ruby-on-rails - 使用 Paperclip 和 IAM 策略将文件上传到 Amazon 时访问被拒绝

Question

我无法使用 S3 IAM 策略使用 Paperclip 进行上传。我什至在直接上传 jQuery 时遇到问题（没有回形针）。我的场景如下，我有一个包含许多站点的应用程序。每个站点都有自己的存储桶，并且应该只能访问自己的存储桶，其他人不能访问。IAM 示例策略文档准确地解释了我想要在“示例：允许每个 IAM 用户访问存储桶中的文件夹”下执行的操作。我为应用程序设置了一个 IAM 组，并且该组中每个站点都有一个用户。这些 IAM 用户属于该组。该组的策略如下：

{
   "Version":"2012-10-17",
   "Statement":[{
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::my-app/${aws:username}/*"
      }
   ]
}

这是我在存储桶上的 CORS 配置，当然，对于开发人员，它稍后会被锁定：

<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    <CORSRule>
        <AllowedOrigin>*</AllowedOrigin>
        <AllowedMethod>GET</AllowedMethod>
        <AllowedMethod>POST</AllowedMethod>
        <AllowedMethod>PUT</AllowedMethod>
        <AllowedHeader>*</AllowedHeader>
    </CORSRule>
</CORSConfiguration>

这是我的回形针设置：

has_attached_file :background_image,
                  storage: :s3,
                  s3_credentials: {
                    access_key_id: "xxx",
                    secret_access_key: "xxx"
                  },
                  bucket: "my-app",
                  s3_permissions: "public-read",
                  path: "/background_images/:id/:filename"

我以前直接在存储桶上使用策略，它确实有效，但当我进入具有许多“站点”的生产环境时，它并不像我需要的那样灵活。据我所知，我已经完全按照文档进行了操作，但我所做的任何事情都会导致“拒绝访问”。在这一点上，我什至不确定我的问题是与我的 IAM 策略还是我的 Paperclip 配置有关。

编辑：澄清。

编辑2：最终解决方案

这是我基于这篇文章的最终 IAM 政策：

{
 "Version":"2012-10-17",
 "Statement": [
   {
     "Sid": "AllowUserToSeeBucketListInTheConsole",
     "Action": ["s3:ListAllMyBuckets", "s3:GetBucketLocation"],
     "Effect": "Allow",
     "Resource": ["arn:aws:s3:::*"]
   },
  {
     "Sid": "AllowRootAndHomeListingOfCompanyBucket",
     "Action": ["s3:ListBucket"],
     "Effect": "Allow",
     "Resource": ["arn:aws:s3:::my-app"],
     "Condition":{"StringEquals":{"s3:prefix":["","home/"],"s3:delimiter":["/"]}}
    },
   {
     "Sid": "AllowListingOfUserFolder",
     "Action": ["s3:ListBucket"],
     "Effect": "Allow",
     "Resource": ["arn:aws:s3:::estimator-app"],
     "Condition":{"StringLike":{"s3:prefix":["home/${aws:username}/*"]}}
   },
   {
     "Sid": "AllowAllS3ActionsInUserFolder",
     "Effect": "Allow",
     "Action": ["s3:*"],
     "Resource": ["arn:aws:s3:::my-app/home/${aws:username}/*"]
   }
 ]
}

还有我更新的回形针设置：

has_attached_file :background_image,
                    storage: :s3,
                    s3_credentials: {
                      access_key_id: "xxx",
                      secret_access_key: "xxx"
                    },
                    bucket: "estimator-app",
                    s3_permissions: "public-read",
                    path: "/home/my_s3_username/background_images/:id/:filename"

在回形针路径中包含用户名很重要。我假设亚马逊会从凭证中推断出这一点，但事实并非如此。

Answer 1

由于您尝试为上传的对象设置权限，因此您还需要向 IAM 用户s3:PutObjectAcl授予权限。