本文主要介绍在专有云控制台升级到V3.8.1后,用户对Bucket无权访问的应急处理方法。
说明:适用于专有云控制台升级到V3.8.1的环境。
说明:手动添加Tag信息存在误操作风险,误操作后需要重新执行本方案进行覆盖,不影响原本用户使用。
说明:
- 升级后新创建用户对升级前无Tag信息的OSS Bucket操作没有权限。
- 升级前创建的用户修改角色会使用新的RAM策略,会造成原本正常使用的用户无权限操作OSS Bucket。
在OSS控制台,具有OSS资源使用权限的用户访问OSS资源时,报无权限的错误。发生报错的原因是在专有云V3.8.1对OSS和OTS的RAM策略做了调整,使用Tag进行控制,但是没有对升级前环境中已有的Bucket进行处理。
说明:使用Tag进行控制的方法是对OSS Bucket实例设置Tag,同时在RAM策略中设置Tag,两者匹配才可以使用Bucket。
tmp
目录下,执行以下命令,配置ossutil工具的config
文件。说明:如果manage容器的tmp目录中没有ossutil工具包,请将ossutil64.tar文件解压后,上传到OPS服务器的任意目录,然后执行相应的命令。
./ossutil64 config
系统显示类似如下。
说明:
- [$Endpoint]为第一步获取的实例服务地址。
- [$AccessKey_ID]为OSS Bucket所属部门的AccessKey ID。
- [$AccessKey_Secrt]为OSS Bucket所属部门的AccessKey Secrt。
./ossutil64 bucket-tagging --method get oss://[$Bucket_Name]
说明:[$Bucket_Name]为OSS Bucket的名称。系统显示类似如下。
tmp
目录下,执行以下命令,设置Bucket的Tag信息。
./ossutil64 bucket-tagging --method put oss://[$Bucket_Name] dt_department#department_[$TagValue1] dt_project#project_[$TagValue2]
说明:命令示例如下:
- department_[$TagValue1]为部门Tag的值。
- project_[$TagValue2]为项目Tag的值。
- 在专有云控制台中需要为每个Bucket设置两个Tag,分别代表部门和项目的归属,注意格式和示例保持一致。
./ossutil64 bucket-tagging --method put oss://acs-bucket dt_department#department_2_3_ dt_project#project_5000系统显示类似如下。
./ossutil64 bucket-tagging --method get oss://[$Bucket_Name]系统显示类似如下。
用户可以正常访问OSS Bucket。
此方案为应急处理方案,没有变配内容,不需要回滚。
部门和项目的Tag值获取方式如下:
department_2_3_16_
。project_500
。
在文档使用中是否遇到以下问题
更多建议
匿名提交