嘗試設置亞馬遜的S3存儲桶：403禁止錯誤和設置權限

Question

我正在關注Hartl的railstutorial.org並且已經到了11.4.4：生產中的圖像上傳 。 我做了什么：

• 注冊亞馬遜網絡服務
• 在Amazon Identity and Access Management中，我創建了一個用戶。 用戶已成功創建。
• 在Amazon S3中，我創建了一個新存儲桶。
• 設置新存儲桶的權限：

權限：本教程指示“授予對上一步中創建的用戶的讀寫權限”。 但是，在存儲桶的“Permissons”下，未提及新用戶的名稱。 我只能選擇Everyone，Authenticated用戶，Log delivery，Me和用戶名，亞馬遜似乎已經從我的名字+數字創建了自己。 我通過選擇Authenticated用戶並選中上傳/刪除和查看權限（而不是選擇列表和編輯權限）框來嘗試它。 我也通過選擇Everyone並檢查所有四個框來嘗試它。 結果是一樣的。

• 我按照本教程的說明在我的Rails應用程序中實現（我不相信那里有任何錯誤，所以我沒有在這里包含這些步驟，以免使它太長）。

初始化程序carrier_wave.rb設置為以下代碼。 我已經添加了region: 'eu-west-1'到初始化器（我從這里得到的一個想法）來擺脫connecting to the matching region will be more performant的消息connecting to the matching region will be more performant 。

if Rails.env.production?
  CarrierWave.configure do |config|
    config.fog_credentials = {
      # Configuration for Amazon S3
      :provider              => 'AWS',
      :aws_access_key_id     => ENV['S3_ACCESS_KEY'],           # Set these key's using heroku config:set S3_ACCESS_KEY=<access key>
      :aws_secret_access_key => ENV['S3_SECRET_KEY'],
      :region                => 'eu-west-1'
    }
    config.fog_directory     =  ENV['S3_BUCKET']
  end
end

• 它在開發中工作，我推到了Heroku。

錯誤：在生產中使用上傳器上傳圖片時，我收到錯誤We're sorry, but something went wrong. Heroku服務器日志說：

app[web.1]:   SQL (1.7ms)  UPDATE "users" SET "avatar" = $1, "updated_at" = $2 WHERE "users"."id" = $3  [["avatar", "animaatjes.png.gif"], ["updated_at", "2015-05-20 12:37:56.683858"], ["id", 18]]
heroku[router]: at=info method=POST path="/users/18" host=xxx.herokuapp.com request_id=xxx-7f9f-4580-89ba-xxx fwd="xx.xxx.xx.xxx" dyno=web.1 connect=0ms service=3461ms status=500 bytes=1714
app[web.1]: Completed 500 Internal Server Error in 3317ms (ActiveRecord: 13.0ms)
app[web.1]:    (1.4ms)  ROLLBACK
app[web.1]: Excon::Errors::Forbidden (Expected(200) <=> Actual(403 Forbidden)
app[web.1]: excon.error.response
app[web.1]:   :body          => "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n<Error><Code>AccessDenied</Code><Message>Access Denied</Message><RequestId>F8xxxD89</RequestId><HostId>MdB5iSMgxxx1vqE+Q=</HostId></Error>"
app[web.1]:   :headers       => {
app[web.1]:     "Connection"       => "close"
app[web.1]:     "Content-Type"     => "application/xml"
app[web.1]:     "Date"             => "Wed, 20 May 2015 12:37:57 GMT"
app[web.1]:     "Server"           => "AmazonS3"
app[web.1]:     "x-amz-id-2"       => "MdB5iSMg***K1vqdP+E+Q="
app[web.1]:     "x-amz-request-id" => "F80A**C58"
app[web.1]:   }
app[web.1]:   :local_address => "***.**.**.**"
app[web.1]:   :local_port    => *****
app[web.1]:   :reason_phrase => "Forbidden"
app[web.1]:   :remote_ip     => "**.***.***.***"
app[web.1]:   :status        => 403
app[web.1]:   :status_line   => "HTTP/1.1 403 Forbidden\r\n"
app[web.1]:   app/controllers/users_controller.rb:46:in 'update'
app[web.1]: Completed 500 Internal Server Error in 6151ms (ActiveRecord: 60.7ms) 

