AccessDeniedException: 403 Forbidden on GCS using owner account

Question

我曾尝试访问存储桶中的文件，但我一直被拒绝访问这些文件。我可以在 GCS 控制台中看到它们，但可以通过它访问它们，并且无法通过运行以下命令的 gsutil 访问它们。

gsutil cp gs://my-bucket/folder-a/folder-b/mypdf.pdf files/

但是所有这些返回都是AccessDeniedException: 403 Forbidden

我可以列出所有文件等，但实际上不能访问它们。我尝试将我的用户添加到 acl，但仍然没有效果。所有文件都是通过保险丝安装从虚拟机上传的，该安装完美运行，只是失去了所有访问权限。

我查看了这些帖子，但似乎没有一个解决方案对我有帮助

Can't access resource as OWNER despite the fact I'm the owner

gsutil copy returning "AccessDeniedException: 403 Insufficient Permission" from GCE

gsutil cors set command returns 403 AccessDeniedException

Answer 1

这很有可能。拥有一个存储桶会授予该存储桶的 FULL_CONTROL 权限，其中包括列出该存储桶内对象的能力。但是，存储桶权限不会自动暗示任何类型的对象权限，这意味着如果其他帐户正在上传对象并将 ACL 设置为类似于“私有”的东西，则存储桶的所有者将无权访问它（尽管桶拥有者可以删除对象，即使他们不能读取它，因为删除对象是桶权限）。

我不熟悉默认的 FUSE 设置，但如果我不得不猜测，您正在使用项目的系统帐户上传对象，并且它们被设置为私有。没关系。最简单的测试方法是从 GCE 主机运行 gsutil，其中默认凭据将是系统帐户。如果可行，您可以使用 gsutil 将 ACL 切换为更宽松的 ACL，例如“project-private”。

执行此操作的命令是：

gsutil acl set -R project-private gs://muBucketName/

Answer 2

虽然，这是一个很老的问题。但我最近有一个类似的问题。在尝试了这里建议的许多选项但没有成功后，我仔细地重新检查了我的脚本，发现由于我的存储桶地址 gs://my-bucket 中的错误，我收到了错误。我修复了它，它工作得很好！