[英]Trying to set up Amazon's S3 bucket: 403 Forbidden error & setting permissions
我正在关注Hartl的railstutorial.org并且已经到了11.4.4:生产中的图像上传 。 我做了什么:
权限:本教程指示“授予对上一步中创建的用户的读写权限”。 但是,在存储桶的“Permissons”下,未提及新用户的名称。 我只能选择Everyone,Authenticated用户,Log delivery,Me和用户名,亚马逊似乎已经从我的名字+数字创建了自己。 我通过选择Authenticated用户并选中上传/删除和查看权限(而不是选择列表和编辑权限)框来尝试它。 我也通过选择Everyone并检查所有四个框来尝试它。 结果是一样的。
初始化程序carrier_wave.rb
设置为以下代码。 我已经添加了region: 'eu-west-1'
到初始化器(我从这里得到的一个想法)来摆脱connecting to the matching region will be more performant
的消息connecting to the matching region will be more performant
。
if Rails.env.production?
CarrierWave.configure do |config|
config.fog_credentials = {
# Configuration for Amazon S3
:provider => 'AWS',
:aws_access_key_id => ENV['S3_ACCESS_KEY'], # Set these key's using heroku config:set S3_ACCESS_KEY=<access key>
:aws_secret_access_key => ENV['S3_SECRET_KEY'],
:region => 'eu-west-1'
}
config.fog_directory = ENV['S3_BUCKET']
end
end
错误:在生产中使用上传器上传图片时,我收到错误We're sorry, but something went wrong.
Heroku服务器日志说:
app[web.1]: SQL (1.7ms) UPDATE "users" SET "avatar" = $1, "updated_at" = $2 WHERE "users"."id" = $3 [["avatar", "animaatjes.png.gif"], ["updated_at", "2015-05-20 12:37:56.683858"], ["id", 18]]
heroku[router]: at=info method=POST path="/users/18" host=xxx.herokuapp.com request_id=xxx-7f9f-4580-89ba-xxx fwd="xx.xxx.xx.xxx" dyno=web.1 connect=0ms service=3461ms status=500 bytes=1714
app[web.1]: Completed 500 Internal Server Error in 3317ms (ActiveRecord: 13.0ms)
app[web.1]: (1.4ms) ROLLBACK
app[web.1]: Excon::Errors::Forbidden (Expected(200) <=> Actual(403 Forbidden)
app[web.1]: excon.error.response
app[web.1]: :body => "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n<Error><Code>AccessDenied</Code><Message>Access Denied</Message><RequestId>F8xxxD89</RequestId><HostId>MdB5iSMgxxx1vqE+Q=</HostId></Error>"
app[web.1]: :headers => {
app[web.1]: "Connection" => "close"
app[web.1]: "Content-Type" => "application/xml"
app[web.1]: "Date" => "Wed, 20 May 2015 12:37:57 GMT"
app[web.1]: "Server" => "AmazonS3"
app[web.1]: "x-amz-id-2" => "MdB5iSMg***K1vqdP+E+Q="
app[web.1]: "x-amz-request-id" => "F80A**C58"
app[web.1]: }
app[web.1]: :local_address => "***.**.**.**"
app[web.1]: :local_port => *****
app[web.1]: :reason_phrase => "Forbidden"
app[web.1]: :remote_ip => "**.***.***.***"
app[web.1]: :status => 403
app[web.1]: :status_line => "HTTP/1.1 403 Forbidden\r\n"
app[web.1]: app/controllers/users_controller.rb:46:in 'update'
app[web.1]: Completed 500 Internal Server Error in 6151ms (ActiveRecord: 60.7ms)
我做错了什么? 我似乎与权限有关?
更新:原因结果是授予用户的策略。 如果我授予用户标准的AmazonS3FullAccess,那么它可以工作。 它不适用于AmazonS3ReadOnlyAccess,因为用户无法保存新图像。 在我的应用程序中,用户基本上只需要2个权限:上传自己的头像图像并阅读头像图像。 使用AmazonS3FullAccess是安全的还是我应该编写自己的自定义策略?
我尝试了下面的自定义策略,它应该赋予应用程序读写权限(从这里采用)但仍然生成403 Forbidden
错误。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:ListBucket"],
"Resource": ["arn:aws:s3:::mybucket"]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": ["arn:aws:s3:::mybucket/*"]
}
]
}
要启用S3文件上传,我必须:
{
"Version": "2008-10-17",
"Statement": [
{
"Sid": "AllowFileUpload",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::XXXXXXX:user/instaswan"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": [
"arn:aws:s3:::instaswan-dev",
"arn:aws:s3:::instaswan-dev/*"
]
}
]
}
确保包含顶级和“/ *”资源,并包含您需要的任何其他“操作”属性。
问题的根源确实证明是权限。 必须编写自定义策略并在存储桶上设置CORS配置。 对于希望实现rails教程本章的任何未来用户,请参阅为Amazon S3编写IAM策略和CORS配置以获取必要的代码。
在我的情况下s3:PutObjectAcl
是缺少的权限
如果使用IAM用户配置存储桶,您可能会错过设置IAM策略的步骤。
转到IAM控制台,选择您的用户,转到permissions tab
,单击attach policy
按钮并添加administrator access
。
之后错误应该消失,你可以上传文件没有问题;)
我有同样的问题。 尝试了许多解决方案,包括S3 @ FullAccess,创建用户,编写自定义策略。 如果有人遇到问题,请检查存储桶权限。 转到bucketname>权限>公共访问设置,然后将两个ACL设置从True更改为False。
我有同样的问题,事情是亚马逊改变了他们的布局,所以现在创建一个用户政策与以前有点不同。 因此,一旦您创建策略,请记住将策略附加到相关用户,否则您将收到403禁止错误
我从教程中得到了两个问题 -
查看你的heroku日志 -
被禁止
和
套接字错误
为了解决这个问题,我基本上重新回到了基础,重新创建了一个新的IAM用户和一个新的s3存储桶,但这次将REGION作为美国标准 - 我可以找到附加的唯一s3权限,因为策略已满访问 - 没有别的 - 如此附加
还要在heroku上重新输入和确认ENV变量,以及从教程中复制和粘贴carrier_wave.rb - 一定要确定。)
第一次我正在摆弄并且不确定该怎么做,所以我可能会点击一些不同的东西 - 添加组和权限,查看错误的东西 - 有时是重置和STEP,尤其是在第一次探索AWS和IMS和s3之后。
有趣的是,在heroku中,他们将桶区域设置为美国标准并发布警告 - 确保在与应用程序相同的区域中创建一个存储桶,以利用AWS的免费区域内数据传输速率。
很好地阅读heroku到s3配置 - > https://devcenter.heroku.com/articles/s3
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.