Object Storage Service：Kesalahan HTTP 403

Penyebab: Layanan tidak tersedia untuk pemilik bucket target.

Solusi: Periksa apakah Akun Alibaba Cloud pengguna telah dihapus atau dibatasi karena alasan keamanan. Selain itu, pastikan layanan tidak ditangguhkan oleh Alibaba Cloud akibat pembayaran tertunda.

Penyebab: Anda tidak memiliki izin yang diperlukan untuk melakukan operasi tersebut.

Solusi: Izin akhir dari token Security Token Service (STS) merupakan irisan antara izin dari peran RAM yang Anda konfigurasikan di Langkah 4 dan izin yang Anda tentukan dalam kebijakan di Langkah 5. Gunakan contoh berikut untuk memeriksa irisan izin yang Anda konfigurasikan pada kedua langkah tersebut.

• Contoh 1

  Pada gambar berikut, A menunjukkan izin dari peran RAM, B menunjukkan izin yang ditentukan oleh parameter kebijakan, dan C adalah izin akhir dari kredensial sementara.

  

• Contoh 2

  Pada gambar berikut, A menunjukkan izin dari peran RAM, dan B menunjukkan izin yang ditentukan oleh parameter kebijakan. Izin yang ditentukan oleh parameter kebijakan merupakan subset dari izin peran RAM. Oleh karena itu, B adalah izin akhir dari kredensial sementara.

  

Penyebab: Akses ditolak oleh kebijakan bucket.

Solusi: Konfigurasikan kebijakan bucket untuk memberikan izin yang diperlukan. Untuk informasi selengkapnya, lihat Konfigurasi kebijakan bucket untuk mengotorisasi pengguna lain mengakses resource tertentu.

Penyebab: Kebijakan yang dikonfigurasikan untuk VPC tempat klien berada mencegah akses ke bucket yang tidak sah dalam lingkungan VPC.

Solusi: Periksa kebijakan yang dikonfigurasikan untuk VPC tempat klien berada.

Penyebab: Anda tidak memiliki izin akses yang diperlukan.

Solusi:

• Pastikan Anda menggunakan ID AccessKey dan Rahasia AccessKey yang benar. Untuk informasi selengkapnya, lihat Buat pasangan AccessKey.

• Pastikan pengguna RAM memiliki izin yang diperlukan untuk melakukan operasi pada bucket atau objek tersebut.

Penyebab: Pengguna anonim tidak memiliki izin yang diperlukan untuk melakukan operasi tersebut.

Solusi: Gunakan kebijakan bucket untuk memberikan izin kepada pengguna anonim agar dapat mengakses resource tertentu dalam bucket target. Untuk informasi selengkapnya, lihat Konfigurasi kebijakan bucket untuk mengotorisasi pengguna lain mengakses resource tertentu.

Penyebab: Pengguna anonim tidak memiliki izin yang diperlukan untuk mengakses bucket ini.

Solusi: Gunakan kebijakan bucket untuk memberikan izin kepada pengguna anonim agar dapat mengakses bucket target. Untuk informasi selengkapnya, lihat Konfigurasi kebijakan bucket untuk mengotorisasi pengguna lain mengakses resource tertentu.

Penyebab: Pengguna anonim tidak memiliki izin yang diperlukan untuk mengakses objek ini.

Solusi: Gunakan kebijakan bucket untuk memberikan izin kepada pengguna anonim agar dapat mengakses resource tertentu dalam bucket target. Untuk informasi selengkapnya, lihat Konfigurasi kebijakan bucket untuk mengotorisasi pengguna lain mengakses resource tertentu.

Penyebab: Fitur hierarchical namespace dinonaktifkan untuk bucket tersebut.

Solusi: Aktifkan fitur hierarchical namespace saat membuat bucket. Setelah itu, Anda dapat mengganti nama direktori atau file. Untuk informasi selengkapnya mengenai wilayah yang mendukung fitur hierarchical namespace dan skenario penggunaannya, lihat Aktifkan fitur hierarchical namespace.

Penyebab: Kondisi yang ditentukan dalam bidang formulir kebijakan tidak valid.

Solusi: Pastikan Anda menentukan kondisi yang valid dalam bidang formulir kebijakan. Untuk informasi selengkapnya mengenai kondisi yang didukung dan metode pencocokan dalam bidang formulir kebijakan, lihat Lampiran: Post Policy.

Penyebab: Jenis file yang diunggah tidak sesuai dengan Content-Type yang ditentukan.

Solusi: Content-Type dalam kebijakan digunakan untuk membatasi jenis file yang dapat diunggah menggunakan formulir. Jika Content-Type dibatasi hanya untuk `image/png`, Anda hanya dapat mengunggah file bertipe `image/png`. Untuk mengunggah file jenis lain, tambahkan nilai Content-Type yang sesuai ke dalam kebijakan. Untuk daftar nilai Content-Type umum, lihat Bagaimana cara mengatur Content-Type (MIME)?.

Penyebab: Kebijakan yang ditentukan dalam permintaan PostObject telah kedaluwarsa.

Solusi: Bidang formulir `policy` dalam permintaan Post digunakan untuk memverifikasi validitas permintaan. Kebijakan merupakan teks JSON yang dikodekan dalam UTF-8 dan Base64. Kebijakan tersebut menyatakan kondisi yang harus dipenuhi oleh permintaan Post, termasuk waktu kedaluwarsa. Pastikan waktu kedaluwarsa yang ditentukan dalam kebijakan belum terlewati. Kode berikut menunjukkan format kebijakan Post:

{ 
  "expiration": "2014-12-01T12:00:00.000Z",
  "conditions": [
    {"bucket": "johnsmith" },
    ["starts-with", "$key", "user/eric/"]
  ]
}

Untuk informasi selengkapnya mengenai kondisi yang didukung dalam kebijakan, lihat Lampiran: Post Policy.

Penyebab: Timestamp permintaan tidak valid.

Solusi: Nilai parameter `Expires` harus berupa waktu Unix, yaitu jumlah detik yang telah berlalu sejak pukul 00:00:00 UTC pada 1 Januari 1970. Nilai ini menentukan waktu kedaluwarsa URL.

Penyebab: URL yang ditandatangani tidak memiliki parameter yang diperlukan.

Solusi: URL yang ditandatangani harus berisi setidaknya parameter `Signature`, `Expires`, dan `OSSAccessKeyId`. Berikut ini contoh URL yang ditandatangani: http://oss-example.oss-cn-hangzhou.aliyuncs.com/oss-api.pdf?OSSAccessKeyId=nz2pc56s936**9l&Expires=1141889120&Signature=vjbyPxybdZaNmGa%2ByT272YEAiv****. Untuk informasi selengkapnya mengenai URL yang ditandatangani, lihat Sertakan signature dalam URL.

Penyebab: Permintaan telah kedaluwarsa.

Solusi: Tetapkan nilai yang wajar untuk parameter `Expires`. Untuk informasi selengkapnya mengenai cara menetapkan `Expires` saat mengunggah file, lihat PutObject, PostObject, AppendObject, dan InitiateMultipartUpload.

Penyebab: Salin file lintas-wilayah tidak didukung.

Solusi: Objek hanya dapat disalin antar-bucket dalam wilayah yang sama. Bucket tersebut bisa sama atau berbeda. Untuk informasi selengkapnya, lihat CopyObject.

Penyebab: Endpoint yang digunakan untuk mengakses bucket salah.

Solusi: Pastikan Anda menggunakan endpoint yang benar untuk mengakses bucket. Misalnya, jika bucket berada di wilayah oss-cn-hangzhou, endpoint publiknya adalah oss-cn-hangzhou.aliyuncs.com. Untuk informasi selengkapnya mengenai endpoint, lihat Akses OSS melalui IPv6.

Penyebab: Anda tidak memiliki izin yang diperlukan untuk menggunakan KMS.

Solusi: Pastikan Anda memiliki izin untuk menggunakan ID customer master key (CMK) yang ditentukan. Untuk informasi selengkapnya, lihat Enkripsi sisi server.

Penyebab: Verifikasi Perlindungan hotlink gagal.

Solusi: Anda dapat membatasi akses ke resource dalam bucket dengan mengonfigurasi Perlindungan hotlink. Hal ini melibatkan pengaturan Daftar putih Referer dan menentukan apakah Referer kosong diizinkan. Hanya nama domain dalam daftar putih yang dapat mengakses resource tersebut. Untuk informasi selengkapnya, lihat Konfigurasi Perlindungan hotlink.

Penyebab: Anda tidak memiliki izin yang diperlukan untuk membaca ACL objek tersebut.

Solusi: Hubungi pemilik objek untuk memberikan izin `GetObjectACL` kepada Anda.

Penyebab: Anda tidak memiliki izin yang diperlukan untuk membaca objek tersebut.

Solusi: Hubungi pemilik objek untuk memberikan izin membaca objek tersebut kepada Anda.

Penyebab: Anda tidak memiliki izin yang diperlukan untuk menulis ke ACL objek tersebut.

Solusi: Hubungi pemilik objek untuk memberikan izin `PutObjectACL` kepada Anda.

Penyebab: Anda tidak memiliki izin yang diperlukan untuk menulis ke objek tersebut.

Solusi: Hubungi pemilik objek untuk memberikan izin menulis ke objek tersebut kepada Anda.

Penyebab: Pengguna RAM tidak memiliki izin yang diperlukan untuk mengakses objek ini.

Solusi: Pastikan pengguna RAM memiliki izin yang diperlukan untuk melakukan operasi pada objek tersebut. Untuk informasi selengkapnya mengenai cara menetapkan izin akses berbeda untuk skenario berbeda, lihat Tutorial: Gunakan kebijakan RAM untuk mengontrol akses ke OSS.

Penyebab: Anda tidak memiliki izin yang diperlukan untuk mengakses objek tersebut.

Solusi: Berikan izin akses OSS yang diperlukan kepada pengguna, seperti `PutObject`, `GetObject`, dan `AppendObject`. Untuk informasi selengkapnya, lihat Contoh umum kebijakan RAM.

Penyebab: CORS tidak dikonfigurasi atau konfigurasi CORS salah.

Solusi: Untuk informasi selengkapnya, lihat Konfigurasi Berbagi sumber daya lintas domain.

Penyebab: Pasangan AccessKey yang diberikan pengguna tidak cocok dengan token STS.

Solusi: Untuk informasi selengkapnya, lihat Gunakan token STS untuk mengakses OSS.

Penyebab: Bucket dinonaktifkan karena alasan keamanan.

Solusi: Periksa apakah akun Anda memiliki pembayaran tertunda, atau hubungi dukungan teknis untuk melakukan pemeriksaan keamanan.

Penyebab: Pengguna saat ini bukan pemilik bucket target.

Solusi: Hanya pemilik bucket yang memiliki izin yang diperlukan untuk melakukan operasi ini.

Penyebab: Nama domain sudah di-bind ke bucket lain.

Solusi: Ganti nama domain, atau verifikasi kepemilikan nama domain untuk melakukan binding paksa. Verifikasi kepemilikan nama domain akan membatalkan binding-nya dari bucket lain. Untuk informasi selengkapnya, lihat Bind nama domain kustom.

Penyebab: File citra kehilangan informasi atau rusak, sehingga sistem tidak dapat mengidentifikasi atau memprosesnya.

Solusi: Pastikan integritas file sumber. Jika file rusak, unggah kembali file lokal tersebut.

Penyebab: ID AccessKey yang dimasukkan mengandung karakter yang tidak didukung.

Solusi: Masukkan kembali ID AccessKey yang benar dari pengguna RAM atau Akun Alibaba Cloud. Untuk informasi selengkapnya, lihat Buat pasangan AccessKey.

Penyebab: Kredensial akses sementara telah kedaluwarsa.

Solusi: Gunakan pasangan AccessKey sementara (ID AccessKey dan Rahasia AccessKey) untuk meminta kredensial akses sementara dari server aplikasi. Untuk informasi selengkapnya, lihat Dapatkan kredensial akses sementara.

Penyebab: ID AccessKey dinonaktifkan.

Solusi: Aktifkan kembali pasangan AccessKey tersebut.

Penyebab: Saat Anda mengunduh objek Archive, kesalahan status objek tidak valid terjadi dalam dua kasus berikut:

• Permintaan `RestoreObject` belum diajukan, atau permintaan `RestoreObject` terakhir telah kedaluwarsa.

• Permintaan `RestoreObject` telah diajukan, tetapi operasi pemulihan data belum selesai.

Solusi: Untuk informasi selengkapnya, lihat RestoreObject.

Penyebab: Token STS tidak valid.

Solusi: Untuk informasi selengkapnya, lihat Gunakan token STS untuk mengakses OSS.

Penyebab: Ketika Akun Alibaba Cloud Anda memiliki pembayaran tertunda, akses Anda ke Key Management Service (KMS) ditolak.

Solusi: Pastikan Akun Alibaba Cloud Anda tidak memiliki pembayaran tertunda.

Penyebab: Pembayaran untuk layanan KMS telah lewat jatuh tempo.

