【发布时间】:2015-08-01 18:23:31
【问题描述】:
我正在关注 Hartl 的 railstutorial.org 并已到达 11.4.4: Image upload in production。我做了什么:
- 注册了亚马逊网络服务
- 在 Amazon Identity and Access Management 中,我创建了一个用户。用户已成功创建。
- 在 Amazon S3 中,我创建了一个新存储桶。
- 设置新存储桶的权限:
权限: 该教程指示“授予在上一步中创建的用户的读写权限”。但是,在存储桶的“权限”下,未提及新用户的名称。我只能在所有人、经过身份验证的用户、日志传递、我和亚马逊似乎是根据我的名字 + 一个数字创建的用户名之间进行选择。我已经通过选择经过身份验证的用户进行了尝试,并选中了上传/删除和查看权限的框(而不是选择列表和编辑权限)。我还通过选择所有人来尝试它并选中所有四个框。结果是一样的。
- 我按照教程的说明在我的 Rails 应用程序中实现了(我不相信那里没有任何问题,所以我没有在此处包含这些步骤,以免时间过长)。
初始化器carrier_wave.rb 设置为以下代码。我已将region: 'eu-west-1' 添加到初始化程序(我从here 得到的一个想法)以消除消息connecting to the matching region will be more performant。
if Rails.env.production?
CarrierWave.configure do |config|
config.fog_credentials = {
# Configuration for Amazon S3
:provider => 'AWS',
:aws_access_key_id => ENV['S3_ACCESS_KEY'], # Set these key's using heroku config:set S3_ACCESS_KEY=<access key>
:aws_secret_access_key => ENV['S3_SECRET_KEY'],
:region => 'eu-west-1'
}
config.fog_directory = ENV['S3_BUCKET']
end
end
- 它在开发中工作,我推到 Heroku。
错误:
在生产中使用上传器上传图像时,我收到错误We're sorry, but something went wrong. Heroku 服务器日志说:
app[web.1]: SQL (1.7ms) UPDATE "users" SET "avatar" = $1, "updated_at" = $2 WHERE "users"."id" = $3 [["avatar", "animaatjes.png.gif"], ["updated_at", "2015-05-20 12:37:56.683858"], ["id", 18]]
heroku[router]: at=info method=POST path="/users/18" host=xxx.herokuapp.com request_id=xxx-7f9f-4580-89ba-xxx fwd="xx.xxx.xx.xxx" dyno=web.1 connect=0ms service=3461ms status=500 bytes=1714
app[web.1]: Completed 500 Internal Server Error in 3317ms (ActiveRecord: 13.0ms)
app[web.1]: (1.4ms) ROLLBACK
app[web.1]: Excon::Errors::Forbidden (Expected(200) <=> Actual(403 Forbidden)
app[web.1]: excon.error.response
app[web.1]: :body => "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n<Error><Code>AccessDenied</Code><Message>Access Denied</Message><RequestId>F8xxxD89</RequestId><HostId>MdB5iSMgxxx1vqE+Q=</HostId></Error>"
app[web.1]: :headers => {
app[web.1]: "Connection" => "close"
app[web.1]: "Content-Type" => "application/xml"
app[web.1]: "Date" => "Wed, 20 May 2015 12:37:57 GMT"
app[web.1]: "Server" => "AmazonS3"
app[web.1]: "x-amz-id-2" => "MdB5iSMg***K1vqdP+E+Q="
app[web.1]: "x-amz-request-id" => "F80A**C58"
app[web.1]: }
app[web.1]: :local_address => "***.**.**.**"
app[web.1]: :local_port => *****
app[web.1]: :reason_phrase => "Forbidden"
app[web.1]: :remote_ip => "**.***.***.***"
app[web.1]: :status => 403
app[web.1]: :status_line => "HTTP/1.1 403 Forbidden\r\n"
app[web.1]: app/controllers/users_controller.rb:46:in 'update'
app[web.1]: Completed 500 Internal Server Error in 6151ms (ActiveRecord: 60.7ms)
我做错了什么?我好像和权限有关?
更新: 原因原来是授予用户的策略。如果我授予用户标准 AmazonS3FullAccess 则它可以工作。它不适用于仅 AmazonS3ReadOnlyAccess,从那时起用户无法保存新图像。在我的应用程序中,用户基本上只需要 2 个权限:上传自己的头像图像和读取头像图像。 使用 AmazonS3FullAccess 是否安全,或者我应该编写自己的自定义策略?
我尝试了下面的自定义策略,它应该赋予应用程序读取和写入权限(从 here 采用)但仍然产生 403 Forbidden 错误。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:ListBucket"],
"Resource": ["arn:aws:s3:::mybucket"]
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": ["arn:aws:s3:::mybucket/*"]
}
]
}
【问题讨论】:
-
这与您标题中的错误有何关系?我认为您需要编写存储桶策略或 IAM 策略来授予用户访问权限 - 请参阅 docs.aws.amazon.com/AmazonS3/latest/dev/…
-
谢谢,我改了标题。问题是我正在遵循 railstutorial.org 的步骤。我认为这应该很简单。因此,我有点犹豫是否需要进行任何自定义。在 IAM 中创建的用户通常不能授予存储桶的权限吗?那么,这可能不是问题所在吗?
-
本教程根本没有告诉您如何授予访问权限 - 它只是说“阅读文档”。
-
我想这是真的。我只看到 S3 的两个标准策略:AmazonS3FullAccess 和 AmazonS3ReadOnlyAccess。在 Rails 应用程序中添加了用户的(密钥)凭证后,我给了用户 AmazonS3FullAccess 并且它确实有效。只有 AmazonS3ReadOnlyAccess 用户不能上传它的头像图像(只能阅读它)。用户基本上只需要2个权限:上传自己的头像和读取头像。您认为我应该(以某种方式)编写自己的自定义策略还是使用 AmazonS3FullAccess 安全?
标签: ruby-on-rails ruby amazon-web-services amazon-s3 railstutorial.org