Elastic Beanstalk S3-Berechtigung für Standardrolle: Still-Berechtigung verweigert für Dateizugriff

Question

Der Versuch, einen EB mit S3-Bucket arbeiten zu lassen. Ich dachte, ich hätte alle Anweisungen befolgt, aber kann nicht hochgeladen werden pdf zur Anzeige (derzeit "Berechtigung verweigert"). Ich hatte dies früher auf Heroku + S3 arbeiten so wissen, dass es in der Theorie funktioniert.

Setup-

• Ruby-EB, einzelne Instanz. mit Standard-App erstellt
• hinzugefügt, um die paperclip demo app
• app: paperclipdemo3 env: paperclipdemo3-dev
• Instanzprofil (AWS-elasticbeanstalk-EC2-Rolle). Standard-Service Profil (aws-elasticbeanstalk-Service-Rolle)
• angebracht AmazonS3FullAccess dieser rol
• S3 Eimer in derselben Region erstellt

Fehler Wenn die hochgeladene Datei sehen (pdf) gibt AccessDeniedAccess Denied5CDDC975006C7C62h3ohBvPu8hXYIZkwLsgF/k0akNuLjyaOpbBzgsxmgtesQ/UJBlOH6phRrsr0tPowNFBFZ7LCI7M =

uploaded doc S3 Pfad

per erzeugten HTML-Seite

https://s3-ap-southeast-2.amazonaws.com/paperclipdemo3bucket1/var/app/current/public/pdf/1/original/testupload_2page_doc1.pdf?1458545227

Versuchte

• fixed 'leider etwas schief gelaufen ist', die Endpunkte/Region Config
• Hinzufügen spezifischer Politik war wie in docs Customizing Eimer Namen vorgeschlagen usw., aber entschieden, wenn es nicht funktionierte, um einfach zu gehen:
• Hinzufügen von S3 fullaccess zu der aws-elasticbeanstalk-ec2-Rolle (die die 'Simples scheint t 'wie hier definiert: "SO S3 permissions".
• machen die S3-Bucket Welt lesbar (d. H. Jeder) und es gibt den gleichen Zugriff verweigert sicherlich sollte dies funktionieren !?

kann einfach nicht funktionieren. wette es ist etwas offensichtlich !?

Hoffnung jemand anderes schneller erkennen können, als ich es kann, irgendwelche Gedanken geschätzt

Ben

EDIT 1 - Ich habe bemerkt, dass die Menschen sehen logs in EB console sprechen, aber alles, was ich tun kann, ist, laden Sie die letzten 100 Linien oder vollständige EC2-Protokolle. Keines meiner Protokolle erwähnt S3-Fehler (außer das Laden der Datei per Büroklammer), es gibt keinen Rückgabecode. Ich habe auch bemerkt, mein S3 Eimer gibt keine Protokolle zu schreiben (obwohl in derselben Region einen separates Protokoll Eimer angebracht)

Büroklammer Config

config.paperclip_defaults = { 
     :storage => :s3, 
     :s3_region => 'ap-southeast-2', 
     :s3_permissions => :private, 
     :s3_protocol => 'https', 
     :s3_host_name => 's3-ap-southeast-2.amazonaws.com', 
     :s3_endpoint => 's3-ap-southeast-2.amazonaws.com', 
     :s3_credentials => { 
     :bucket => ENV['AWS_BUCKET'], 
     :access_key_id => ENV['AWS_ACCESS_KEY_ID'], 
     :secret_access_key => ENV['AWS_SECRET_ACCESS_KEY'], 
     } 
    } 

Rollen

Richtlinie für die Rolle aws-elasticbeanstalk-ec2-role

EB Konfigurationsumgebung variablest

S3 Beispiel hochgeladene Datei Berechtigungen

Answer 1

Ich mische S3-Richtlinie & ACLs. Diese Konfiguration ist die culpit

:s3_permissions => :private, 

Wenn es es geht an die Börse entfernt!

dies hat eine gute Erklärung dafür: https://thewebfellas.com/blog/protecting-your-paperclip-downloads mit der ACL hier aufgelistet: http://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html