已配置obs权限，仍然无法访问obs（403 accessdenied）-凯发k8国际娱乐官网入口

问题描述

已经通过iam权限、桶策略或acl配置了obs权限，访问obs时仍然提示“拒绝访问，请检查相应权限”，或报“403 accessdenied”错误。

排查思路

以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题根因。

如果处理完某个可能原因仍未解决问题，请继续排查其他可能原因。

obs权限控制比较灵活，建议您使用前先阅读obs权限控制说明，不同场景的权限配置方法可以参考典型场景配置案例。

图1 无法访问obs排查思路

检查配置的权限是否正确

obs权限控制比较灵活，且某些场景下对其他权限还有依赖，一般出现无法访问的情况时，建议联系授权主体（一般为资源拥有者）检查所配置的权限是否正确。一般关注两个核心要素：resource（被授权的资源范围）和action（授予的权限列表），常见错误见表2。如果iam权限或桶策略中配置了condition（条件），也要判断访问时是否满足condition指定的规则。

iam权限检查方法

1. 使用资源拥有者账号登录华为云，在右上角单击“控制台”。
2. 在控制台页面，鼠标移动至右上方的用户名，在下拉列表中选择“统一身份认证”。
3. 在“用户”页面，搜索访问obs失败的用户名，单击搜索到的用户名称，查看“所属用户组”。
4. 在“用户组”页面，搜索该用户的所属用户组，在用户组的操作列，单击“权限配置”，查看已经授予的iam权限。

桶策略检查方法

1. 使用资源拥有者账号登录华为云，在右上角单击“控制台”。
2. 在服务列表中选择“存储 > 对象存储服务 obs”。
3. 在“对象存储”的桶列表中搜索访问失败的桶，单击桶名称，进入“对象”页面。
4. 在左侧导航栏，单击“访问权限控制 > 桶策略”，查看已经配置的桶策略。

桶acl检查方法

1. 使用资源拥有者账号登录华为云，在右上角单击“控制台”。
2. 在服务列表中选择“存储 > 对象存储服务 obs”。
3. 在“对象存储”的桶列表中搜索访问失败的桶，单击桶名称，进入“对象”页面。
4. 在左侧导航栏，单击“访问权限控制 > 桶acls”，查看已经配置的桶acl。

对象acl检查方法

1. 使用资源拥有者账号登录华为云，在右上角单击“控制台”。
2. 在服务列表中选择“存储 > 对象存储服务 obs”。
3. 在“对象存储”的桶列表中搜索访问失败的桶，单击桶名称，进入“对象”页面。
4. 在对象列表搜索访问失败的对象，单击对象名称，进入对象详情页面，在“对象acl”页签下查看已配置的对象acl。

检查是否配置了拒绝访问的权限

如果按照上述方法排查后，确认需要的权限均已正确配置，仍然无法访问obs，则可能是由于在某条策略中配置了拒绝访问的权限。

由于obs权限遵循deny优先原则，当多条iam权限和桶策略同时存在时，只要有一处设置了显式的deny，则会根据此原则调整用户的权限，即使deny策略中定义的动作在其他iam权限和桶策略中已设置为allow。

iam权限和桶策略支持配置deny权限，需要分别进行检查：

iam权限检查方法

1. 使用资源拥有者账号登录华为云，在右上角单击“控制台”。
2. 在控制台页面，鼠标移动至右上方的用户名，在下拉列表中选择“统一身份认证”。
3. 在“用户”页面，搜索访问obs失败的用户名，单击搜索到的用户名称，查看“所属用户组”。
4. 在“用户组”页面，搜索该用户的所属用户组，在用户组的操作列，单击“权限配置”，查看已经授予的iam权限。

桶策略检查方法

1. 使用资源拥有者账号登录华为云，在右上角单击“控制台”。
2. 在服务列表中选择“存储 > 对象存储服务 obs”。
3. 在“对象存储”的桶列表中搜索访问失败的桶，单击桶名称，进入“对象”页面。
4. 在左侧导航栏，单击“访问权限控制 > 桶策略”，查看已经配置的桶策略。

提交工单

如果上述方法均不能解决您的疑问，请联系华为云客服为您解答。