Доступ запрещен при загрузке файлов в Amazon с использованием политик Paperclip и IAM
Я не могу загрузить файл с помощью Paperclip, используя политику S3 IAM. У меня даже возникают проблемы с прямой загрузкой jQuery (без Paperclip). Мой сценарий выглядит следующим образом, у меня есть приложение, которое будет иметь много сайтов. Каждый сайт будет иметь свое собственное ведро и должен иметь доступ только к своему собственному ведру, а не к кому-либо еще.Пример политики IAM Документация объясняет, что именно я хочу сделать в разделе «Пример: разрешить каждому пользователю IAM доступ к папке в корзине». У меня есть группа IAM, настроенная для приложения, и у меня есть один пользователь на сайт в группе. Эти пользователи IAM принадлежат к группе. Политика в отношении группы выглядит следующим образом:
{
"Version":"2012-10-17",
"Statement":[{
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:DeleteObject",
"s3:DeleteObjectVersion"
],
"Resource":"arn:aws:s3:::my-app/${aws:username}/*"
}
]
}
Вот моя конфигурация CORS на корзине, для dev, конечно, она будет заблокирована позже:
<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
<CORSRule>
<AllowedOrigin>*</AllowedOrigin>
<AllowedMethod>GET</AllowedMethod>
<AllowedMethod>POST</AllowedMethod>
<AllowedMethod>PUT</AllowedMethod>
<AllowedHeader>*</AllowedHeader>
</CORSRule>
</CORSConfiguration>
Вот мои настройки скрепки:
has_attached_file :background_image,
storage: :s3,
s3_credentials: {
access_key_id: "xxx",
secret_access_key: "xxx"
},
bucket: "my-app",
s3_permissions: "public-read",
path: "/background_images/:id/:filename"
Ранее я работал с политиками непосредственно в корзине, которая работала, но не была настолько гибкой, как мне нужно, когда я перехожу в производственную среду со многими «сайтами». Насколько я могу судить, я точно следовал документации, но все, что я делаю, приводит к «Отказано в доступе». На данный момент я даже не уверен, связана ли моя проблема с моей политикой IAM или с конфигурацией Paperclip.
редактировать: уточнение.
редактировать 2: ЗАКЛЮЧИТЕЛЬНОЕ РЕШЕНИЕ
Вот моя окончательная политика IAM, основанная наэта статья:
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUserToSeeBucketListInTheConsole",
"Action": ["s3:ListAllMyBuckets", "s3:GetBucketLocation"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::*"]
},
{
"Sid": "AllowRootAndHomeListingOfCompanyBucket",
"Action": ["s3:ListBucket"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::my-app"],
"Condition":{"StringEquals":{"s3:prefix":["","home/"],"s3:delimiter":["/"]}}
},
{
"Sid": "AllowListingOfUserFolder",
"Action": ["s3:ListBucket"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::estimator-app"],
"Condition":{"StringLike":{"s3:prefix":["home/${aws:username}/*"]}}
},
{
"Sid": "AllowAllS3ActionsInUserFolder",
"Effect": "Allow",
"Action": ["s3:*"],
"Resource": ["arn:aws:s3:::my-app/home/${aws:username}/*"]
}
]
}
И мои обновленные настройки скрепки:
has_attached_file :background_image,
storage: :s3,
s3_credentials: {
access_key_id: "xxx",
secret_access_key: "xxx"
},
bucket: "estimator-app",
s3_permissions: "public-read",
path: "/home/my_s3_username/background_images/:id/:filename"
Важно было включить имя пользователя в путь Скрепка. Я предполагал, что Amazon выведет это из учетных данных, но это не так.