gsutil copy trả về “AccessDeniedException: 403 Không đủ quyền” từ GCE

Tôi đã đăng nhập vào một phiên bản GCE qua SSH. Từ đó, tôi muốn truy cập Bộ nhớ với sự trợ giúp của Tài khoản dịch vụ:

GCE> gcloud auth list
Credentialed accounts:
 - 1234567890-compute@developer.gserviceaccount.com (active)

Trước tiên, tôi đảm bảo rằng tài khoản Dịch vụ này được gắn cờ "Có thể chỉnh sửa" trong quyền của dự án mà tôi đang làm việc. Tôi cũng đảm bảo cung cấp cho anh ấy Viết ACL trên thùng mà tôi muốn anh ấy sao chép một tệp:

local> gsutil acl ch -u 1234567890-compute@developer.gserviceaccount.com:W gs://mybucket

Nhưng sau đó lệnh sau không thành công:

GCE> gsutil cp test.txt gs://mybucket/logs

(Tôi cũng đảm bảo rằng "nhật ký" được tạo trong "mybucket").

Thông báo lỗi tôi nhận được là:

Copying file://test.txt [Content-Type=text/plain]...
AccessDeniedException: 403 Insufficient Permission               0 B  

Tôi đang thiếu gì?

Một điều khác cần lưu ý là đảm bảo bạn thiết lập phạm vi thích hợp khi tạo máy ảo GCE. Ngay cả khi máy ảo có đính kèm tài khoản dịch vụ, máy ảo đó phải được chỉ định phạm vi devstorage để truy cập GCS.

Ví dụ: nếu bạn đã tạo máy ảo có devstorage.read_onlyphạm vi, việc cố gắng ghi vào nhóm sẽ không thành công, ngay cả khi tài khoản dịch vụ của bạn có quyền ghi vào nhóm. Bạn sẽ cần devstorage.full_controlhoặc devstorage.read_write.

Xem phần Chuẩn bị một phiên bản để sử dụng tài khoản dịch vụ để biết chi tiết.

Lưu ý: tài khoản dịch vụ tính toán mặc định có phạm vi rất hạn chế (bao gồm cả việc chỉ đọc cho GCS). Điều này được thực hiện vì tài khoản dịch vụ mặc định có quyền IAM của Project Editor. Nếu bạn sử dụng bất kỳ tài khoản dịch vụ người dùng nào, điều này thường không phải là vấn đề vì các tài khoản dịch vụ do người dùng tạo sẽ nhận được tất cả quyền truy cập phạm vi theo mặc định.

Sau khi thêm phạm vi cần thiết vào máy ảo, gsutilcó thể vẫn đang sử dụng thông tin đăng nhập đã lưu trong bộ nhớ cache không có phạm vi mới. Xóa ~/.gsutiltrước khi thử lại các lệnh gsutil. (Cảm ơn @mndrix đã chỉ ra điều này trong phần bình luận.)

Bạn phải đăng nhập bằng tài khoản có các quyền bạn cần cho dự án đó:

gcloud auth login

gsutil config -b

Sau đó lướt đến URL mà nó cung cấp, [NHẤP VÀO Cho phép]

Sau đó sao chép mã xác minh và dán vào thiết bị đầu cuối.

Tôi đã viết câu trả lời cho câu hỏi này vì tôi không thể đăng nhận xét:

Lỗi này cũng có thể xảy ra nếu bạn đang chạy gsutillệnh có sudotiền tố trong một số trường hợp.

1. Dừng máy ảo
2. got -> Chi tiết phiên bản VM.
3. trong "Phạm vi truy cập API đám mây", chọn "Cho phép toàn quyền truy cập vào tất cả các API đám mây" rồi Nhấp vào "lưu".
4. khởi động lại máy ảo và Xóa ~ / .gsutil.

1. Sau khi bạn đã tạo nhóm, hãy chuyển đến tab quyền và thêm email của bạn và đặt quyền Quản trị viên bộ nhớ .

2. Truy cập phiên bản VM thông qua SSH >> chạy lệnh: gcloud auth loginvà làm theo các bước.

Tham khảo: https://groups.google.com/d/msg/gce-discussion/0L6sLRjX8kg/kP47FklzBgAJ

Vì vậy, tôi đã thử một loạt các thứ cố gắng sao chép từ thùng GCS sang máy ảo của mình. Hy vọng bài viết này sẽ giúp ai đó.

Qua kết nối SSHed:

và theo tập lệnh này:

sudo gsutil cp gs://[BUCKET_NAME]/[OBJECT_NAME] [OBJECT_DESTINATION_IN_LOCAL]

Có lỗi này:

AccessDeniedException: 403 Truy cập Không được Định cấu hình. Vui lòng truy cập Google Cloud Platform Console ( https://cloud.google.com/console#/project ) cho dự án của bạn, chọn API và xác thực và bật API JSON của Google Cloud Storage.

Điều gì đã khắc phục sự cố này sau phần "Kích hoạt API" được đề cập trong liên kết này - https://cloud.google.com/storage/docs/json_api/

Sau khi kích hoạt API, tôi đã tự xác thực trong cửa sổ SSHed qua

gcloud auth login

Sau quy trình xác thực, cuối cùng tôi đã có thể tải xuống từ Google Storage Bucket vào máy ảo của mình.

PS

Tôi đã đảm bảo:

1. Đảm bảo rằng gsutils đã được cài đặt trên phiên bản VM của tôi.

2. Đi tới nhóm của tôi, chuyển đến tab quyền và thêm các tài khoản dịch vụ mong muốn và đặt quyền / vai trò Quản trị viên bộ nhớ.

   3.Đảm bảo rằng máy ảo của tôi có phạm vi truy cập Cloud API thích hợp:

Từ tài liệu: https://cloud.google.com/compute/docs/access/create-enable-service-accounts-for-instances#changeserviceaccountandscope

Trước tiên, bạn cần dừng phiên bản -> chuyển đến trang chỉnh sửa -> chuyển đến "Phạm vi truy cập API đám mây" và chọn "toàn quyền truy cập bộ nhớ hoặc đọc / ghi hoặc bất kỳ thứ gì bạn cần"

Thay đổi tài khoản dịch vụ và phạm vi truy cập cho một phiên bản Nếu bạn muốn chạy VM dưới dạng một danh tính khác hoặc bạn xác định rằng phiên bản đó cần một bộ phạm vi khác để gọi các API được yêu cầu, bạn có thể thay đổi tài khoản dịch vụ và phạm vi truy cập của một phiên bản hiện có. Ví dụ: bạn có thể thay đổi phạm vi truy cập để cấp quyền truy cập vào API mới hoặc thay đổi một phiên bản để nó chạy dưới dạng tài khoản dịch vụ mà bạn đã tạo, thay vì Tài khoản dịch vụ mặc định của Compute Engine.

Để thay đổi tài khoản dịch vụ và phạm vi truy cập của cá thể, cá thể đó phải tạm thời dừng lại. Để dừng phiên bản của bạn, hãy đọc tài liệu về Dừng phiên bản. Sau khi thay đổi tài khoản dịch vụ hoặc phạm vi truy cập, hãy nhớ khởi động lại phiên bản. Sử dụng một trong các phương pháp sau để thay đổi tài khoản dịch vụ hoặc phạm vi truy cập của phiên bản đã dừng.

Thay đổi quyền của nhóm.

Thêm người dùng cho "Tất cả người dùng" và cấp quyền truy cập "Quản trị viên bộ nhớ".