gsutil copy zwraca „AccessDeniedException: 403 Insufficient Permission” z GCE

Jestem zalogowany do instancji GCE przez SSH. Stamtąd chciałbym uzyskać dostęp do Magazynu za pomocą Konta Serwisowego:

GCE> gcloud auth list
Credentialed accounts:
 - [email protected] (active)

Najpierw upewniłem się, że to konto usługi jest oznaczone jako „Może edytować” w uprawnieniach projektu, w którym pracuję. Upewniłem się również, że dałem mu listę ACL zapisu w zasobniku, który chciałbym, aby skopiował plik:

local> gsutil acl ch -u [email protected]:W gs://mybucket

Ale wtedy następujące polecenie kończy się niepowodzeniem:

GCE> gsutil cp test.txt gs://mybucket/logs

(Upewniłem się również, że „logi” są tworzone w „mybucket”).

Otrzymuję komunikat o błędzie:

Copying file://test.txt [Content-Type=text/plain]...
AccessDeniedException: 403 Insufficient Permission               0 B  

czego mi brakuje?

Inną rzeczą, na którą należy zwrócić uwagę, jest skonfigurowanie odpowiednich zakresów podczas tworzenia maszyny wirtualnej GCE. Nawet jeśli maszyna wirtualna ma dołączone konto usługi, należy przypisać jej zakresy devstorage, aby uzyskać dostęp do GCS.

Na przykład, jeśli utworzyłeś maszynę wirtualną z devstorage.read_onlyzakresem, próba zapisu do zasobnika zakończy się niepowodzeniem, nawet jeśli Twoje konto usługi ma uprawnienia do zapisu w zasobniku. Potrzebowałbyś devstorage.full_controllub devstorage.read_write.

Szczegółowe informacje można znaleźć w sekcji Przygotowanie instancji do korzystania z kont usług .

Uwaga: domyślne konto usługi obliczeniowej ma bardzo ograniczone zakresy (w tym tylko do odczytu do GCS). Dzieje się tak, ponieważ domyślne konto usługi ma uprawnienia edytora projektów. Jeśli używasz dowolnego konta usługi użytkownika, zwykle nie stanowi to problemu, ponieważ konta usługi utworzone przez użytkowników domyślnie uzyskują dostęp do całego zakresu.

Po dodaniu niezbędnych zakresów do maszyny wirtualnej gsutilmoże nadal używać buforowanych poświadczeń, które nie mają nowych zakresów. Usuń ~/.gsutilprzed ponowną próbą wykonania poleceń gsutil. (Dzięki @mndrix za wskazanie tego w komentarzach).

Musisz zalogować się na konto, które ma uprawnienia potrzebne do tego projektu:

gcloud auth login

gsutil config -b

Następnie przejdź do podanego adresu URL, [KLIKNIJ Zezwalaj]

Następnie skopiuj kod weryfikacyjny i wklej do terminala.

1. Zatrzymaj maszynę wirtualną
2. got -> Szczegóły instancji maszyny wirtualnej.
3. w „Zakresach dostępu Cloud API” wybierz „Zezwalaj na pełny dostęp do wszystkich Cloud API”, a następnie kliknij „Zapisz”.
4. uruchom ponownie maszynę wirtualną i usuń ~ / .gsutil.

Napisałem odpowiedź na to pytanie, ponieważ nie mogę komentować:

Ten błąd może również wystąpić, jeśli w niektórych przypadkach uruchamiasz gsutilpolecenie z sudoprefiksem.

1. Po utworzeniu zasobnika przejdź do karty uprawnień, dodaj swój adres e-mail i ustaw uprawnienia administratora pamięci .

2. Uzyskaj dostęp do maszyny wirtualnej przez SSH >> uruchom polecenie: gcloud auth logini postępuj zgodnie z instrukcjami.

Odniesienie: https://groups.google.com/d/msg/gce-discussion/0L6sLRjX8kg/kP47FklzBgAJ

Próbowałem więc wielu rzeczy, próbując skopiować z zasobnika GCS na moją maszynę wirtualną. Mam nadzieję, że ten post komuś pomoże.

Przez połączenie SSHed:

i postępując zgodnie z tym skryptem:

sudo gsutil cp gs://[BUCKET_NAME]/[OBJECT_NAME] [OBJECT_DESTINATION_IN_LOCAL]

Mam ten błąd:

AccessDeniedException: 403 Nie skonfigurowano dostępu. Przejdź do konsoli Google Cloud Platform ( https://cloud.google.com/console#/project ) dla swojego projektu, wybierz interfejsy API i uwierzytelnianie, a następnie włącz Google Cloud Storage JSON API.

Naprawiono ten problem po sekcji „Aktywacja interfejsu API” wymienionej w tym linku - https://cloud.google.com/storage/docs/json_api/

Po aktywowaniu API uwierzytelniłem się w oknie SSHed za pośrednictwem

gcloud auth login

Po procedurze uwierzytelniania w końcu udało mi się pobrać z zasobnika pamięci masowej Google na moją maszynę wirtualną.

PS

Upewniłem się, że:

1. Upewnij się, że gsutils jest zainstalowany na mojej instancji maszyny wirtualnej.

2. Przejdź do mojego zasobnika, przejdź do karty uprawnień i dodaj żądane konta usług oraz ustaw uprawnienia / rolę administratora magazynu.

   3.Upewnij się, że moja maszyna wirtualna ma odpowiednie zakresy dostępu Cloud API:

Z dokumentów: https://cloud.google.com/compute/docs/access/create-enable-service-accounts-for-instances#changeserviceaccountandscopes

Najpierw musisz zatrzymać instancję -> przejdź do strony edycji -> przejdź do „Zakresów dostępu do Cloud API” i wybierz „pełny dostęp do pamięci masowej lub odczyt / zapis lub cokolwiek potrzebujesz”

Zmiana konta usługi i zakresów dostępu dla instancji Jeśli chcesz uruchomić maszynę wirtualną jako inną tożsamość lub stwierdzisz, że instancja potrzebuje innego zestawu zakresów do wywołania wymaganych interfejsów API, możesz zmienić konto usługi i zakresy dostępu istniejącej instancji. Na przykład możesz zmienić zakresy dostępu, aby przyznać dostęp do nowego interfejsu API, lub zmienić instancję, tak aby działała jako utworzone przez Ciebie konto usługi, zamiast domyślnego konta usługi Compute Engine.

Aby zmienić konto usługi instancji i zakresy dostępu, należy tymczasowo zatrzymać instancję. Aby zatrzymać instancję, przeczytaj dokumentację Zatrzymywanie instancji. Po zmianie konta usługi lub zakresów dostępu pamiętaj o ponownym uruchomieniu instancji. Użyj jednej z następujących metod, aby zmienić konto usługi lub uzyskać dostęp do zakresów zatrzymanego wystąpienia.

Zmień uprawnienia zasobnika.

Dodaj użytkownika dla „Wszystkich użytkowników” i przyznaj uprawnienia „Administrator pamięci”.