-id-2" => "MdB5iSMg***K1vqdP+E+Q=" app[web.1]: "x-amz-request-id" => "F80A**C58" app[web.1]: } app[web.1]: :local_address => "***.**.**.**" app[web.1]: :local_port => ***** app[web.1]: :reason_phrase => "Forbidden" app[web.1]: :remote_ip => "**.***.***.***" app[web.1]: :status => 403 app[web.1]: :status_line => "HTTP/1.1 403 Forbidden\r\n" app[web.1]: app/controllers/users_controller.rb:46:in 'update' app[web.1]: Completed 500 Internal Server Error in 6151ms (ActiveRecord: 60.7ms)
我做错了什么? 我似乎与权限有关?
更新:原因结果是授予用户的策略。 如果我授予用户标准的AmazonS3FullAccess,那么它可以工作。 它不适用于AmazonS3ReadOnlyAccess,因为用户无法保存新图像。 在我的应用程序中,用户基本上只需要2个权限:上传自己的头像图像并阅读头像图像。 使用AmazonS3FullAccess是安全的还是我应该编写自己的自定义策略?
我尝试了下面的自定义策略,它应该赋予应用程序读写权限(从这里采用)但仍然生成403 Forbidden错误。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": ["arn:aws:s3:::mybucket"] }, { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject", "s3:DeleteObject" ], "Resource": ["arn:aws:s3:::mybucket/*"] } ] }
要启用S3文件上传,我必须:
- 指定我的地区(us-west)
- 创建一个IAM用户
- 添加Bucket Policy,将该用户指定为Principal
{ "Version": "2008-10-17", "Statement": [ { "Sid": "AllowFileUpload", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::XXXXXXX:user/instaswan" }, "Action": [ "s3:GetObject", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": [ "arn:aws:s3:::instaswan-dev", "arn:aws:s3:::instaswan-dev/*" ] } ] }
请确保包含顶级和“/ *”资源,并包含您需要的任何其他“操作”属性。
在我的情况下s3:PutObjectAcl是缺少的权限
如果使用IAM用户配置存储桶,您可能会错过设置IAM策略的步骤。
转到IAM控制台,选择您的用户,转到permissions tab ,单击attach policy按钮并添加administrator access 。
之后错误应该消失,你可以上传文件没有问题;)
问题的根源确实certificate是权限。 必须编写自定义策略并在存储桶上设置CORS配置。 对于想要实现rails教程本章的任何未来用户,请参阅为Amazon S3编写IAM策略和CORS配置以获取必要的代码。
我有同样的问题,事情是亚马逊改变了他们的布局,所以现在创建用户策略与以前有点不同。 因此,一旦您创建策略,请记住将策略附加到相关用户,否则您将收到403禁止错误
我从教程中得到了两个问题 –
查看你的heroku日志 –
被禁止
和
套接字错误
为了解决这个问题,我基本上重新回到了基础,重新创建了一个新的IAM用户和一个新的s3存储桶,但这次将REGION作为美国标准 – 我可以找到附加的唯一s3权限,因为策略已满访问 – 没有别的 – 如此附加
还要在heroku上重新输入和确认ENV变量,以及从教程中复制和粘贴carrier_wave.rb – 一定要确定。)
我第一次摆弄并且不确定该做什么,所以我可能会点击一些不同的东西 – 添加组和权限,查看错误的东西 – 有时是重置和逐步完成所有内容,特别是在第一次探索AWS和IMS和s3之后。
有趣的是,在heroku中,他们INSTRUCT将桶区域设置为美国标准并发布警告 – 确保在与应用程序相同的区域中创建一个存储桶,以利用AWS的免费区域内数据传输速率。
这里有很好的读取heroku到s3的配置 – > https://devcenter.heroku.com/articles/s3