Я не могу загрузить загрузку с помощью Paperclip, используя политику SAM IAM. У меня даже проблемы с прямыми загрузками jQuery (нет скрепки). Мой сценарий выглядит следующим образом: у меня есть приложение, на котором будет много сайтов. Каждый сайт будет иметь свое собственное ведро и должен иметь доступ только к собственному ковшу, а не к кому-то другому. В документации Примеры использования IAM объясняется, что именно я хочу сделать в разделе "Пример: разрешить каждому пользователю IAM доступ к папке в ведре". У меня есть группа IAM, настроенная для приложения, и у меня есть один пользователь на сайт в группе. Эти пользователи IAM принадлежат к группе. Политика в группе следующая:
{
"Version":"2012-10-17",
"Statement":[{
"Effect":"Allow",
"Action":[
"s3:PutObject",
"s3:GetObject",
"s3:GetObjectVersion",
"s3:DeleteObject",
"s3:DeleteObjectVersion"
],
"Resource":"arn:aws:s3:::my-app/${aws:username}/*"
}
]
}
Вот моя конфигурация CORS на ковше, для разработчиков, конечно, она будет заблокирована позже:
<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
<CORSRule>
<AllowedOrigin>*</AllowedOrigin>
<AllowedMethod>GET</AllowedMethod>
<AllowedMethod>POST</AllowedMethod>
<AllowedMethod>PUT</AllowedMethod>
<AllowedHeader>*</AllowedHeader>
</CORSRule>
</CORSConfiguration>
Вот мои настройки скрепки:
has_attached_file :background_image,
storage: :s3,
s3_credentials: {
access_key_id: "xxx",
secret_access_key: "xxx"
},
bucket: "my-app",
s3_permissions: "public-read",
path: "/background_images/:id/:filename"
Ранее я работал с политиками непосредственно на ведро, но это было не так гибко, как мне нужно, когда я перехожу в производственную среду со многими "сайтами". Насколько я могу судить, я точно следил за документацией, но все, что я делаю, приводит к "Доступ запрещен". На данный момент я даже не уверен, что моя проблема связана с моей политикой IAM или с моей конфигурацией Paperclip.
edit: уточнение.
изменить 2: ЗАКЛЮЧИТЕЛЬНОЕ РЕШЕНИЕ
Вот моя последняя политика IAM на основе этой статьи:
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowUserToSeeBucketListInTheConsole",
"Action": ["s3:ListAllMyBuckets", "s3:GetBucketLocation"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::*"]
},
{
"Sid": "AllowRootAndHomeListingOfCompanyBucket",
"Action": ["s3:ListBucket"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::my-app"],
"Condition":{"StringEquals":{"s3:prefix":["","home/"],"s3:delimiter":["/"]}}
},
{
"Sid": "AllowListingOfUserFolder",
"Action": ["s3:ListBucket"],
"Effect": "Allow",
"Resource": ["arn:aws:s3:::estimator-app"],
"Condition":{"StringLike":{"s3:prefix":["home/${aws:username}/*"]}}
},
{
"Sid": "AllowAllS3ActionsInUserFolder",
"Effect": "Allow",
"Action": ["s3:*"],
"Resource": ["arn:aws:s3:::my-app/home/${aws:username}/*"]
}
]
}
И мои обновленные настройки скрепки:
has_attached_file :background_image,
storage: :s3,
s3_credentials: {
access_key_id: "xxx",
secret_access_key: "xxx"
},
bucket: "estimator-app",
s3_permissions: "public-read",
path: "/home/my_s3_username/background_images/:id/:filename"
Важно было указать имя пользователя в пути к папке. Я предполагал, что Amazon выведет это из учетных данных, но это не так.