Object Storage Service:Kesalahan HTTP 403

Penyebab: Layanan tidak tersedia untuk pemilik bucket target.

Solusi: Periksa apakah Akun Alibaba Cloud pengguna telah dihapus atau dibatasi karena alasan keamanan. Pastikan juga apakah penyedia telah menangguhkan layanan karena pembayaran tertunda.

Penyebab: Anda tidak memiliki izin untuk melakukan operasi terkait.

Solusi: Izin akhir dari token STS merupakan irisan antara izin dari peran RAM yang ditetapkan di Langkah 4 dan izin yang ditentukan oleh parameter Policy di Langkah 5. Gunakan contoh berikut untuk memeriksa irisan izin yang ditetapkan dalam dua langkah tersebut.

• Contoh 1

  Pada gambar berikut, A merepresentasikan izin peran RAM, B merepresentasikan izin yang ditetapkan oleh parameter policy, dan C merepresentasikan izin akhir kredensial sementara.

  

• Contoh 2

  Pada gambar berikut, A merepresentasikan izin peran RAM, dan B merepresentasikan izin yang ditetapkan oleh parameter policy. Izin yang ditetapkan oleh parameter policy merupakan subset dari izin peran RAM. Oleh karena itu, B merepresentasikan izin akhir kredensial sementara.

  

Penyebab: Kebijakan bucket menolak akses.

Solusi: Konfigurasikan kebijakan bucket sesuai kasus penggunaan Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan bucket untuk mengotorisasi pengguna lain mengakses resource tertentu.

Penyebab: Kebijakan yang dilampirkan pada endpoint VPC client menolak akses ke bucket yang tidak sah.

Solusi: Periksa kebijakan yang dikonfigurasi untuk endpoint VPC.

Penyebab: Anda tidak memiliki izin akses yang diperlukan.

Solusi:

• Pastikan ID AccessKey dan AccessKey Secret yang digunakan benar. Untuk informasi selengkapnya, lihat Membuat pasangan kunci akses.

• Pastikan pengguna RAM memiliki izin yang diperlukan untuk melakukan operasi pada bucket atau objek.

Penyebab: Pengguna anonim tidak memiliki izin yang diperlukan untuk melakukan operasi tersebut.

Solusi: Gunakan kebijakan bucket untuk memberikan izin kepada pengguna anonim agar dapat mengakses resource tertentu di bucket target. Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan bucket untuk mengotorisasi pengguna lain mengakses resource tertentu.

Penyebab: Pengguna anonim tidak memiliki izin untuk mengakses bucket ini.

Solusi: Gunakan kebijakan bucket untuk memberikan izin kepada pengguna anonim agar dapat mengakses bucket target. Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan bucket untuk mengotorisasi pengguna lain mengakses resource tertentu.

Penyebab: Pengguna anonim tidak memiliki izin untuk mengakses objek ini.

Solusi: Gunakan kebijakan bucket untuk memberikan izin kepada pengguna anonim agar dapat mengakses resource tertentu di bucket target. Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan bucket untuk mengotorisasi pengguna lain mengakses resource tertentu.

Penyebab: Fitur hierarchical namespace dinonaktifkan untuk bucket tersebut.

Solusi: Aktifkan fitur hierarchical namespace saat membuat bucket. Setelah itu, Anda dapat mengganti nama direktori atau file. Untuk informasi selengkapnya mengenai wilayah yang mendukung fitur hierarchical namespace dan kasus penggunaannya, lihat Mengaktifkan fitur hierarchical namespace.

Penyebab: Kondisi yang ditentukan dalam bidang formulir policy tidak valid.

Solusi: Pastikan Anda menentukan kondisi yang valid dalam bidang formulir policy. Untuk informasi selengkapnya mengenai kondisi yang didukung dan metode pencocokan dalam bidang formulir policy, lihat Lampiran: Post Policy.

Penyebab: Jenis file yang diunggah tidak sesuai dengan Content-Type yang ditentukan.

Solusi: Content-Type dalam policy digunakan untuk membatasi jenis file yang dapat diunggah menggunakan formulir. Jika Content-Type dibatasi hanya untuk image/png, Anda hanya dapat mengunggah file bertipe image/png. Untuk mengunggah file jenis lain, tambahkan nilai Content-Type yang sesuai ke dalam policy. Untuk daftar nilai Content-Type umum, lihat Bagaimana cara mengatur Content-Type (MIME)?.

Penyebab: Bidang formulir policy dalam permintaan PostObject tidak valid.

Solusi: Bidang formulir policy dalam permintaan Post digunakan untuk memverifikasi validitas permintaan. Policy adalah teks JSON yang dikodekan dalam UTF-8 dan Base64. Policy menyatakan kondisi yang harus dipenuhi oleh permintaan Post. Kode berikut menunjukkan format Post policy:

{ 
  "expiration": "2014-12-01T12:00:00.000Z",
  "conditions": [
    {"bucket": "johnsmith" },
    ["starts-with", "$key", "user/eric/"]
  ]
}

Untuk informasi selengkapnya mengenai kondisi yang didukung dalam policy, lihat Lampiran: Post Policy.

Penyebab: Timestamp permintaan tidak valid.

Solusi: Nilai parameter Expires harus berupa waktu Unix, yaitu jumlah detik yang telah berlalu sejak pukul 00:00:00 UTC pada 1 Januari 1970. Nilai ini menentukan waktu kedaluwarsa URL.

Penyebab: URL yang ditandatangani tidak memiliki parameter yang diperlukan.

Solusi: URL yang ditandatangani harus berisi setidaknya parameter Signature, Expires, dan OSSAccessKeyId. Berikut ini contoh URL yang ditandatangani: http://oss-example.oss-cn-hangzhou.aliyuncs.com/oss-api.pdf?OSSAccessKeyId=nz2pc56s936**9l&Expires=1141889120&Signature=vjbyPxybdZaNmGa%2ByT272YEAiv****. Untuk informasi selengkapnya mengenai URL yang ditandatangani, lihat Menyertakan signature dalam URL.

Penyebab: Permintaan telah kedaluwarsa.

Solusi: Tetapkan nilai yang wajar untuk parameter Expires sesuai kasus penggunaan Anda. Untuk informasi selengkapnya mengenai cara menetapkan parameter Expires saat mengunggah file, lihat PutObject, PostObject, AppendObject, dan InitiateMultipartUpload.

Penyebab: Salin file lintas wilayah tidak didukung.

Solusi: Objek hanya dapat disalin antar bucket dalam wilayah yang sama. Bucket tersebut bisa sama atau berbeda. Untuk informasi selengkapnya, lihat CopyObject.

Penyebab: Endpoint yang digunakan untuk mengakses bucket salah.

Solusi: Pastikan Anda menggunakan endpoint yang benar untuk mengakses bucket. Misalnya, jika bucket berada di wilayah oss-cn-hangzhou, endpoint publiknya adalah oss-cn-hangzhou.aliyuncs.com. Untuk informasi selengkapnya mengenai endpoint, lihat Mengakses OSS melalui IPv6.

Penyebab: Anda tidak memiliki izin untuk menggunakan KMS.

Solusi: Pastikan Anda memiliki izin untuk menggunakan ID CMK yang ditentukan. Untuk informasi selengkapnya, lihat Enkripsi sisi server.

Penyebab: Verifikasi Perlindungan hotlink gagal.

Solusi: Konfigurasikan Daftar putih Referer dan tentukan apakah header Referer kosong diperbolehkan untuk membatasi akses ke resource dalam bucket hanya dari domain yang ada dalam daftar putih. Untuk informasi selengkapnya, lihat Mengonfigurasi Perlindungan hotlink.

Penyebab: Anda tidak memiliki izin untuk membaca ACL objek tersebut.

Solusi: Hubungi pemilik objek untuk memberikan izin GetObjectACL kepada Anda.

Penyebab: Anda tidak memiliki izin untuk membaca objek tersebut.

Solusi: Hubungi pemilik objek untuk memberikan izin baca pada objek tersebut.

Penyebab: Anda tidak memiliki izin untuk menulis ke ACL objek tersebut.

Solusi: Hubungi pemilik objek untuk memberikan izin PutObjectACL kepada Anda.

Penyebab: Anda tidak memiliki izin untuk menulis ke objek tersebut.

Solusi: Hubungi pemilik objek untuk memberikan izin tulis pada objek tersebut.

Penyebab: Pengguna RAM tidak memiliki izin untuk mengakses objek ini.

Solusi: Verifikasi bahwa pengguna RAM memiliki izin yang diperlukan untuk melakukan operasi pada objek tersebut. Untuk informasi selengkapnya mengenai cara menetapkan izin akses berbeda untuk berbagai kasus penggunaan, lihat Tutorial: Menggunakan kebijakan RAM untuk mengontrol akses ke OSS.

Penyebab: Anda tidak memiliki izin untuk mengakses objek tersebut.

Solusi: Berikan izin akses OSS yang diperlukan kepada pemohon, seperti PutObject, GetObject, dan AppendObject. Untuk informasi selengkapnya, lihat Contoh umum kebijakan RAM.

Penyebab: CORS belum dikonfigurasi atau salah konfigurasi.

Solusi: Untuk informasi selengkapnya, lihat Mengonfigurasi berbagi sumber daya lintas asal.

Penyebab: ID AccessKey yang diberikan tidak cocok dengan token STS.

Solusi: Untuk informasi selengkapnya, lihat Menggunakan token STS untuk mengakses OSS.

Penyebab: Bucket dinonaktifkan karena alasan keamanan.

Solusi: Periksa apakah akun Anda memiliki pembayaran tertunda, atau hubungi dukungan teknis untuk melakukan pemeriksaan keamanan.

Penyebab: Anda bukan pemilik bucket target.

Solusi: Hanya pemilik bucket yang memiliki izin yang diperlukan untuk melakukan operasi ini.

Penyebab: Nama domain sudah di-bind ke bucket lain.

Solusi: Ganti nama domain, atau verifikasi kepemilikan nama domain untuk melakukan binding secara paksa. Verifikasi kepemilikan nama domain akan melepas binding-nya dari bucket lain. Untuk informasi selengkapnya, lihat Mengikat nama domain kustom.

Penyebab: Sistem tidak dapat mengenali atau memproses file gambar karena file tersebut rusak atau kehilangan informasi.

Solusi: Pastikan integritas file sumber. Jika file rusak, unggah kembali file lokal tersebut.

Penyebab: ID AccessKey yang dimasukkan mengandung karakter yang tidak didukung.

Solusi: Masukkan kembali ID AccessKey yang benar dari pengguna RAM atau Akun Alibaba Cloud. Untuk informasi selengkapnya, lihat Membuat pasangan kunci akses.

Penyebab: Token STS telah kedaluwarsa.

Solusi: Gunakan pasangan kunci akses sementara (ID AccessKey dan AccessKey Secret) untuk meminta token STS baru dari server aplikasi Anda. Untuk informasi selengkapnya, lihat Mendapatkan token STS.

Penyebab: ID AccessKey dinonaktifkan.

Solusi: Aktifkan kembali pasangan kunci akses tersebut.

Penyebab: Saat Anda mengunduh objek Archive, kesalahan status objek tidak valid terjadi dalam skenario berikut:

• Permintaan RestoreObject belum diajukan, atau permintaan RestoreObject terakhir telah kedaluwarsa.

• Permintaan RestoreObject telah diajukan, tetapi operasi pemulihan data belum selesai.

Solusi: Untuk informasi selengkapnya, lihat RestoreObject.

Penyebab: Token STS tidak valid.

Solusi: Untuk informasi selengkapnya, lihat Menggunakan token STS untuk mengakses OSS.

Penyebab: Ketika Akun Alibaba Cloud memiliki pembayaran tertunda, akses ke Key Management Service (KMS) ditolak.

Solusi: Lunasi saldo tertunggak pada Akun Alibaba Cloud Anda untuk memulihkan akses ke KMS.

Penyebab: Pembayaran untuk KMS telah lewat jatuh tempo.

Solusi: Perpanjang layanan tepat waktu untuk terus menggunakan KMS.

Penyebab: KMS belum diaktifkan untuk pemohon.

