Mario Mateaș's questions

Tenho trabalhado em um aplicativo da web que quer recuperar um arquivo CSS (ativos FontAwesome auto-hospedados), atualmente hospedado no Amazon S3. A tag import se parece com o seguinte:

<link rel="stylesheet" href="https://docsbymario-env.s3.eu-north-1.amazonaws.com/fontawesome/css/all.min.css?v=1.0">

No entanto, ao olhar para o console, recebo um código de status 403 Proibido na GETsolicitação.

Minhas políticas de bucket permitem explicitamente solicitações vindas das máquinas EC2 que hospedam o site (criado pelo meu ambiente Beanstalk), e também para alguma função IAM (para CodePipeline). As declarações de política se parecem com isto:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowListBucketToRole",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::390527449299:role/DocsByMarioRole"
            },
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::docsbymario-env"
        },
        {
            "Sid": "AllowReadAccessToRole",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::390527449299:role/DocsByMarioRole"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::docsbymario-env/*"
        },
        {
            "Sid": "AllowListBucketToIPs",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:ListBucket",
            "Resource": "arn:aws:s3:::docsbymario-env",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "13.51.220.94/32",
                        "16.16.36.18/32"
                    ]
                }
            }
        },
        {
            "Sid": "AllowReadAccessToIP",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::docsbymario-env/*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": [
                        "13.51.220.94/32",
                        "16.16.36.18/32"
                    ]
                }
            }
        }
    ]
}

Os dois endereços IP acima são os endereços IP públicos das instâncias do EC2 nas quais desejo carregar o script CSS.

Também habilitei o acesso público ao meu bucket S3. O CodePipeline pode acessar o bucket corretamente por meio da função, mas o EC2 não pode, usando as duas últimas políticas de bucket baseadas em IP.

Pensei que também poderia estar relacionado ao CORS, então tentei adicionar políticas CORS ao intervalo:

[
    {
        "AllowedHeaders": [
            "*"
        ],
        "AllowedMethods": [
            "GET"
        ],
        "AllowedOrigins": [
            "http://docsbymario.com",
            "http://api.docsbymario.com"
        ],
        "ExposeHeaders": [
            "ETag"
        ],
        "MaxAgeSeconds": 3000
    }
]

... onde os dois nomes de domínio realmente apontam para esses dois endereços IP públicos. Nenhuma mudança, no entanto.

Qual poderia ser o problema?

Eu possuo um ambiente Elastic Beanstalk que contém uma única instância EC2 , executando um servidor Spring Boot . Não acho necessário falar sobre as opções de implantação, mas se forem necessárias, as adicionarei como edições.

Recentemente, implantei um código que se conecta ao meu banco de dados MongoDB (usando uma fonte externa hospedada via MongoDB Atlas), que roda perfeitamente localmente. Meu aplicativo Spring Boot atualmente lista itens desse banco de dados, quando tento acessar uma determinada página.

No remoto, funciona perfeitamente até que eu alcance aquela página específica que tenta consultar meu banco de dados. Tentando olhar dentro do web.stdout.logarquivo do Beanstalk, eu recebo algumas exceções:

