云老大 TG @yunlaoda360

华为云资源转储配置失败后，需从 “权限、配置、网络、资源状态” 四个核心维度逐步排查，结合华为云控制台工具和日志信息定位问题根源，具体排查步骤如下：

一、初步检查：确认资源记录器基础配置状态

首先通过 Config 控制台确认资源记录器的基础配置是否正确，排除 “配置未生效”“参数填写错误” 等低级问题：

登录 Config 控制台查看资源记录器状态

OBS 桶信息：检查桶名称、所在区域、桶前缀是否与实际 OBS 桶一致（例如区域选错会导致跨区域访问失败，桶名称拼写错误会导致找不到目标桶）。

授权状态：查看 “IAM 委托” 是否显示 “已授权”，若显示 “授权失效” 或 “未授权”，需优先处理权限问题（见步骤二）。

数据保留周期：确认周期在 30 天 - 7 年范围内（虽不直接导致失败，但需确保配置合规）。

进入华为云 Config 控制台，左侧导航栏选择 “资源记录器”，确认开关处于 “开启” 状态（若关闭，需开启并保存配置）。

核对 “资源转储” 模块的核心参数：

关键判断：若参数明显错误（如 OBS 桶区域与 Config 所在区域不一致、桶名称不存在），直接修正后重新保存配置，再验证是否生效。

二、权限排查：验证 IAM 委托与 OBS 桶权限

权限不足是转储失败的最常见原因，需分别检查 IAM 委托权限和 OBS 桶策略：

1. 检查 IAM 委托权限

Config 资源转储依赖 IAM 委托（默认名称为rms_tracker_agency）获取 OBS 写入权限和 SMN 通知权限，步骤如下：

进入华为云 IAM 控制台，左侧导航栏选择 “委托”，搜索rms_tracker_agency（或配置时自定义的委托名称）。

进入委托详情页，查看 “权限” 标签：

需包含OBS 权限：至少需obs:object:PutObject（写入文件）和obs:bucket:ListBucket（列出桶目录）权限，否则无法写入转储文件。

若配置了 SMN 通知，需包含SMN 权限：smn:topic:publish（发送通知）权限。

若权限缺失，点击 “添加权限”，搜索并关联系统策略OBS ObjectOperator（包含 OBS 写入和列表权限）和SMN FullAccess（按需添加），保存后重新触发转储。

2. 检查 OBS 桶策略（含跨账号场景）

OBS 桶的策略可能限制 Config 的写入操作，需按场景验证：

同账号转储：

登录 OBS 控制台，进入目标桶的 “权限控制> 桶策略”，确认策略中没有显式拒绝IAM 委托的PutObject和ListBucket操作（例如避免存在"Effect": "Deny"且针对该委托的规则）。

跨账号转储

切换到 OBS 桶所属账号，进入桶策略页面，确认策略中显式允许Config 所属账号的 IAM 委托执行PutObject和ListBucket操作，示例策略如下：

json

若策略缺失或权限不足，需重新创建或修改桶策略，确保允许 Config 相关操作。

3. 检查 KMS 权限（若 OBS 桶启用加密）

若 OBS 桶启用了服务端加密（KMS），需额外验证 KMS 权限：

进入 KMS 控制台，左侧导航栏选择 “密钥管理”，找到 OBS 桶使用的加密密钥。

进入密钥详情页，查看 “密钥授权”，确认已授权 IAM 委托（rms_tracker_agency）拥有kms:encrypt和kms:decrypt权限，否则 Config 无法加密写入文件。

三、OBS 桶状态与配置排查

OBS 桶自身的状态或配置错误也会导致转储失败，需逐项检查：

确认 OBS 桶是否存在且可用

登录 OBS 控制台，“桶列表” 中搜索目标桶名称，确认桶状态为 “正常”（非 “冻结”“删除中”）。

若桶不存在，需重新创建 OBS 桶（注意区域与 Config 一致），并更新 Config 资源转储的桶配置。

检查 OBS 桶的存储类型与加密配置

存储类型：确保桶存储类型为 “标准存储”“低频访问存储” 等支持实时写入的类型（归档存储不支持直接写入，会导致失败）。

服务端加密：当前 Config 不支持向 “启用服务端加密（SSE-KMS 或 SSE-OBS）” 的 OBS 桶转储数据，若已启用加密，需关闭加密配置（进入 OBS 桶 “基础配置 > 服务端加密”，选择 “不加密”）。

