Q&A
バケットポリシーのPrincipalにIAMユーザを指定していますが、まさかクライアントサイドのソースにアクセスキーを埋め込むような実装にしているんでしょうか?
S3の画像はデフォルトで公開されていいものなのか、何かしら認証を挟んだりしたいのかどちらでしょうか。
#やりたいこと
AWS S3に保存された画像を表示したい。また、読み込んだ画像をページに描写したい。
環境
boto3==1.16.9 dj-database-url==0.5.0 Django==3.1.1 django-heroku==0.3.1 django-rest-auth==0.9.5 django-storages==1.10.1 djangorestframework==3.12.1 djangorestframework-camel-case==1.2.0 s3transfer==0.3.3 whitenoise==5.2.0
#問題点
Djangoから画像取得のGETリクエストを送ると、403(Forbidden)が返ってくる。
また、画像が保存されているurlへ直接飛んでも以下のようなエラーが出て表示されない。
This XML file does not appear to have any style information associated with it. The document tree is shown below. <Error> <Code>AccessDenied</Code> <Message>Access Denied</Message> <RequestId>F57F43C313E89981</RequestId> <HostId>m7/v04OT+OeKsxf9dPXzjEq8kypOSnZQtq9d1ZimR699EQAl1tskUM0Ly6VD9+/26gKM5VH82xM=</HostId> </Error>
#詳細
現在、フロントエンドをReactで、バックエンドをDjangoで開発を進めています。Herokuでデプロイした後に、Herokuで画像を保存できないことから、AWS S3に保存できるように設定を書いています。
記事を参考にしながら進めていった結果、画像をPOSTリクエストで保存することに成功しました。しかしながら、保存した画像が表示されません。
はじめは、アクセスキーが間違っている、パスが違うことが原因と考慮しましたが、S3内でオブジェクトURLに直接アクセスした際に画像が表示されなかったため、アクセス許可の部分で問題が発生していて画像が読み込まれないのだと私は考えております(オブジェクト単位で、「公開する」を選んだ場合画像は表示されたため、パス自体は合っているとは思います)。
AWSのアクセス許可関連ということで、IAMポリシー若しくはバケットポリシーに問題があると思い、設定を変更してみましたが、状況は変わらず、画像の読み込みができません。
S3内のバケットポリシーは以下のように設定しております。
{ "Version": "2012-10-17", "Id": "PublicRead", "Statement": [ { "Sid": "1", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::000000000000:user/Toshi023" }, "Action": "s3:*", "Resource": [ "arn:aws:s3:::extra-exchange-images/*", "arn:aws:s3:::extra-exchange-images" ] } ] }
また、IAMユーザーのポリシーは、Herokuと結び付けているIAMユーザーをグループに入れた上で、そのグループにAmazonS3FullAccessのポリシーをアタッチしています。jsonファイルで表すと以下のようになります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] }
ACLの方で、パブリックアクセスの読み取り・書き込みを許可しても、同様にURLからも画像が見れませんでした。
AWS S3のCORSは以下のように書いています(おそらく最近書き方が変わったため、記事でよく見かけるXML文書の書き方だとエラーになったため、以下のように書いています)。
[ { "AllowedHeaders": [ "*" ], "AllowedMethods": [ "PUT", "POST", "DELETE", "GET" ], "AllowedOrigins": [ "*" ], "ExposeHeaders": [] } ]
settings.pyの方は以下のように記述をしております。
""" Django settings for extra_exchange project. Generated by 'django-admin startproject' using Django 3.1. For more information on this file, see https://docs.djangoproject.com/en/3.1/topics/settings/ For the full list of settings and their values, see https://docs.djangoproject.com/en/3.1/ref/settings/ """ from pathlib import Path import os import dj_database_url # Build paths inside the project like this: BASE_DIR / 'subdir'. # __file__ = 実行中のファイル(settings.py) BASE_DIR = os.path.dirname(os.path.dirname(os.path.abspath(__file__))) # Quick-start development settings - unsuitable for production # See https://docs.djangoproject.com/en/3.1/howto/deployment/checklist/ # SECURITY WARNING: keep the secret key used in production secret! # SECURITY WARNING: don't run with debug turned on in production! DEBUG = False ALLOWED_HOSTS = ['*'] # Application definition INSTALLED_APPS = [ 'django.contrib.admin', 'django.contrib.auth', 'django.contrib.contenttypes', 'django.contrib.sessions', 'django.contrib.messages', 'django.contrib.staticfiles', 'django.contrib.sites', "rest_framework", "app", "corsheaders", 'rest_framework.authtoken', 'rest_auth', 'rest_auth.registration', 'allauth', 'allauth.account', 'allauth.socialaccount', 'django_filters', 'gunicorn', 'storages', ] MIDDLEWARE = [ "corsheaders.middleware.CorsMiddleware", "django.middleware.common.CommonMiddleware", 'django.middleware.security.SecurityMiddleware', 'whitenoise.middleware.WhiteNoiseMiddleware', 'django.contrib.sessions.middleware.SessionMiddleware', 'django.middleware.common.CommonMiddleware', 'django.middleware.csrf.CsrfViewMiddleware', 'django.contrib.auth.middleware.AuthenticationMiddleware', 'django.contrib.messages.middleware.MessageMiddleware', 'django.middleware.clickjacking.XFrameOptionsMiddleware', ] ROOT_URLCONF = 