Solusi: Perpanjang layanan KMS segera untuk memastikan penggunaan berkelanjutan.

Penyebab: Pemohon belum mengaktifkan layanan KMS.

Solusi: Sebelum menggunakan enkripsi sisi server dengan kunci yang dikelola KMS (SSE-KMS) untuk mengenkripsi data OSS, Anda harus mengaktifkan layanan KMS terlebih dahulu. Untuk informasi selengkapnya, lihat Aktifkan KMS.

Penyebab: Format host salah.

Solusi: Gunakan format nama domain standar untuk mengakses resource OSS. Untuk informasi selengkapnya, lihat Akses OSS melalui IPv6.

Penyebab: Saat Anda menggunakan SDK untuk mengakses bucket di OSS, endpoint tidak ditentukan atau endpoint yang ditentukan salah. Misalnya, kesalahan ini terjadi jika Anda membuat bucket di wilayah Tiongkok (Qingdao) tetapi menggunakan endpoint default oss-cn-hangzhou.aliyuncs.com untuk mengirim permintaan.

Solusi: Pastikan endpoint dalam permintaan sama dengan endpoint aktual bucket tersebut. Misalnya, untuk mengakses bucket di wilayah Tiongkok (Qingdao) dan Tiongkok (Hangzhou), kami menyarankan Anda membuat beberapa klien OSS dan mengonfigurasi klien tersebut dengan endpoint oss-cn-hangzhou.aliyuncs.com dan oss-cn-qingdao.aliyuncs.com secara berturut-turut.

Penyebab: Permintaan diajukan lebih dari 15 menit setelah atau sebelum waktu saat ini di server OSS.

Solusi: Periksa waktu sistem perangkat yang mengirim permintaan dan sesuaikan ke waktu yang benar berdasarkan zona waktu.

Waktu sistem perangkat yang mengirim permintaan disesuaikan berdasarkan standar berikut:

• OSS menggunakan Greenwich Mean Time (GMT). Waktu sistem perangkat Anda harus disesuaikan ke GMT atau zona waktu yang sesuai. GMT adalah waktu di zona nol, juga dikenal sebagai Coordinated Universal Time (UTC).

  • Untuk melihat zona waktu pada sistem Windows, klik Control Panel > Clock, Language, and Region > Set the time and date.

    Misalnya, +08:00 pada bilah zona waktu menunjukkan bahwa zona waktu sistem perangkat adalah UTC+8.

  • Untuk melihat zona waktu pada sistem Linux atau Unix, jalankan perintah date -R untuk melihat waktu dan zona waktu.

    Pada gambar berikut, +0800 menunjukkan bahwa zona waktu sistem perangkat adalah UTC+8.

    

• OSS tersedia di berbagai wilayah, dan semua wilayah menggunakan GMT untuk pencatatan waktu. Waktu sistem perangkat yang mengirim permintaan harus disinkronkan dengan sumber waktu standar.

Penyebab: Format host salah.

Solusi: Saat Anda mengakses layanan OSS melalui internet, gunakan URL untuk merepresentasikan resource OSS yang ingin Anda akses. Struktur URL OSS adalah <Schema>://<Bucket>.<Public Endpoint>/<Object>. `Schema` dapat berupa `HTTP` atau `HTTPS`. `Bucket` adalah nama bucket Anda. `Public Endpoint` adalah endpoint untuk akses publik ke pusat data tempat bucket berada. `Object` adalah jalur akses file yang diunggah ke OSS.

Misalnya, jika wilayahnya adalah Tiongkok (Hangzhou), nama bucket adalah `examplebucket`, dan jalur akses objek adalah destfolder/example.txt, maka URL aksesnya adalah https://examplebucket.oss-cn-hangzhou.aliyuncs.com/destfolder/example.txt.

Penyebab: Nama domain permintaan untuk bucket bukan nama domain tingkat tiga.

Solusi: Untuk permintaan jaringan ke OSS, semua nama domain permintaan harus berupa nama domain tingkat tiga yang berisi informasi tentang bucket yang ditentukan, kecuali untuk operasi API `GetService` (ListBuckets). Struktur nama domain adalah BucketName.Endpoint. `BucketName` adalah nama bucket Anda, dan `Endpoint` adalah endpoint regional bucket tersebut. Contoh: https://examplebucket.oss-cn-hangzhou.aliyuncs.com.

Penyebab: Token STS telah kedaluwarsa.