检查 OBS 桶容量与配额

进入 OBS 桶 “概览” 页面，查看 “已用容量”，若已达桶容量上限（默认无上限，但用户可能自定义配额），需清理空间或调整配额（IAM 控制台 “配额中心” 修改 OBS 配额）。

四、网络与通信排查

网络链路问题可能导致 Config 无法连接 OBS 桶，需从网络连通性和安全策略排查：

验证区域与网络连通性

确保 Config 资源记录器的区域与 OBS 桶的区域一致（跨区域转储需确认网络互通，但建议优先同区域部署，减少延迟）。

若使用私有网络（VPC），检查是否配置了 “OBS 终端节点”：进入 VPC 控制台 “终端节点”，确认已创建 OBS 的终端节点，且 Config 所在的 VPC 子网已关联该终端节点，避免公网访问限制。

检查安全组与防火墙策略

Config 作为华为云服务，默认通过内网访问 OBS，无需配置安全组，但需确保用户侧网络防火墙未拦截华为云内部服务通信（例如企业本地防火墙禁止访问 OBS 域名）。

验证 OBS 域名可访问：通过ping obs.cn-north-1.myhuaweicloud.com（替换为实际区域域名）检查网络连通性，若无法 ping 通，需联系网络管理员开放相关域名。

DNS 解析检查

若 Config 无法解析 OBS 桶域名，会导致连接失败。可在华为云 ECS 实例中执行nslookup 目标桶名称.obs.cn-north-1.myhuaweicloud.com（替换为实际桶域名），若解析失败，需检查 DNS 配置（使用华为云默认 DNS 服务器100.125.1.250通常可解决）。

五、日志追溯：通过 CloudTrace 定位具体错误

若以上步骤未找到问题，需通过华为云 CloudTrace（云审计服务）查看 Config 的操作日志，获取具体错误信息：

进入 CloudTrace 控制台

服务名称：选择 “config”；

事件名称：选择 “CreateResourceDump” 或 “UpdateResourceDump”；

时间范围：选择配置转储失败的时间段。

登录华为云控制台，搜索 “云审计服务 CloudTrace”，进入 “事件列表”。

筛选条件：

分析错误日志

例如OBS_PERMISSION_DENIED：OBS 权限不足（需补充 IAM 委托或桶策略权限）；

OBS_BUCKET_NOT_EXIST：OBS 桶不存在（检查桶名称和区域）；

KMS_PERMISSION_DENIED：KMS 密钥权限不足（授权 KMS 相关权限）；

NETWORK_ERROR：网络连接失败（检查区域和 DNS 解析）。

找到状态为 “失败” 的事件，点击 “事件 ID” 查看详情，重点关注 “errorCode” 和 “errorMessage”：

六、重试与验证

排查并修复问题后，需重新触发转储验证：

进入 Config 控制台 “资源记录器”，点击 “编辑”，重新保存配置（会触发一次新的 “ConfigWritabilityCheckFile” 写入验证）。

10 分钟后登陆 OBS 控制台，检查目标桶中是否生成 “ConfigWritabilityCheckFile”（空文件）。

手动触发一次资源变更（如创建一个 ECS 实例），等待 6 小时后检查 OBS 桶是否生成资源变更文件（路径通常为resource-changes/年/月/日/小时/）。

总结

华为云资源转储配置失败的排查流程可总结为：基础配置检查 → 权限（IAM+OBS+KMS）验证 → OBS 桶状态与加密检查 → 网络连通性排查 → 日志定位错误 → 修复后重试。通过以上步骤，可逐步缩小问题范围，定位并解决权限不足、配置错误、网络中断等常见问题，确保资源转储正常运行。