Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Object Storage Service/ Perguntas frequentes/ Controle de acesso/ Por que não posso acessar OBS (403 AccessDenied) depois de ser concedido com a permissão de acesso do OBS?
Atualizado em 2023-12-28 GMT+08:00

Por que não posso acessar OBS (403 AccessDenied) depois de ser concedido com a permissão de acesso do OBS?

Descrição do problema

Ao configurar permissões do IAM, políticas de bucket ou ACLs de bucket, você recebeu as permissões necessárias para acessar o OBS. No entanto, quando você tenta acessar o OBS, a mensagem de erro Access denied ou 403 AccessDenied é exibida.

Análise do problema

Possíveis causas são descritas aqui em ordem de probabilidade de ocorrência. Para localizar a causa raiz o mais rápido possível, percorra a lista em ordem, da mais provável para a menos.

Se a falha persistir após uma possível causa ser corrigida, mova a lista para a próxima causa mais provável.

O OBS fornece várias maneiras de controlar permissões. Para entender melhor como funciona o gerenciamento de permissões, leia Introdução ao gerenciamento de permissões do OBS. Para obter detalhes sobre como configurar permissões para diferentes cenários, consulte Cenários típicos de gerenciamento de permissões.

Figura 1 Processo de análise
Tabela 1 Análise do problema

Possível causa

Solução

As permissões não entraram em vigor devido ao cache do IAM.

Devido ao armazenamento em cache de dados, pode levar de 10 a 15 minutos para que uma nova configuração de permissão do IAM entre em vigor. Tente novamente em 10 a 15 minutos.

Uma conta ou chave de acesso incorreta (AK ou SK) foi usada para acessar o OBS.

Se você não tiver as permissões necessárias para acessar o OBS, as informações de logon, como a conta ou AK/SK usada, provavelmente estarão incorretas. O uso incorreto de AK/SK é mais comum. Por exemplo, você pode estar usando uma AK/SK ou senha para uma conta diferente.

Confirme as credenciais de logon com o proprietário do recurso.

As permissões foram configuradas incorretamente.

Para mais detalhes, consulte Verificar se as permissões estão configuradas corretamente.

As permissões foram configuradas como negadas.

Para mais detalhes, consulte Verificar se uma permissão está configurada como negada.

A validação de URL foi configurada.

Modifique o campo Referer na lista branca ou na lista negra consultando Configuração da validação de URL.

O saldo da conta era insuficiente.

Recarregue-a e tente novamente. Para obter detalhes, consulte Recarga de uma conta.

Verificar se as permissões estão configuradas corretamente

O OBS fornece vários mecanismos para gerenciamento de permissões e, em alguns cenários, pode haver dependências envolvidas. Se você não conseguir acessar o OBS, entre em contato com a pessoa que atribuiu as permissões (geralmente o proprietário do recurso) para verificar se as permissões foram configuradas corretamente. Há dois elementos críticos a serem verificados: Resources (a que se concede acesso a recursos) e Actions (operações autorizadas). Para erros comumente vistos, veja Tabela 2. Se Condition estiver configurada na permissão do IAM ou na política de bucket, verifique se as regras especificadas foram atendidas.

Tabela 2 Erros comumente vistos na configuração de Resources e Actions

Tipo

Erros comuns

Resources

  • Você recebeu acesso a um determinado bucket, mas tentou acessar um bucket diferente.
  • Você recebeu acesso a um bucket, mas não aos objetos nesse bucket.
  • Você recebeu acesso para exibir um bucket, mas não para executar nenhuma operação (por exemplo, listar objetos no bucket).
  • Você só recebeu acesso a determinados objetos em um bucket, mas tentou acessar outros objetos.

