GCEから「AccessDeniedException：403 Insufficient Permission」を返すgsutil copy

SSH経由でGCEインスタンスにログインしています。そこから、サービスアカウントを使用してストレージにアクセスしたいと思います。

GCE> gcloud auth list
Credentialed accounts:
 - 1234567890-compute@developer.gserviceaccount.com (active)

最初に、このサービスアカウントに、作業中のプロジェクトの権限で「編集可能」のフラグが付けられていることを確認しました。また、ファイルをコピーしてほしいバケットに書き込みACLを付与するようにしました。

local> gsutil acl ch -u 1234567890-compute@developer.gserviceaccount.com:W gs://mybucket

ただし、次のコマンドは失敗します。

GCE> gsutil cp test.txt gs://mybucket/logs

（「ログ」が「mybucket」の下に作成されることも確認しました）。

私が得るエラーメッセージは：

Copying file://test.txt [Content-Type=text/plain]...
AccessDeniedException: 403 Insufficient Permission               0 B  

何が欠けていますか？

GCE VMを作成するときに、適切なスコープを設定するようにしてください。VMにサービスアカウントがアタッチされている場合でも、GCSにアクセスするには、VMにdevstorageスコープを割り当てる必要があります。

たとえば、devstorage.read_onlyスコープを指定してVMを作成した場合、サービスアカウントにバケットへの書き込み権限があっても、バケットへの書き込みは失敗します。devstorage.full_controlまたはが必要devstorage.read_writeです。

詳細については、サービスアカウントを使用するためのインスタンスの準備に関するセクションをご覧ください。

注：デフォルトのコンピューティングサービスアカウントのスコープは非常に限定されています（GCSに対して読み取り専用にすることを含む）。これは、デフォルトのサービスアカウントにプロジェクト編集者のIAM権限があるためです。ユーザーサービスアカウントを使用する場合、ユーザーが作成したサービスアカウントはデフォルトですべてのスコープアクセスを取得するため、これは通常問題にはなりません。

VMに必要なスコープを追加した後gsutilも、新しいスコープを持たないキャッシュされた認証情報を使用している可能性があります。~/.gsutilgsutilコマンドを再試行する前に削除してください。（コメントでこれを指摘してくれた@mndrixに感謝します。）

そのプロジェクトに必要な権限を持つアカウントでログインする必要があります。

gcloud auth login

gsutil config -b

次に、それが提供するURLにアクセスします。 [クリック許可]

次に、確認コードをコピーしてターミナルに貼り付けます。

私はコメントを投稿できないので、この質問への回答を書きました：

このエラーはgsutil、sudoプレフィックスを付けてコマンドを実行している場合にも発生することがあります。

1. VMを停止
2. 取得した-> VMインスタンスの詳細。
3. [クラウドAPIアクセススコープ]で[すべてのクラウドAPIへのフルアクセスを許可する]を選択し、[保存]をクリックします。
4. VMを再起動して〜/ .gsutilを削除します。

1. バケットを作成したら、[permissions]タブに移動してメールを追加し、Storage Admin権限を設定します。

2. SSH >> runコマンドでVMインスタンスにアクセスしgcloud auth login、手順に従います。

参照：https : //groups.google.com/d/msg/gce-discussion/0L6sLRjX8kg/kP47FklzBgAJ

そこで、GCSバケットからVMにコピーしようとすることをたくさん試しました。この投稿が誰かのお役に立てば幸いです。

SSH接続経由：

このスクリプトに従ってください：

sudo gsutil cp gs://[BUCKET_NAME]/[OBJECT_NAME] [OBJECT_DESTINATION_IN_LOCAL]

このエラーが発生しました：

AccessDeniedException：403アクセスが構成されていません。プロジェクトのGoogle Cloud Platform Console（https://cloud.google.com/console#/project）に移動し、APIと認証を選択して、Google Cloud Storage JSON APIを有効にしてください。

これを修正したのは、このリンク-https://cloud.google.com/storage/docs/json_api/に記載されている「APIのアクティブ化」セクションに従っていました 。

APIをアクティブにしたら、SSHされたウィンドウで自分自身を認証しました

gcloud auth login

認証手順に従って、最終的にGoogle Storage Bucketから私のVMにダウンロードすることができました。

PS

私は次のことを確認しました：

1. VMインスタンスにgsutilsがインストールされていることを確認します。

2. バケットに移動し、[権限]タブに移動して、目的のサービスアカウントを追加し、ストレージ管理者の権限/役割を設定します。

   3. VMに適切なCloud APIアクセススコープがあることを確認します。

ドキュメントから：https : //cloud.google.com/compute/docs/access/create-enable-service-accounts-for-instances#changeserviceaccountandscopes

最初にインスタンスを停止する必要があります-> [編集ページに移動]-> [クラウドAPIアクセススコープ]に移動し、[ストレージへのフルアクセスまたは読み取り/書き込みまたは必要なものすべて]を選択します

インスタンスのサービスアカウントとアクセススコープの変更VMを別のIDとして実行する場合、またはインスタンスが必要なAPIを呼び出すために別のスコープのセットを必要とする場合は、サービスアカウントとアクセススコープを変更できます。既存のインスタンスの。たとえば、アクセススコープを変更して新しいAPIへのアクセスを許可したり、インスタンスを変更して、Compute Engineのデフォルトのサービスアカウントではなく、作成したサービスアカウントとして実行することができます。

インスタンスのサービスアカウントとアクセススコープを変更するには、インスタンスを一時的に停止する必要があります。インスタンスを停止するには、インスタンスの停止に関するドキュメントをご覧ください。サービスアカウントまたはアクセススコープを変更したら、必ずインスタンスを再起動してください。停止したインスタンスのサービスアカウントまたはアクセススコープを変更するには、次のいずれかの方法を使用します。

バケットの権限を変更します。

「すべてのユーザー」のユーザーを追加し、「ストレージ管理者」にアクセス権を付与します。