Solusi: Sebelum menggunakan enkripsi sisi server dengan kunci yang dikelola KMS (SSE-KMS) untuk mengenkripsi data OSS, Anda harus mengaktifkan KMS terlebih dahulu. Untuk informasi selengkapnya, lihat Mengaktifkan KMS.

Penyebab: Format host salah.

Solusi: Gunakan format nama domain standar untuk mengakses resource OSS. Untuk informasi selengkapnya, lihat Mengakses OSS melalui IPv6.

Penyebab: Saat Anda menggunakan SDK untuk mengakses bucket di OSS, endpoint tidak ditentukan atau salah. Misalnya, kesalahan ini terjadi jika Anda membuat bucket di wilayah China (Qingdao) tetapi menggunakan endpoint default oss-cn-hangzhou.aliyuncs.com untuk mengirim permintaan.

Solusi: Pastikan endpoint permintaan sesuai dengan endpoint bucket. Misalnya, untuk mengakses bucket di wilayah China (Qingdao) dan China (Hangzhou), kami menyarankan Anda membuat beberapa klien OSS dan menambahkan endpoint oss-cn-hangzhou.aliyuncs.com dan oss-cn-qingdao.aliyuncs.com ke klien tersebut.

Penyebab: Waktu permintaan berbeda lebih dari 15 menit dari waktu saat ini di server OSS.

Solusi: Periksa waktu sistem perangkat yang mengirim permintaan dan sesuaikan ke waktu yang benar berdasarkan zona waktu.

Sesuaikan waktu sistem perangkat yang mengirim permintaan berdasarkan standar berikut:

• OSS menggunakan Greenwich Mean Time (GMT). Waktu sistem perangkat Anda harus disesuaikan ke GMT atau zona waktu yang sesuai. GMT adalah waktu di zona nol, juga dikenal sebagai Coordinated Universal Time (UTC).

  • Untuk melihat zona waktu pada sistem Windows, klik .

    Misalnya, +08:00 pada bilah zona waktu menunjukkan bahwa zona waktu sistem perangkat adalah UTC+8.

  • Untuk melihat zona waktu pada sistem Linux atau Unix, jalankan perintah date -R.

    Pada gambar berikut, +0800 menunjukkan bahwa zona waktu sistem perangkat adalah UTC+8.

    

• OSS tersedia di berbagai wilayah, dan semua wilayah menggunakan GMT untuk pencatatan waktu. Waktu sistem perangkat yang mengirim permintaan harus disinkronkan dengan sumber waktu standar.

Penyebab: Format host salah.

Solusi: Saat mengakses OSS melalui internet, gunakan URL untuk merepresentasikan resource OSS yang ingin Anda akses. Struktur URL OSS adalah <Schema>://<Bucket>.<public endpoint>/<Object>. Schema dapat berupa HTTP atau HTTPS. Bucket adalah nama bucket Anda. public endpoint adalah endpoint untuk akses publik ke pusat data tempat bucket berada. Object adalah jalur akses file yang diunggah ke OSS.

Misalnya, jika wilayahnya adalah China (Hangzhou), nama bucket adalah examplebucket, dan jalur objek adalah destfolder/example.txt, maka URL akses publiknya adalah https://examplebucket.oss-cn-hangzhou.aliyuncs.com/destfolder/example.txt.

Penyebab: Nama domain permintaan untuk bucket bukan nama domain tingkat tiga.

Solusi: Dengan pengecualian API GetService (ListBuckets), semua permintaan jaringan ke OSS menggunakan nama domain tingkat tiga yang berisi informasi tentang bucket tertentu. Struktur domain akses adalah BucketName.Endpoint, di mana BucketName adalah nama bucket dan Endpoint adalah nama domain regional untuk bucket tersebut. Misalnya, https://examplebucket.oss-cn-hangzhou.aliyuncs.com.

Penyebab: Token STS telah kedaluwarsa.

Solusi: Minta token baru dari STS.

Penyebab: Wilayah saat ini tidak mendukung penggunaan token STS.

Solusi: Untuk informasi selengkapnya mengenai wilayah yang mendukung penggunaan token STS, lihat Endpoint.

