Доступ запрещен при загрузке файлов в Amazon с использованием политик Paperclip и IAM

Я не могу загрузить загрузку с помощью Paperclip, используя политику SAM IAM. У меня даже проблемы с прямыми загрузками jQuery (нет скрепки). Мой сценарий выглядит следующим образом: у меня есть приложение, на котором будет много сайтов. Каждый сайт будет иметь свое собственное ведро и должен иметь доступ только к собственному ковшу, а не к кому-то другому. В документации Примеры использования IAM объясняется, что именно я хочу сделать в разделе "Пример: разрешить каждому пользователю IAM доступ к папке в ведре". У меня есть группа IAM, настроенная для приложения, и у меня есть один пользователь на сайт в группе. Эти пользователи IAM принадлежат к группе. Политика в группе следующая:

{
   "Version":"2012-10-17",
   "Statement":[{
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::my-app/${aws:username}/*"
      }
   ]
}

Вот моя конфигурация CORS на ковше, для разработчиков, конечно, она будет заблокирована позже:

<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    <CORSRule>
        <AllowedOrigin>*</AllowedOrigin>
        <AllowedMethod>GET</AllowedMethod>
        <AllowedMethod>POST</AllowedMethod>
        <AllowedMethod>PUT</AllowedMethod>
        <AllowedHeader>*</AllowedHeader>
    </CORSRule>
</CORSConfiguration>

Вот мои настройки скрепки:

has_attached_file :background_image,
                  storage: :s3,
                  s3_credentials: {
                    access_key_id: "xxx",
                    secret_access_key: "xxx"
                  },
                  bucket: "my-app",
                  s3_permissions: "public-read",
                  path: "/background_images/:id/:filename"

Ранее я работал с политиками непосредственно на ведро, но это было не так гибко, как мне нужно, когда я перехожу в производственную среду со многими "сайтами". Насколько я могу судить, я точно следил за документацией, но все, что я делаю, приводит к "Доступ запрещен". На данный момент я даже не уверен, что моя проблема связана с моей политикой IAM или с моей конфигурацией Paperclip.

edit: уточнение.

изменить 2: ЗАКЛЮЧИТЕЛЬНОЕ РЕШЕНИЕ

Вот моя последняя политика IAM на основе этой статьи:

{
 "Version":"2012-10-17",
 "Statement": [
   {
     "Sid": "AllowUserToSeeBucketListInTheConsole",
     "Action": ["s3:ListAllMyBuckets", "s3:GetBucketLocation"],
     "Effect": "Allow",
     "Resource": ["arn:aws:s3:::*"]
   },
  {
     "Sid": "AllowRootAndHomeListingOfCompanyBucket",
     "Action": ["s3:ListBucket"],
     "Effect": "Allow",
     "Resource": ["arn:aws:s3:::my-app"],
     "Condition":{"StringEquals":{"s3:prefix":["","home/"],"s3:delimiter":["/"]}}
    },
   {
     "Sid": "AllowListingOfUserFolder",
     "Action": ["s3:ListBucket"],
     "Effect": "Allow",
     "Resource": ["arn:aws:s3:::estimator-app"],
     "Condition":{"StringLike":{"s3:prefix":["home/${aws:username}/*"]}}
   },
   {
     "Sid": "AllowAllS3ActionsInUserFolder",
     "Effect": "Allow",
     "Action": ["s3:*"],
     "Resource": ["arn:aws:s3:::my-app/home/${aws:username}/*"]
   }
 ]
}

И мои обновленные настройки скрепки:

has_attached_file :background_image,
                    storage: :s3,
                    s3_credentials: {
                      access_key_id: "xxx",
                      secret_access_key: "xxx"
                    },
                    bucket: "estimator-app",
                    s3_permissions: "public-read",
                    path: "/home/my_s3_username/background_images/:id/:filename"

Важно было указать имя пользователя в пути к папке. Я предполагал, что Amazon выведет это из учетных данных, но это не так.

Ответ 1

Поскольку вы пытаетесь установить разрешения для объектов, которые вы загружаете, вам также нужно предоставить своим пользователям IAM разрешение s3:PutObjectAcl.