Actions

Verificar permissões do IAM

  1. Use a conta do proprietário do recurso para fazer logon na Huawei Cloud e clique em Console no canto superior direito.
  2. No console de gerenciamento, passe o mouse sobre o nome de usuário no canto superior direito e escolha Identity and Access Management na lista suspensa.
  3. Na página Users, procure o nome do usuário que não conseguiu acessar o OBS. Clique no nome para verificar a qual grupo de usuários o usuário pertence.
  4. Na página User Groups, pesquise o grupo de usuários ao qual o usuário pertence. Na coluna Operation do grupo de usuários, clique em Manage Permissions para ver quais permissões do IAM foram concedidas.

Verificar a política do bucket

  1. Use a conta do proprietário do recurso para fazer logon na Huawei Cloud e clique em Console no canto superior direito.
  2. Na lista de serviços, escolha Storage > Object Storage Service.
  3. Na lista de buckets, pesquise o bucket que não consegue ser acessado e clique no nome do bucket. A página Objects é exibida.
  4. No painel de navegação, escolha Permissions > Bucket Policy para exibir as políticas de bucket configuradas.

Verificar a ACL do bucket

  1. Use a conta do proprietário do recurso para fazer logon na Huawei Cloud e clique em Console no canto superior direito.
  2. Na lista de serviços, escolha Storage > Object Storage Service.
  3. Na lista de buckets, pesquise o bucket que não consegue ser acessado e clique no nome do bucket. A página Objects é exibida.
  4. No painel de navegação, clique em Permissions. A página de guia Bucket Policies é exibida. Em seguida, vá para a página Bucket ACLs para exibir as ACLs de bucket configuradas.

Verificar a ACL do objeto

  1. Use a conta do proprietário do recurso para fazer logon na Huawei Cloud e clique em Console no canto superior direito.
  2. Na lista de serviços, escolha Storage > Object Storage Service.
  3. Na lista de buckets, pesquise o bucket que não consegue ser acessado e clique no nome do bucket. A página Objects é exibida.
  4. Na lista de objetos, procure o objeto que não pode ser acessado e clique no nome do objeto. Na página que é indicada, veja a configuração de ACL do objeto na guia Object ACL.

Verificar se uma permissão está configurada como negada

Se as permissões necessárias estiverem configuradas corretamente, mas o OBS ainda não puder ser acessado, a causa possível é que o efeito de permissão esteja configurado como negado.

Com base no princípio de menor privilégio, as decisões padrão para negar e uma declaração de negação explícita sempre tem precedência sobre uma declaração de permissão. Se houver várias permissões do IAM ou políticas de bucket, contanto que haja uma declaração de negação explícita, ela terá precedência sobre as instruções de permissão, mesmo as permissões negadas são permitidas em outras políticas de bucket.

As permissões do IAM e as políticas de bucket podem incluir instruções de negação, portanto, você precisa verificar essas configurações separadamente.

Verificar permissões do IAM

  1. Use a conta do proprietário do recurso para fazer logon na Huawei Cloud e clique em Console no canto superior direito.
  2. No console de gerenciamento, passe o mouse sobre o nome de usuário no canto superior direito e escolha Identity and Access Management na lista suspensa.
  3. Na página Users, procure o nome do usuário que não conseguiu acessar o OBS. Clique no nome para verificar a qual grupo de usuários o usuário pertence.
  4. Na página User Groups, pesquise o grupo de usuários ao qual o usuário pertence. Na coluna Operation do grupo de usuários, clique em Manage Permissions para ver quais permissões do IAM foram concedidas.

Verificar a política do bucket

  1. Use a conta do proprietário do recurso para fazer logon na Huawei Cloud e clique em Console no canto superior direito.
  2. Na lista de serviços, escolha Storage > Object Storage Service.
  3. Na lista de buckets, pesquise o bucket que não consegue ser acessado e clique no nome do bucket. A página Objects é exibida.
  4. No painel de navegação, escolha Permissions > Bucket Policy para exibir as políticas de bucket configuradas.

Enviar um tíquete de serviço

Se o problema persistir, envie um tíquete de serviço para entrar em contato com o atendimento ao cliente da Huawei Cloud para obter assistência.