Penyebab: Operasi API ini tidak dapat dipanggil dengan token STS.

Solusi: Token STS hanya cocok untuk memberikan otorisasi sementara kepada pengguna tertentu untuk mengakses resource OSS. Untuk memberikan akses ke bucket kepada pengguna lain, lihat Ikhtisar kontrol akses untuk memilih mekanisme otorisasi yang sesuai.

Penyebab: Saat Anda menggunakan API atau SDK untuk mengakses OSS, klien harus menyertakan informasi signature agar server OSS dapat mengotentikasi permintaan. Jika server mengembalikan pesan kesalahan ini, artinya signature yang disediakan dalam permintaan tidak sesuai dengan signature yang dihitung oleh server, sehingga permintaan ditolak.

Solusi: Lakukan langkah-langkah berikut untuk memecahkan masalah.

1. Pastikan ID AccessKey dan AccessKey Secret yang digunakan untuk menandatangani benar.

   Anda dapat menggunakan ID AccessKey dan AccessKey Secret untuk login ke ossbrowser guna memverifikasi kebenarannya. Untuk informasi selengkapnya, lihat Instal ossbrowser 1.0.

2. Periksa apakah algoritma signature benar.

   OSS mendukung dua metode untuk menyertakan signature dalam permintaan. Untuk informasi selengkapnya, lihat Menyertakan signature dalam header dan Menyertakan signature dalam URL. Bagian berikut menjelaskan algoritma untuk dua metode signature tersebut:

   • Menyertakan signature dalam header

     StringToSign = VERB + "\n"
                   + Content-MD5 + "\n" 
                   + Content-Type + "\n" 
                   + Date + "\n" 
                   + CanonicalizedOSSHeaders
                   + CanonicalizedResource
     Signature = base64(hmac-sha1(AccessKeySecret, StringToSign)

   • Menyertakan signature dalam URL

     StringToSign = VERB + "\n" 
                   + CONTENT-MD5 + "\n" 
                   + CONTENT-TYPE + "\n" 
                   + EXPIRES + "\n" 
                   + CanonicalizedOSSHeaders
                   + CanonicalizedResource
     Signature = urlencode(base64(hmac-sha1(AccessKeySecret, StringToSign)))

   Jika skenario bisnis Anda memungkinkan, kami menyarankan Anda menggunakan SDK Alibaba Cloud untuk mengakses OSS. Dengan demikian, Anda tidak perlu menghitung signature secara manual. Untuk informasi selengkapnya, lihat Menggunakan SDK Alibaba Cloud untuk menginisiasi permintaan.

3. Bandingkan bidang StringToSign dalam badan respons dengan konten permintaan untuk memeriksa perbedaan.

   Bidang StringToSign merepresentasikan string-to-sign, yaitu konten yang Anda enkripsi dengan AccessKey Secret dalam algoritma signature.

   Kode berikut memberikan contoh permintaan:

   PUT /bucket/abc?acl
   Date: Wed, 24 May 2023 02:12:30 GMT
   Authorization: OSS qn6q**************:77Dv****************
   x-oss-abc: mymeta

   String-to-sign untuk permintaan di atas adalah:

   PUT\n\n\nWed, 24 May 2023 02:12:30 GMT\nx-oss-abc:mymeta\n/bucket/abc?acl

Penyebab: Wilayah saat ini tidak mendukung fitur akselerasi transfer.

Solusi: Hubungi dukungan teknis untuk menyelesaikan masalah ini.

Penyebab:

• Akun memiliki pembayaran tertunda atau dinonaktifkan karena alasan keamanan.

• OSS belum diaktifkan.

Solusi:

• Periksa apakah akun memiliki pembayaran tertunda, atau hubungi dukungan teknis untuk melakukan pemeriksaan keamanan.

• Aktifkan OSS.

Penyebab: Anda mencoba menghapus kebijakan retensi yang telah dikunci.

Solusi: Setelah kebijakan retensi dikunci, Anda tidak dapat menghapus kebijakan tersebut atau memperpendek periode retensinya. Anda hanya dapat memperpanjang periode retensi. Untuk informasi selengkapnya, lihat Kebijakan retensi.