已配置OBS权限，仍然无法访问OBS（403 AccessDenied）_对象存储

问题描述

已经通过IAM权限、桶策略或ACL配置了OBS权限，访问OBS时仍然提示“拒绝访问，请检查相应权限”，或报“403 AccessDenied”错误。

排查思路

以下排查思路根据原因的出现概率进行排序，建议您从高频率原因往低频率原因排查，从而帮助您快速找到问题根因。

如果处理完某个可能原因仍未解决问题，请继续排查其他可能原因。

OBS权限控制比较灵活，建议您使用前先阅读OBS权限控制说明，不同场景的权限配置方法可以参考典型场景配置案例。

图1 无法访问OBS排查思路

检查配置的权限是否正确

OBS权限控制比较灵活，且某些场景下对其他权限还有依赖，一般出现无法访问的情况时，建议联系授权主体（一般为资源拥有者）检查所配置的权限是否正确。一般关注两个核心要素：Resource（被授权的资源范围）和Action（授予的权限列表），常见错误见表2。如果IAM权限或桶策略中配置了Condition（条件），也要判断访问时是否满足Condition指定的规则。

IAM权限检查方法

1. 使用资源拥有者帐号登录华为云，在右上角单击“控制台”。
2. 在控制台页面，鼠标移动至右上方的用户名，在下拉列表中选择“统一身份认证”。
3. 在“用户”页面，搜索访问OBS失败的用户名，单击搜索到的用户名称，查看“所属用户组”。
4. 在“用户组”页面，搜索该用户的所属用户组，在用户组的操作列，单击“权限配置”，查看已经授予的IAM权限。

桶策略检查方法

1. 使用资源拥有者帐号登录华为云，在右上角单击“控制台”。
2. 在服务列表中选择“存储 > 对象存储服务 OBS”。
3. 在“对象存储”的桶列表中搜索访问失败的桶，单击桶名称，进入“概览”页面。
4. 在左侧导航栏，单击“访问权限控制”，在“桶策略”页签的高级桶策略下查看已经配置的桶策略。

桶ACL检查方法

1. 使用资源拥有者帐号登录华为云，在右上角单击“控制台”。
2. 在服务列表中选择“存储 > 对象存储服务 OBS”。
3. 在“对象存储”的桶列表中搜索访问失败的桶，单击桶名称，进入“概览”页面。
4. 在左侧导航栏，单击“访问权限控制”，在“桶ACLs”页签下查看已配置的桶ACL。

对象ACL检查方法

1. 使用资源拥有者帐号登录华为云，在右上角单击“控制台”。
2. 在服务列表中选择“存储 > 对象存储服务 OBS”。
3. 在“对象存储”的桶列表中搜索访问失败的桶，单击桶名称，进入“概览”页面。
4. 在左侧导航栏，单击“对象”。
5. 在对象列表搜索访问失败的对象，单击对象名称，进入对象详情页面，在“对象ACL”页签下查看已配置的对象ACL。

检查是否配置了拒绝访问的权限

如果按照上述方法排查后，确认需要的权限均已正确配置，仍然无法访问OBS，则可能是由于在某条策略中配置了拒绝访问的权限。

由于OBS权限遵循Deny优先原则，当多条IAM权限和桶策略同时存在时，只要有一处设置了显式的Deny，则会根据此原则调整用户的权限，即使Deny策略中定义的动作在其他IAM权限和桶策略中已设置为Allow。

IAM权限和桶策略支持配置Deny权限，需要分别进行检查：

IAM权限检查方法

1. 使用资源拥有者帐号登录华为云，在右上角单击“控制台”。
2. 在控制台页面，鼠标移动至右上方的用户名，在下拉列表中选择“统一身份认证”。
3. 在“用户”页面，搜索访问OBS失败的用户名，单击搜索到的用户名称，查看“所属用户组”。
4. 在“用户组”页面，搜索该用户的所属用户组，在用户组的操作列，单击“权限配置”，查看已经授予的IAM权限。

桶策略检查方法

1. 使用资源拥有者帐号登录华为云，在右上角单击“控制台”。
2. 在服务列表中选择“存储 > 对象存储服务 OBS”。
3. 在“对象存储”的桶列表中搜索访问失败的桶，单击桶名称，进入“概览”页面。
4. 在左侧导航栏，单击“访问权限控制”，在“桶策略”页签的高级桶策略下查看已经配置的桶策略。

提交工单

如果上述方法均不能解决您的疑问，请提交工单联系华为云客服为您解答。