Dec 18 10:07:45 ip-172-31-46-201 web[182140]: 2024-12-18T10:07:45.757Z ERROR 182140 --- [mockapi] [nio-5000-exec-1] o.a.c.c.C.[.[.[/].[dispatcherServlet]    : Servlet.service() for servlet [dispatcherServlet] in context with path [] threw exception [Request processing failed: org.springframework.dao.DataAccessResourceFailureException: Timed out while waiting for a server that matches ReadPreferenceServerSelector{readPreference=primary}. Client view of cluster state is {type=REPLICA_SET, servers=[{address=docsbymario-shard-00-00.xyx0n.mongodb.net:27017, type=UNKNOWN, state=CONNECTING, exception={com.mongodb.MongoSocketWriteException: Exception sending message}, caused by {javax.net.ssl.SSLException: Received fatal alert: internal_error}}, {address=docsbymario-shard-00-01.xyx0n.mongodb.net:27017, type=UNKNOWN, state=CONNECTING, exception={com.mongodb.MongoSocketWriteException: Exception sending message}, caused by {javax.net.ssl.SSLException: Received fatal alert: internal_error}}, {address=docsbymario-shard-00-02.xyx0n.mongodb.net:27017, type=UNKNOWN, state=CONNECTING, exception={com.mongodb.MongoSocketWriteException: Exception sending message}, caused by {javax.net.ssl.SSLException: Received fatal alert: internal_error}}]] with root cause
Dec 18 10:07:45 ip-172-31-46-201 web[182140]: com.mongodb.MongoTimeoutException: Timed out while waiting for a server that matches ReadPreferenceServerSelector{readPreference=primary}. Client view of cluster state is {type=REPLICA_SET, servers=[{address=docsbymario-shard-00-00.xyx0n.mongodb.net:27017, type=UNKNOWN, state=CONNECTING, exception={com.mongodb.MongoSocketWriteException: Exception sending message}, caused by {javax.net.ssl.SSLException: Received fatal alert: internal_error}}, {address=docsbymario-shard-00-01.xyx0n.mongodb.net:27017, type=UNKNOWN, state=CONNECTING, exception={com.mongodb.MongoSocketWriteException: Exception sending message}, caused by {javax.net.ssl.SSLException: Received fatal alert: internal_error}}, {address=docsbymario-shard-00-02.xyx0n.mongodb.net:27017, type=UNKNOWN, state=CONNECTING, exception={com.mongodb.MongoSocketWriteException: Exception sending message}, caused by {javax.net.ssl.SSLException: Received fatal alert: internal_error}}]

Por suposição, acredito que tal exceção venha de problemas no acesso à URL do banco de dados (que está corretamente definida dentro do application.propertiesarquivo).

Os grupos de segurança do EC2 permitem tráfego de saída para cada endereço, para cada porta.

Estou usando a VPC padrão, não criei uma personalizada, e parece que suas regras de saída permitem e negam tráfego de rede:

Não posso remover a regra que nega explicitamente tudo.

Eu deveria ter criado minha VPC personalizada, com minha ACL personalizada e regras de saída personalizadas? Apenas para acessar um recurso externo como um banco de dados MongoDB? Talvez eu tenha perdido alguma coisa? Sou novo na AWS (na prática) e acabei de perceber que obter a certificação AWS não garante nenhuma habilidade prática.

Tenho implementado vários testes de REST API de forma BDD usando Cucumber e estava pensando em um cenário em que um Activityobjeto com um determinado id pode ser recuperado por meio do GETendpoint. Um exemplo encontrado na internet verifica primeiro se uma lista de atividades está disponível, antes de realmente recuperar esse id específico.

Assim, o cenário (no arquivo de recursos) se parece com isto:

Scenario: When user requests for an existing activity id, the activity should be returned
  Given A list of activities is available
  When The user requests for an activity with a specific id
  Then The requested activity should be returned

Na Givenetapa, enviarei uma GETsolicitação à minha API para verificar se as atividades podem ser fornecidas. Na Whenetapa, solicitarei uma atividade específica (fornecendo seu id), enquanto na Thenetapa farei minhas asserções.

Outras fontes afirmam que não é recomendado interagir diretamente com a API na Givenetapa, e apenas preparar dados internos (como criar objetos internamente ou gerar um id a ser inserido) e então enviá-los para o Then, que deve realmente fazer a interação com o sistema externo.

Minha pergunta seria: existem regras específicas sobre o que fazer no Givenpasso e o que não fazer? Se eu considerar que antes de obter uma atividade com um determinado id, eu deveria inseri-la, por exemplo, e também verificar se a inserção foi bem-sucedida, não tenho permissão para escrever a POSTlógica dentro da Givendeclaração? Se sim, isso não significa que a maioria das Givenimplementações serão vazias para APIs simples?