La signature ne correspond pas Erreur 403 lors de la signature d'une URL via aws-sdk-go

Question

J'ai suivi les instructions sur ce problème https://github.com/aws/aws-sdk-go/issues/467 qui documentait clairement comment créer une URL pré-signée pour une requête PUT. L'objectif est de preSign l'URL, donc je peux directement télécharger des images à partir du navigateur en toute sécurité

clé et secret sont bien sûr mes lettres de créance actuels qui travaillent avec des demandes PutObject directes via le SDK

creds := credentials.NewStaticCredentials("key", "secret", "") 

cfg := aws.NewConfig().WithRegion("us-west-2").WithCredentials(creds) 
srv := s3.New(session.New(), cfg) 

params := &s3.PutObjectInput{ 
    Bucket: aws.String("my-bucket"), 
    Key: aws.String("/local/test/filename"), 
} 
req, _ := srv.PutObjectRequest(params) 
url, err := req.Presign(15 * time.Hour) 
if err != nil { 
    fmt.Println("error signing request", err) 
} 

fmt.Println("URL", url) 

`` ` Je prends alors cette URL et fais une demande de boucle. Je reçois cette réponse

<?xml version="1.0" encoding="UTF-8"?> 
<Error> 
    <Code>SignatureDoesNotMatch</Code> 
    <Message>The request signature we calculated does not match the signature you provided. Check your key and signing method.</Message> 
    <AWSAccessKeyId>redacted</AWSAccessKeyId> 
    <StringToSign>redacted</StringToSign> 
    <SignatureProvided>redacted</SignatureProvided> 
    <StringToSignBytes>redacted</StringToSignBytes> 
    <CanonicalRequest>PUT 
/local/test/filename 
X-Amz-Algorithm=AWS4-HMAC-SHA256&amp;X-Amz-Credential=redacted%2Fus-west-2%2Fs3%2F%20aws4_request&amp;X-Amz-Date=20161129T012909Z&amp;X-Amz-Expires=54000&amp;X-Amz-SignedHeaders=host 
host:redacted.s3-us-west-2.amazonaws.com 

host 
UNSIGNED-PAYLOAD</CanonicalRequest> 
    <CanonicalRequestBytes>redacted</CanonicalRequestBytes> 
    <RequestId>redacted</RequestId> 
    <HostId>redacted</HostId> 
</Error> 

idées pourquoi l'URL presigned me fournit une signature qui ne correspond pas à soi-disant? Encore une fois ces mêmes informations d'identification fonctionnent actuellement pour les commandes PutObject directes sur mon serveur.

Answer 1

ma stratégie de compartiment n'a pas été correctement configurée. Je devais passer ma clé référence/secret avec la politique IAM et assurez-vous qu'ils ont été répertoriés dans la section « principes » de la politique

https://aws.amazon.com/blogs/security/iam-policies-and-bucket-policies-and-acls-oh-my-controlling-access-to-s3-resources/