堆栈内存溢出
  繁体   English   中英

使用Paperclip和IAM策略将文件上载到Amazon时拒绝访问

[英]Access Denied when uploading files to Amazon using Paperclip and IAM policies

 原文  2013-10-04 15:04:31       ruby-on-rails/ amazon-web-services/ amazon-s3/ paperclip/ amazon-iam

问题描述

我无法使用S3 IAM策略使用Paperclip上传。 我甚至遇到直接jQuery上传的问题(没有Paperclip)。 我的方案如下,我有一个应用程序,将有许多网站。 每个站点都有自己的桶,应该只能访问自己的桶,没有其他人可以访问。 IAM示例策略文档在“示例:允许每个IAM用户访问存储桶中的文件夹”下准确说明了我想要执行的操作。 我为应用程序设置了一个IAM组,并且该组中的每个站点都有一个用户。 这些IAM用户属于该组。 该小组的政策如下: 

{
   "Version":"2012-10-17",
   "Statement":[{
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::my-app/${aws:username}/*"
      }
   ]
}

这是我在存储桶上的CORS配置,当然,dev会在以后被锁定: 

<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    <CORSRule>
        <AllowedOrigin>*</AllowedOrigin>
        <AllowedMethod>GET</AllowedMethod>
        <AllowedMethod>POST</AllowedMethod>
        <AllowedMethod>PUT</AllowedMethod>
        <AllowedHeader>*</AllowedHeader>
    </CORSRule>
</CORSConfiguration>

这是我的Paperclip设置: 

has_attached_file :background_image,
                  storage: :s3,
                  s3_credentials: {
                    access_key_id: "xxx",
                    secret_access_key: "xxx"
                  },
                  bucket: "my-app",
                  s3_permissions: "public-read",
                  path: "/background_images/:id/:filename"

我以前在使用策略时直接使用策略,这确实有效,但是当我进入具有许多“站点”的生产环境时,它不像我需要的那样灵活。 据我所知,我已完全遵循文档,但我所做的任何事都会导致“访问被拒绝”。 此时我甚至不确定我的问题是我的IAM策略还是我的Paperclip配置。

编辑:澄清。

编辑2:最终解决方案

以下是基于本文的最终IAM策略: 

{
 "Version":"2012-10-17",
 "Statement": [
   {
     "Sid": "AllowUserToSeeBucketListInTheConsole",
     "Action": ["s3:ListAllMyBuckets", "s3:GetBucketLocation"],
     "Effect": "Allow",
     "Resource": ["arn:aws:s3:::*"]
   },
  {
     "Sid": "AllowRootAndHomeListingOfCompanyBucket",
     "Action": ["s3:ListBucket"],
     "Effect": "Allow",
     "Resource": ["arn:aws:s3:::my-app"],
     "Condition":{"StringEquals":{"s3:prefix":["","home/"],"s3:delimiter":["/"]}}
    },
   {
     "Sid": "AllowListingOfUserFolder",
     "Action": ["s3:ListBucket"],
     "Effect": "Allow",
     "Resource": ["arn:aws:s3:::estimator-app"],
     "Condition":{"StringLike":{"s3:prefix":["home/${aws:username}/*"]}}
   },
   {
     "Sid": "AllowAllS3ActionsInUserFolder",
     "Effect": "Allow",
     "Action": ["s3:*"],
     "Resource": ["arn:aws:s3:::my-app/home/${aws:username}/*"]
   }
 ]
}

我更新的Paperclip设置: 

has_attached_file :background_image,
                    storage: :s3,
                    s3_credentials: {
                      access_key_id: "xxx",
                      secret_access_key: "xxx"
                    },
                    bucket: "estimator-app",
                    s3_permissions: "public-read",
                    path: "/home/my_s3_username/background_images/:id/:filename"

在Paperclip路径中包含用户名非常重要。 我假设亚马逊会从凭证推断出这一点,但事实并非如此。

1 个解决方案

解决方案1
 17 已采纳  2013-10-04 15:26:32

因为您尝试为上载的对象设置权限,所以还需要为IAM用户提供s3:PutObjectAcl权限。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 使用Paperclip将图像上传到Amazon S3时权限被拒绝 使用Paperclip部署到Heroku上载文件时,AWS Endpoint错误 使用回形针在Rails应用程序中上传时裁剪视频和音频文件 使用回形针将 Heroku 上的图像上传到 Amazon s3 时定义了 Rails Access 使用Rails和Paperclip的s3的简单Amazon IAM策略 将Paperclip与Amazon s3中已经存在的文件一起使用 通过回形针gem上传到本地文件系统时,权限被拒绝错误 使用Paperclip和Amazon s3上传照片时缺少凭证 尝试将文件上传到S3时,回形针报告access_denied 使用回形针上传多个文件
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM