使用 STS 凭证上传 aws-sdk - 403 错误
aws-sdk upload with STS credentials - 403 error
我一直在尝试设置 Amazon 的 STS(安全令牌服务)来为客户端上传到 S3 创建临时凭证。
我可以使用 IAM 用户生成的访问密钥使代码正常工作,但是当我换出访问 key/secret 密钥然后添加会话令牌时,我收到 403 禁止访问。 S3 访问日志不记录尝试。
在 STS 端,我通过 aws-sdk 为 node.js 生成凭据,使用与上面相同的 IAM 用户,SDK 愉快地生成 STS 凭据:
let sts = new AWS.STS({apiVersion: '2011-06-15'});
sts.assumeRole({
RoleArn: 'arn:aws:iam::[REMOVED]:role/[REMOVED]',
RoleSessionName: [REMOVED (generated by concatenating a few ids)]
DurationSeconds: 60 * 20,
}, (err, data)=>{
//callback handling
});
上传测试代码:
var AWS = require('aws-sdk');
// Load the stream
var fs = require('fs');
var body = fs.createReadStream('./helloworld.txt');
AWS.config.update({
region: 'ap-southeast-2',
accessKeyId: '[REMOVED]',
secretAccessKey: '[REMOVED]',
sessionToken: '[REMOVED]'
});
// Upload the stream
var s3 = new AWS.S3();
s3.putObject({
Body: body,
Bucket: '[REMOVED]',
Key: 'helloworld.txt'
}, function(err, data) {
if (err) console.log(err, err.stack); // an error occurred
else console.log(data); // successful response
});
aws-sdk 版本:2.4.8
node.js: 4.2.3
我已经使用 IAM 模拟器测试了它假定的角色策略,它说它很好。尝试在浏览器端和服务端使用sdk上传。
我打开了 S3 CORS(用于调试)以确保那里没有发生任何奇怪的事情:
<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
<CORSRule>
<AllowedOrigin>*</AllowedOrigin>
<AllowedMethod>PUT</AllowedMethod>
<AllowedMethod>GET</AllowedMethod>
<AllowedMethod>POST</AllowedMethod>
<MaxAgeSeconds>0</MaxAgeSeconds>
<ExposeHeader>ETag</ExposeHeader>
<ExposeHeader>x-amz-server-side-encryption</ExposeHeader>
<ExposeHeader>x-amz-request-id</ExposeHeader>
<ExposeHeader>x-amz-id-2</ExposeHeader>
<AllowedHeader>*</AllowedHeader>
<AllowedHeader>x-amz-acl</AllowedHeader>
</CORSRule>
</CORSConfiguration>
我打开的S3策略(再次调试):
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": [
"[REMOVED]"
]
}
]
}
有什么想法吗?
原来缺少的配置是存储桶本身的 ACL,原始 ACL 允许我的根帐户进行所有更改,我猜代码工作的 IAM 帐户继承了某种权限。
为 upload/delete 添加这一行有效。
我一直在尝试设置 Amazon 的 STS(安全令牌服务)来为客户端上传到 S3 创建临时凭证。
我可以使用 IAM 用户生成的访问密钥使代码正常工作,但是当我换出访问 key/secret 密钥然后添加会话令牌时,我收到 403 禁止访问。 S3 访问日志不记录尝试。
在 STS 端,我通过 aws-sdk 为 node.js 生成凭据,使用与上面相同的 IAM 用户,SDK 愉快地生成 STS 凭据:
let sts = new AWS.STS({apiVersion: '2011-06-15'});
sts.assumeRole({
RoleArn: 'arn:aws:iam::[REMOVED]:role/[REMOVED]',
RoleSessionName: [REMOVED (generated by concatenating a few ids)]
DurationSeconds: 60 * 20,
}, (err, data)=>{
//callback handling
});
上传测试代码:
var AWS = require('aws-sdk');
// Load the stream
var fs = require('fs');
var body = fs.createReadStream('./helloworld.txt');
AWS.config.update({
region: 'ap-southeast-2',
accessKeyId: '[REMOVED]',
secretAccessKey: '[REMOVED]',
sessionToken: '[REMOVED]'
});
// Upload the stream
var s3 = new AWS.S3();
s3.putObject({
Body: body,
Bucket: '[REMOVED]',
Key: 'helloworld.txt'
}, function(err, data) {
if (err) console.log(err, err.stack); // an error occurred
else console.log(data); // successful response
});
aws-sdk 版本:2.4.8 node.js: 4.2.3
我已经使用 IAM 模拟器测试了它假定的角色策略,它说它很好。尝试在浏览器端和服务端使用sdk上传。
我打开了 S3 CORS(用于调试)以确保那里没有发生任何奇怪的事情:
<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
<CORSRule>
<AllowedOrigin>*</AllowedOrigin>
<AllowedMethod>PUT</AllowedMethod>
<AllowedMethod>GET</AllowedMethod>
<AllowedMethod>POST</AllowedMethod>
<MaxAgeSeconds>0</MaxAgeSeconds>
<ExposeHeader>ETag</ExposeHeader>
<ExposeHeader>x-amz-server-side-encryption</ExposeHeader>
<ExposeHeader>x-amz-request-id</ExposeHeader>
<ExposeHeader>x-amz-id-2</ExposeHeader>
<AllowedHeader>*</AllowedHeader>
<AllowedHeader>x-amz-acl</AllowedHeader>
</CORSRule>
</CORSConfiguration>
我打开的S3策略(再次调试):
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": [
"[REMOVED]"
]
}
]
}
有什么想法吗?
原来缺少的配置是存储桶本身的 ACL,原始 ACL 允许我的根帐户进行所有更改,我猜代码工作的 IAM 帐户继承了某种权限。
为 upload/delete 添加这一行有效。