'extra_exchange.urls' TEMPLATES = [ { 'BACKEND': 'django.template.backends.django.DjangoTemplates', 'DIRS': [os.path.join(BASE_DIR, "build")], 'APP_DIRS': True, 'OPTIONS': { 'context_processors': [ 'django.template.context_processors.debug', 'django.template.context_processors.request', 'django.contrib.auth.context_processors.auth', 'django.contrib.messages.context_processors.messages', ], }, }, ] WSGI_APPLICATION = 'extra_exchange.wsgi.application' AUTH_USER_MODEL = 'app.User' # Database # https://docs.djangoproject.com/en/3.1/ref/settings/#databases DATABASES = { 'default': { 'ENGINE': 'django.db.backends.sqlite3', 'NAME': os.path.join(BASE_DIR, 'db.sqlite3'), } } SECURE_PROXY_SSL_HEADER = ('HTTP_X_FORWARDED_PROTO', 'https') # Password validation # https://docs.djangoproject.com/en/3.1/ref/settings/#auth-password-validators AUTH_PASSWORD_VALIDATORS = [ { 'NAME': 'django.contrib.auth.password_validation.UserAttributeSimilarityValidator', }, { 'NAME': 'django.contrib.auth.password_validation.MinimumLengthValidator', }, { 'NAME': 'django.contrib.auth.password_validation.CommonPasswordValidator', }, { 'NAME': 'django.contrib.auth.password_validation.NumericPasswordValidator', }, ] # Internationalization # https://docs.djangoproject.com/en/3.1/topics/i18n/ LANGUAGE_CODE = 'ja' TIME_ZONE = 'Asia/Tokyo' USE_I18N = True USE_L10N = True USE_TZ = True # Static files (CSS, JavaScript, Images) # https://docs.djangoproject.com/en/3.1/howto/static-files/ STATIC_URL = '/static/' STATICFILES_DIRS = [ os.path.join(BASE_DIR, 'build/static'), ] STATIC_ROOT = os.path.join(BASE_DIR, 'staticfiles') STATICFILES_STORAGE = 'whitenoise.storage.CompressedManifestStaticFilesStorage' # extra_exchange/media MEDIA_ROOT = os.path.join(BASE_DIR, 'media') MEDIA_URL = "/media/" # Rest Frame Work REST_FRAMEWORK = { 'DEFAULT_PERMISSION_CLASSES': [ 'rest_framework.permissions.IsAuthenticated', ], 'DEFAULT_AUTHENTICATION_CLASSES': [ 'rest_framework.authentication.TokenAuthentication', 'rest_framework.authentication.BasicAuthentication', 'rest_framework.authentication.SessionAuthentication', ], 'DEFAULT_RENDERER_CLASSES': ( 'djangorestframework_camel_case.render.CamelCaseJSONRenderer', 'djangorestframework_camel_case.render.CamelCaseBrowsableAPIRenderer', ), 'DEFAULT_PARSER_CLASSES': ( 'djangorestframework_camel_case.parser.CamelCaseFormParser', 'djangorestframework_camel_case.parser.CamelCaseMultiPartParser', 'djangorestframework_camel_case.parser.CamelCaseJSONParser', ), 'JSON_UNDERSCOREIZE': { 'no_underscore_before_number': True, }, } # CORS_ORIGIN_WHITELIST = [ # "http://localhost:3000" # ] CORS_ORIGIN_ALLOW_ALL = True SITE_ID = 1 ACCOUNT_EMAIL_VERIFICATION = "none" # 「ログイン」で必須項目はどれにするか ACCOUNT_AUTHENTICATION_METHOD = "username" # 「サインアップ」でメールアドレスが必要か ACCOUNT_EMAIL_REQUIRED = True # 「サインアップ」でユーザーネームが必要か。 ACCOUNT_USERNAME_REQUIRED = True OLD_PASSWORD_FIELD_ENABLED = True ACCOUNT_USERNAME_VALIDATORS = ('app.validators.username_validators') try: from .local_settings import * except ImportError: pass if not DEBUG: import django_heroku django_heroku.settings(locals()) SECRET_KEY = os.environ['SECRET_KEY'] AWS_ACCESS_KEY_ID = os.environ['AWS_ACCESS_KEY_ID'] AWS_SECRET_ACCESS_KEY = os.environ['AWS_SECRET_ACCESS_KEY'] AWS_STORAGE_BUCKET_NAME = os.environ['AWS_STORAGE_BUCKET_NAME'] AWS_S3_CUSTOM_DOMAIN = '%s.s3.amazonaws.com' % AWS_STORAGE_BUCKET_NAME AWS_LOCATION = 'static' DEFAULT_FILE_STORAGE = 'storages.backends.s3boto3.S3Boto3Storage' S3_URL = "https://%s/%s/" % (AWS_S3_CUSTOM_DOMAIN, AWS_LOCATION) MEDIA_URL = S3_URL AWS_S3_FILE_OVERWRITE = False AWS_DEFAULT_ACL = None db_from_env = dj_database_url.config(conn_max_age=600, ssl_require=True) DATABASES['default'].update(db_from_env)
思いつく限りの対策を試してみましたが、エラーが解決できないので、解決のお力を貸していただければ幸いです。
ご回答何卒よろしくお願い申し上げます。
追記
Herokuのサーバーが米国なので、それに対応させてAWS S3のリージョンもus-east-1に設定しております。
あなたの回答
tips
プレビュー
