应急预案：专有云控制台升级到V3.8.1后用户对Bucket无权访问的应急处理方法

1. 概述

本文主要介绍在专有云控制台升级到V3.8.1后，用户对Bucket无权访问的应急处理方法。

适用平台：x86、ARM
授权级别：L2（二线技术支持工程师）
临时或固化方案：临时
操作复杂度：高
预估执行时长：1小时
业务影响：是

说明：手动添加Tag信息存在误操作风险，误操作后需要重新执行本方案进行覆盖，不影响原本用户使用。
风险等级：中
说明：
- 升级后新创建用户对升级前无Tag信息的OSS Bucket操作没有权限。
- 升级前创建的用户修改角色会使用新的RAM策略，会造成原本正常使用的用户无权限操作OSS Bucket。

在OSS控制台，具有OSS资源使用权限的用户访问OSS资源时，报无权限的错误。发生报错的原因是在专有云V3.8.1对OSS和OTS的RAM策略做了调整，使用Tag进行控制，但是没有对升级前环境中已有的Bucket进行处理。

说明：使用Tag进行控制的方法是对OSS Bucket实例设置Tag，同时在RAM策略中设置Tag，两者匹配才可以使用Bucket。

在manage容器的tmp目录下，执行以下命令，设置Bucket的Tag信息。
```
./ossutil64 bucket-tagging --method put oss://[$Bucket_Name] dt_department#department_[$TagValue1] dt_project#project_[$TagValue2]
```
说明：
- department_[$TagValue1]为部门Tag的值。
- project_[$TagValue2]为项目Tag的值。
- 在专有云控制台中需要为每个Bucket设置两个Tag，分别代表部门和项目的归属，注意格式和示例保持一致。
命令示例如下：
```
./ossutil64 bucket-tagging --method put oss://acs-bucket dt_department#department_2_3_ dt_project#project_5000
```
系统显示类似如下。
执行以下命令，查看设置的Bucket的Tag信息。
```
./ossutil64 bucket-tagging --method get oss://[$Bucket_Name]
```
系统显示类似如下。

用户可以正常访问OSS Bucket。

此方案为应急处理方案，没有变配内容，不需要回滚。

部门和项目的Tag值获取方式如下：

部门Tag：登录专有云控制台，在部门管理中，查看当前Bucket所属部门，按F12，打开开发者调试工具，单击Network，在Name中找到tree，找到当前Bucket所属部门的ID，逐级向上寻找，直到root部门。如root部门的ID为2，下一级部门的ID为3，当前Bucket所属部门的ID为16，则部门Tag为department_2_3_16_。
项目Tag：登录专有云控制台，在当前项目的项目详情页面，查看项目ID。如项目ID为500，则项目Tag为project_500。