Когда я пытаюсь составить список сегментов для учетной записи, с которой я вошел в систему, я получаю следующее:
$ gsutil ls -l gs://bucket
AccessDeniedException: 403 Forbidden
$ gcloud config list
Your active configuration is: [default]
[compute]
region = us-central1
zone = us-central1-b
[core]
account = foo@gmail.com
disable_usage_reporting = True
project = bar-proj
.. что правильно отражает то, что я вошел в систему (как я и ожидал).
Я вижу три сегмента на cloud.google.com, и по крайней мере один (назовем его console-bucket, так как он был создан непосредственно из консоли) имеет как минимум следующие разрешения:
project owners-[projectnumber] - owner
user foo@gmail.com - owner
Другой (назовем его gsutil-bucket) имеет как минимум это разрешение:
project owners-[projectnumber] - owner
Как вы могли догадаться, он был создан с помощью gsutil (с теми же разрешениями, которые не позволяют отобразить ведро).
Возможно, возникла проблема с прокси-сервером, но мне это покажется странным, потому что команда gsutil mb успешно создала корзину, которую я вижу в консоли.
Кроме того, foo@gmail.com выполняет роль владельца bar-project, который был настроен и отображается в разрешениях проекта.
... Что мне не хватает?
Какой вызов пытается сделать gsutil, на какой IP и на какой порт? (Я ожидаю, что это порт 443, но если я ошибаюсь, и это тоже не 80, это объясняет, почему это запрещено ...)
Я так тщательно задавал вопрос, что собираюсь опубликовать ответ, который узнал случайно.
Я случайно ввел команду, которая говорила мне:
gsutil ls