Solusi: Minta token STS baru dari layanan STS.

Penyebab: Wilayah saat ini tidak mendukung penggunaan token STS.

Solusi: Untuk informasi selengkapnya mengenai wilayah yang mendukung penggunaan token STS, lihat Endpoint.

Penyebab: Operasi API saat ini tidak dapat dipanggil menggunakan izin token STS.

Solusi: Token STS hanya cocok untuk memberikan otorisasi sementara kepada pengguna tertentu untuk mengakses resource OSS. Untuk memberikan akses pengguna lain ke bucket, lihat Ikhtisar kontrol akses untuk memilih mekanisme otorisasi yang sesuai.

Penyebab: Saat Anda menggunakan operasi API atau SDK untuk mengakses OSS, klien harus menyertakan informasi signature agar server OSS dapat melakukan otentikasi identitas. Jika server mengembalikan pesan kesalahan ini, signature yang disertakan dalam permintaan tidak sesuai dengan signature yang dihitung oleh server, sehingga permintaan ditolak.

Solusi: Lakukan langkah-langkah berikut untuk memecahkan masalah tersebut.

1. Pastikan ID AccessKey dan Rahasia AccessKey yang digunakan untuk menandatangani benar.

   Anda dapat menggunakan ID AccessKey dan Rahasia AccessKey untuk login ke ossbrowser guna memverifikasi kebenarannya. Untuk informasi selengkapnya, lihat Instal ossbrowser 1.0.

2. Periksa apakah algoritma signature benar.

   OSS menyediakan dua metode permintaan yang menyertakan signature: Sertakan signature dalam header dan Sertakan signature dalam URL. Algoritma untuk kedua metode signature tersebut adalah sebagai berikut:

   • Sertakan signature dalam header

     StringToSign = VERB + "\n"
                   + Content-MD5 + "\n" 
                   + Content-Type + "\n" 
                   + Date + "\n" 
                   + CanonicalizedOSSHeaders
                   + CanonicalizedResource
     Signature = base64(hmac-sha1(AccessKeySecret, StringToSign)

   • Sertakan signature dalam URL

     StringToSign = VERB + "\n" 
                   + CONTENT-MD5 + "\n" 
                   + CONTENT-TYPE + "\n" 
                   + EXPIRES + "\n" 
                   + CanonicalizedOSSHeaders
                   + CanonicalizedResource
     Signature = urlencode(base64(hmac-sha1(AccessKeySecret, StringToSign)))

   Jika skenario bisnis Anda memungkinkan, kami menyarankan Anda menggunakan SDK untuk mengakses OSS. Dengan demikian, Anda tidak perlu menghitung signature secara manual. Untuk informasi selengkapnya, lihat Gunakan SDK Alibaba Cloud untuk menginisiasi permintaan.

3. Bandingkan bidang StringToSign dalam badan respons dengan konten permintaan Anda untuk memeriksa perbedaan.

   Bidang StringToSign menunjukkan string-to-sign. String-to-sign adalah konten yang perlu dienkripsi menggunakan AccessKey secret dalam algoritma signature.

   Kode berikut memberikan contoh permintaan:

   PUT /bucket/abc?acl
   Date: Wed, 24 May 2023 02:12:30 GMT
   Authorization: OSS qn6q**************:77Dv****************
   x-oss-abc: mymeta

   String-to-sign yang dihitung untuk permintaan di atas adalah:

   PUT\n\n\nWed, 24 May 2023 02:12:30 GMT\nx-oss-abc:mymeta\n/bucket/abc?acl

Penyebab: Wilayah saat ini tidak mendukung fitur akselerasi transfer.

Solusi: Hubungi dukungan teknis untuk menyelesaikan masalah ini.

Penyebab:

• Akun memiliki pembayaran tertunda atau dinonaktifkan karena alasan keamanan.

• Layanan OSS belum diaktifkan.

Solusi:

• Periksa apakah akun memiliki pembayaran tertunda, atau hubungi dukungan teknis untuk melakukan pemeriksaan keamanan.

• Aktifkan layanan OSS.

Penyebab: Upaya dilakukan untuk menghapus kebijakan retensi setelah dikunci.

Solusi: Setelah kebijakan retensi dikunci, Anda tidak dapat menghapus kebijakan tersebut atau memperpendek periode retensinya. Anda hanya dapat memperpanjang periode retensi. Untuk informasi selengkapnya, lihat Kebijakan retensi.