python - Amazon S3 上传响应 HTTP 403:拒绝访问
问题描述
这将是一篇很长的帖子,但由于我不知道哪里出了问题,我认为过于冗长比遗漏重要信息要好。
我正在尝试按照本指南将图像上传到我的 Amazon S3 存储桶:https ://devcenter.heroku.com/articles/s3-upload-python 。
我设置我的代码如下:
索引.html
<img id="preview" src="https://via.placeholder.com/320?text=Image+Upload">
<input id="file_input" class="form-control" type="file" name="image" accept="image/*">
<form method="POST" action="/gallery/upload" enctype="multipart/form-data">
<input type="hidden" name="csrfmiddlewaretoken" value="lVE...ASG">
<input type="hidden" id="image-url" name="image-url">
<input class="form-control" type="text" name="title" placeholder="Title">
<input class="form-control" type="text" name="price" placeholder="Price">
<div class="form-control">
<input type="checkbox" name="archive" value="True">
<label for="archive">Archive</label>
</div>
<input class="form-control btn-primary" type="submit">
</form>
s3.js
function uploadFile(file, s3Data, url) {
var xhr = new XMLHttpRequest();
xhr.open("POST", s3Data.url);
var postData = new FormData();
for (key in s3Data.fields) {
postData.append(key, s3Data.fields[key]);
}
postData.append('file', file);
for (var [key, value] of postData.entries()) {
console.log(key + ': ' + value);
}
xhr.onreadystatechange = function () {
if (xhr.readyState === 4) {
if (xhr.status === 200 || xhr.status === 204) {
document.getElementById("preview").src = url;
document.getElementById("image-url").value = url;
}
else {
alert("Could not upload file.");
}
}
};
xhr.send(postData);
}
function getSignedRequest(file) {
var xhr = new XMLHttpRequest();
xhr.open("GET", "/gallery/sign_s3?file_name="
+ file.name + "&file_type=" + file.type);
xhr.onreadystatechange = function () {
if (xhr.readyState === 4) {
if (xhr.status === 200) {
var response = JSON.parse(xhr.responseText);
uploadFile(file, response.data, response.url);
}
else {
alert("Could not get signed URL.");
}
}
};
xhr.send();
}
$(document).ready(function () {
(function () {
document.getElementById("file_input").onchange = function () {
var files = document.getElementById("file_input").files;
var file = files[0];
if (!file) {
return alert("No file selected.");
}
getSignedRequest(file);
};
})();
});
视图.py
S3_BUCKET = os.environ.get('S3_BUCKET')
AWS_ACCESS_KEY_ID = os.environ.get('AWS_ACCESS_KEY_ID')
AWS_SECRET_ACCESS_KEY = os.environ.get('AWS_SECRET_ACCESS_KEY')
s3 = boto3.client(
's3',
aws_access_key_id=AWS_ACCESS_KEY_ID,
aws_secret_access_key=AWS_SECRET_ACCESS_KEY,
)
def sign_s3(request):
file_name = request.GET.get('file_name')
file_type = request.GET.get('file_type')
presigned_post = s3.generate_presigned_post(
Bucket=S3_BUCKET,
Key=file_name,
Fields={"acl": "public-read", "Content-Type": file_type},
Conditions=[
{"acl": "public-read"},
{"Content-Type": file_type}
],
ExpiresIn=3600
)
return JsonResponse({
'data': presigned_post,
'url': 'https://%s.s3.amazonaws.com/%s' % (S3_BUCKET, file_name)
})
当我使用文件上传器选择图像时,我会收到“无法上传文件”的警报,以及来自 Chrome 开发人员控制台的以下输出:
acl: public-read
Content-Type: image/jpeg
key: dragon.jpg
x-amz-algorithm: AWS4-HMAC-SHA256
x-amz-credential: AKI...TRA/20190224/us-east-2/s3/aws4_request
x-amz-date: 20190224T044659Z
policy: eyJ...XX0=
x-amz-signature: 7ea...18a
file: [object File]
似乎预签名通过了,但我得到这个 XML 作为上传的响应:
<Error>
<Code>AccessDenied</Code>
<Message>Access Denied</Message>
<RequestId>5D1...AB5</RequestId>
<HostId>cYX...WKw=</HostId>
</Error>
我的 CORS 政策非常宽松(我计划稍后更改,但现在我想防止访问受到限制):
<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
<CORSRule>
<AllowedOrigin>*</AllowedOrigin>
<AllowedMethod>GET</AllowedMethod>
<AllowedMethod>POST</AllowedMethod>
<AllowedMethod>PUT</AllowedMethod>
<AllowedHeader>*</AllowedHeader>
</CORSRule>
</CORSConfiguration>
我尝试编辑存储桶策略,但仍然收到“拒绝访问”错误。本指南用处不大:https ://aws.amazon.com/premiumsupport/knowledge-center/s3-access-denied-bucket-policy/
我不知道是什么原因造成的,但我的猜测是某处存在权限问题。我不知道在哪里。任何帮助表示赞赏。
编辑:用户的政策是AdministratorAccess
和AmazonS3FullAccess
。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*"
}
]
}
编辑 2:我可以通过取消选中公共访问设置中的“阻止新的公共存储桶策略”来更改我的存储桶策略。将其设置为以下不再导致存储桶策略页面上出现“拒绝访问”错误消息,但我仍然无法通过 XHR 上传文件:
{
"Id": "Policy...237",
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt...935",
"Action": "s3:*",
"Effect": "Allow",
"Resource": "arn:aws:s3:::coolwater-creations/*",
"Principal": {
"AWS": [
"...764"
]
}
}
]
}
解决方案
我怀疑您使用的帐户与您在 IAM 中看到的帐户不同:
从您共享的屏幕截图中可以看出,您的屏幕截图中 IAM 用户的名称与您的用户名不匹配
如果您以该 IAM 用户身份登录,您应该会在您的用户名中看到相同的名称
因此,您要么以 root 帐户登录,在这种情况下,错误将出现在存储桶的创建方式上(检查https://aws.amazon.com/premiumsupport/knowledge-center/s3-troubleshoot-403/)或您正在使用 AWS 合作伙伴的 SSO 登录,在这种情况下,您的权限会有所不同,并且不受您在那里看到的 IAM 控制。
推荐阅读
- python - 在 anaconda 环境中使用 pyinstaller 来打包程序并发出警告:找不到 lib
- python - 如何在python中将for循环的增量设置为1?
- php - 当我foreach一个php数组时如何换行?
- javascript - 如何使用 javascript 创建 HTML 选择菜单选项
- jmeter - 如何分析 JMeter jlt 输出(命令行非 GUI 模式)?
- django - 在 django 中,有没有办法限制用户访问 url 及其所有子 url?
- python - 如何在没有循环的情况下将二维关联数组保存在 csv 中?
- ios - 地图移动时在地图上显示 5 000 个图钉会滞后
- perl - 按多列对数据库中的现有用户进行排序
- python - 如何使用 pysimpleguiqt 创建布局窗口以从本地系统中选择文件