Excon ::错误::禁止(预期(200)<=>实际(403禁止)

问题描述 投票:7回答:3

当我尝试将图片上传到“Car”对象时,我被拒绝访问S3。但是我添加了S3后,资源文件夹中的站点图像显示得很好。我得到的具体错误是:

2015-02-17T14:40:48.459629+00:00 app[web.1]: Excon::Errors::Forbidden (Expected(200) <=> Actual(403 Forbidden)
2015-02-17T14:40:48.459630+00:00 app[web.1]: excon.error.response
2015-02-17T14:40:48.459635+00:00 app[web.1]:     "Connection"       => "close"
2015-02-17T14:40:48.459637+00:00 app[web.1]:     "Content-Type"     => "application/xml"
2015-02-17T14:40:48.459639+00:00 app[web.1]:     "Date"             => "Tue, 17 Feb 2015 14:40:48 GMT"
2015-02-17T14:40:48.459640+00:00 app[web.1]:     "Server"           => "AmazonS3"
2015-02-17T14:40:48.459632+00:00 app[web.1]:   :body          => "<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n<Error><Code>AccessDenied</Code><Message>Access Denied</Message><RequestId>2CE306ACD51F02A1</RequestId><HostId>tKLXUAKxyDFTMExl7kE+AuVVsEJOFqXh983li6N7R2UlYDXv1Z3GJRvW5zy1XIXVs2zArp310vg=</HostId></Error>"
2015-02-17T14:40:48.459642+00:00 app[web.1]:     "x-amz-id-2"       => ""part of secret key"="

随着“秘密密钥的一部分”明显被编辑。我尝试创建一个不同的用户并使用新密钥,但这没有用。不是从这里去的地方。

应用程序/上传/ picture_uploader

class PictureUploader < CarrierWave::Uploader::Base
  include CarrierWave::MiniMagick
  process resize_to_limit: [400, 400]

  if Rails.env.production?
    storage :fog
  else
    storage :file
  end

  # Override the directory where uploaded files will be stored.
  # This is a sensible default for uploaders that are meant to be mounted:
  def store_dir
    "uploads/#{model.class.to_s.underscore}/#{mounted_as}/#{model.id}"
  end

  # Add a white list of extensions which are allowed to be uploaded.
  def extension_white_list
    %w(jpg jpeg gif png)
  end
end

carrier_wave.rb

if Rails.env.production?
  CarrierWave.configure do |config|
    config.fog_credentials = {
      # Configuration for Amazon S3
      :provider              => 'AWS',
      :aws_access_key_id     => ENV['S3_ACCESS_KEY'],
      :aws_secret_access_key => ENV['S3_SECRET_KEY']
    }
    config.fog_directory     =  ENV['S3_BUCKET']
  end
end

我相信这是所有相关文件,请告诉我是否还有更多内容。不确定指定区域或超级用户是否有帮助,似乎不会。

ruby-on-rails amazon-s3 carrierwave railstutorial.org
3个回答
43
投票

[编辑:此时我默认为另一个答案,特别是如果你处于刺激环境中。这是一种解决方法,对我来说在几年前制造易碎玩具时起作用,但我同意在担心安全问题时授予最小权限。]

我遇到了同样的错误,解决方案是从AWS管理控制台附加管理访问策略:

1)在http://aws.amazon.com/iam/登录AWS管理控制台

2)单击左侧导航窗格中的“策略”

3)选择“AdministratorAccess”策略

4)单击页面顶部的“策略操作”>“附加”

5)选择与我的S3_ACCESS_KEY,S3_SECRET_KEY和S3_BUCKET关联的用户

6)点击“附加政策”

仅仅在https://console.aws.amazon.com/s3/home授予我的桶的所有权限是不够的。

2
投票

从安全角度来看,告诉您在IAM用户上授予AdministratorAccess的另一个答案是一个坏主意 - 它允许任何有权访问这些密钥的人在您的帐户中执行任何操作,包括删除所有基础结构。

我还没有确定Carrierwave / Fog所需的最小权限集,但是我工作的一个较小的集合看起来像:

使用以下策略文档创建AWS IAM策略:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::BUCKETNAME/*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "arn:aws:s3:::BUCKETNAME"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

请注意,在BUCKETNAMEBUCKETNAME/*上指定S3操作不是错误 - 第一个涉及对存储桶执行的API操作,第二个涉及存储桶中存储的对象。

1
投票

我用过这本手册:https://medium.com/@mohit_22386/ruby-on-rails-aws-how-to-put-assets-on-aws-s3-and-fetch-using-cloudfront-84de9800ce3d

设置完成后,我可以通过软件(DragonDisk)添加或删除存储桶中的文件。但我在资产上遇到了同样的错误:预编译。我刚刚在存储桶设置的权限>公共访问设置页面上删除了ACL的ckeckbox:

removed checkboxes

此外,我使用了我的主帐户,没有IAM,因此Rob Mulholand的aswer与我无关。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.