我做錯了什么？ 我似乎與權限有關？

---

更新：原因結果是授予用戶的策略。 如果我授予用戶標准的AmazonS3FullAccess，那么它可以工作。 它不適用於AmazonS3ReadOnlyAccess，因為用戶無法保存新圖像。 在我的應用程序中，用戶基本上只需要2個權限：上傳自己的頭像圖像並閱讀頭像圖像。 使用AmazonS3FullAccess是安全的還是我應該編寫自己的自定義策略？

我嘗試了下面的自定義策略，它應該賦予應用程序讀寫權限（從這里采用）但仍然生成403 Forbidden錯誤。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:ListBucket"],
      "Resource": ["arn:aws:s3:::mybucket"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:DeleteObject"
      ],
      "Resource": ["arn:aws:s3:::mybucket/*"]
    }
  ]
}

Answer 1

要啟用S3文件上傳，我必須：

• 指定我的地區（us-west）
• 創建一個IAM用戶
• 添加Bucket Policy，將該用戶指定為Principal

{
    "Version": "2008-10-17",
    "Statement": [
        {
            "Sid": "AllowFileUpload",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::XXXXXXX:user/instaswan"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": [
                "arn:aws:s3:::instaswan-dev",
                "arn:aws:s3:::instaswan-dev/*"
            ]
        }
    ]
}

確保包含頂級和“/ *”資源，並包含您需要的任何其他“操作”屬性。

Answer 2

問題的根源確實證明是權限。 必須編寫自定義策略並在存儲桶上設置CORS配置。 對於希望實現rails教程本章的任何未來用戶，請參閱為Amazon S3編寫IAM策略和CORS配置以獲取必要的代碼。

Answer 3

在我的情況下s3:PutObjectAcl是缺少的權限

Answer 4

如果使用IAM用戶配置存儲桶，您可能會錯過設置IAM策略的步驟。

轉到IAM控制台，選擇您的用戶，轉到permissions tab ，單擊attach policy按鈕並添加administrator access 。

之后錯誤應該消失，你可以上傳文件沒有問題;）

Answer 5

我有同樣的問題。 嘗試了許多解決方案，包括S3 @ FullAccess，創建用戶，編寫自定義策略。 如果有人遇到問題，請檢查存儲桶權限。 轉到bucketname>權限>公共訪問設置，然后將兩個ACL設置從True更改為False。

Answer 6

我有同樣的問題，事情是亞馬遜改變了他們的布局，所以現在創建一個用戶政策與以前有點不同。 因此，一旦您創建策略，請記住將策略附加到相關用戶，否則您將收到403禁止錯誤

Answer 7

我從教程中得到了兩個問題 -

查看你的heroku日志 -

被禁止

和

套接字錯誤

為了解決這個問題，我基本上重新回到了基礎，重新創建了一個新的IAM用戶和一個新的s3存儲桶，但這次將REGION作為美國標准 - 我可以找到附加的唯一s3權限，因為策略已滿訪問 - 沒有別的 - 如此附加

還要在heroku上重新輸入和確認ENV變量，以及從教程中復制和粘貼carrier_wave.rb - 一定要確定。）

第一次我正在擺弄並且不確定該怎么做，所以我可能會點擊一些不同的東西 - 添加組和權限，查看錯誤的東西 - 有時是重置和STEP，尤其是在第一次探索AWS和IMS和s3之后。

有趣的是，在heroku中，他們將桶區域設置為美國標准並發布警告 - 確保在與應用程序相同的區域中創建一個存儲桶，以利用AWS的免費區域內數據傳輸速率。

很好地閱讀heroku到s3配置 - > https://devcenter.heroku.com/articles/s3