403错误

AccessDenied

The bucket you are attempting to access must be addressed using the specified endpoint. Please send all future requests to this endpoint

• 问题原因：访问Bucket时使用的Endpoint不正确。

• 解决方案：确保使用正确的Endpoint访问Bucket。例如Bucket所在地域为oss-cn-hangzhou，则外网Endpoint为oss-cn-hangzhou.aliyuncs.com。关于Endpoint的更多信息，请参见OSS访问域名使用规则。

This request is forbidden by kms

• 问题原因：没有KMS使用权限。

• 解决方案：请确保对指定的CMK ID具有使用权限。详情请参见服务器端加密。

AccessDenied

• 问题原因：没有相应的访问权限。

• 解决方案：

  • 确认使用了正确的AccessKey ID和AccessKey Secret。详情请参见创建AccessKey。
  • 确认RAM用户是否拥有Bucket或Object相关操作权限。

You have no right to access this object

• 问题原因：RAM用户无权访问此Object。

• 解决方案：确认RAM用户是否拥有Object相关操作权限。根据使用场景设置不同访问权限的详情，请参见教程示例：使用RAM Policy控制OSS的访问权限。

Anonymous user has no right to access this bucket

• 问题原因：匿名用户无权访问此Bucket。
• 解决方案：请通过Bucket Policy授权匿名用户访问目标Bucket。详情请参见通过Bucket Policy授权用户访问指定资源。

Anonymous user has no right to access this object

• 问题原因：匿名用户无权访问此Object。
• 解决方案：请通过Bucket Policy授权匿名用户访问目标Bucket中的指定资源。详情请参见通过Bucket Policy授权用户访问指定资源。

You are denied by bucket referer policy

• 问题原因：防盗链校验
• 解决方案：通过设置Referer白名单以及是否允许空Referer，限制仅白名单中的域名可以访问Bucket内的资源。详情请参见设置防盗链。

Invalid according to Policy: Policy expired

• 问题原因：PostObject中的Policy表单域无效。

• 解决方案：Post请求的Policy表单域用于验证请求的合法性。Policy为一段经过UTF-8和Base64编码的JSON文本，声明了Post请求必须满足的条件。Post Policy格式如下：

  { "expiration": "2014-12-01T12:00:00.000Z",
    "conditions": [
      {"bucket": "johnsmith" },
      ["starts-with", "$key", "user/eric/"]
    ]
  }

  关于Policy中支持的Conditions详情，请参见附录：Post Policy。

Invalid according to Policy: Policy Condition failed: " + RelatedUnit; //XXX

• 问题原因：Policy表单域中指定的Conditions无效。

• 解决方案：确保在Policy表单域中指定有效的Conditions。关于Policy表单域中支持的Conditions以及Conditions匹配方式详情，请参见附录：Post Policy。

Invalid according to Policy: Policy Condition failed: ["eq", "$Content-Type", "image/png"]

• 问题原因：上传的文件类型与指定的Content-Type类型不符。

• 解决方案：Policy中的Content-Type用于限制表单上传时的文件类型。如果Content-Type限制为image/png，则仅支持上传image/png类型的文件。如果您需要上传其他类型的文件，请添加对应的Content-Type类型。关于常见的Content-Type类型列表，请参见如何设置Content-Type（MIME）？。

Target object does not reside in the same data center as source object

• 问题原因：不支持跨地域拷贝文件。

• 解决方案：仅支持拷贝同一地域下相同或不同存储空间（Bucket）之间的文件（Object）。详情请参见CopyObject。

Query string authentication requires the Signature, Expires and OSSAccessKeyId parameters

• 问题原因：URL签名缺少必要参数。

• 解决方案：URL签名必须至少包含Signature、Expires和OSSAccessKeyId参数。URL签名示例为http://oss-example.oss-cn-hangzhou.aliyuncs.com/oss-api.pdf?OSSAccessKeyId=nz2pc56s936**9l&Expires=1141889120&Signature=vjbyPxybdZaNmGa%2ByT272YEAiv****。关于URL签名的详情，请参见在URL中包含签名。

Invalid date (should be seconds since epoch)

• 问题原因：请求的时间戳无效。

• 解决方案：Expires参数的值是一个Unix time（自UTC时间1970年1月1号开始的秒数），用于标识该URL的超时时间。

Request has expired

• 问题原因：请求已过期。

• 解决方案：请结合实际使用场景，设置合理的Expires。关于在上传文件时如何设置Expires，请参见PutObject、PostObject、AppendObject和InitiateMultipartUpload。

You do not have read permission on this object

• 问题原因：没有该Object的读取权限。

• 解决方案：请联系Object拥有者授予您对Object的读取权限。

You do not have write permission on this object

• 问题原因：没有该Object的写入权限。

• 解决方案：请联系Object拥有者授予您对Object的写入权限。

You do not have read acl permission on this object

• 问题原因：没有该Object的ACL读取权限。

• 解决方案：请联系Object拥有者授予您GetObjectACL的权限。

You do not have write acl permission on this object

• 问题原因：没有该Object的ACL写入权限。

• 解决方案：请联系Object拥有者授予您PutObjectACL的权限。

You have no right to access this object because of bucket acl

• 问题原因：没有该Object的访问权限。

• 解决方案：请授予访问者OSS相关访问权限，例如PutObject、GetObject、AppendObject等。详情请参见RAM Policy常见示例。

Anonymous access is forbidden for this operation

• 问题原因：匿名用户没有该操作的对应权限。

• 解决方案：请通过Bucket Policy授权匿名用户访问目标Bucket中的指定资源。详情请参见通过Bucket Policy授权用户访问指定资源。

Access denied by bucket policy

• 问题原因：通过Bucket Policy的授权访问被拒绝。

• 解决方案：请结合不同的使用场景灵活配置Bucket Policy。详情请参见通过Bucket Policy授权用户访问指定资源。

Access denied by VPC endpoint policy

• 问题原因：客户端所在VPC添加了Policy授权策略，导致未授权的Bucket无法在VPC环境内访问。

• 解决方案：请检查您的客户端所在VPC配置的Policy授权策略。

Access denied by authorizer's policy

• 问题原因：出现该报错通常是无权限执行相关操作。

• 解决方案：临时访问凭证最终获取的权限是步骤四设置的角色权限和步骤五中Policy设置权限的交集。请通过以下示例检查您在这两个步骤中设置的权限交集。

  • 示例一

    步骤四设置的角色权限为AliyunOSSFullAccess系统权限，步骤五Policy中设置了oss:PutObject权限，则临时访问凭证最终获取的权限为oss:PutObject，即仅支持执行向指定Bucket上传文件的操作。

  • 示例二

    步骤四设置的角色权限为oss:PutObject系统权限，步骤五Policy中设置了oss:GetObject权限，则临时访问凭证最终未获取任何权限，即无法向指定Bucket执行任何操作。

AccessForbidden

CORSResponse: This CORS request is not allowed. This is usually because the evalution of Origin, request method / Access-Control-Request-Method or Access-Control-Requet-Headers are not whitelisted by the resource's CORS spec

• 问题原因：没有配置CORS或CORS配置错误。
• 解决方案：请参见设置跨域资源共享进行排查。

PermanentRedirect

The bucket you are attempting to access must be addressed using the specified endpoint. Please send all future requests to this endpoint

• 问题原因：通过SDK访问OSS中的Bucket时，未指定Endpoint或者指定的Endpoint有误。例如创建的Bucket位于青岛地域，使用了默认配置的oss-cn-hangzhou.aliyuncs.com的Endpoint地址发起请求，则出现该报错。
• 解决方案：确认请求的Endpoint地址与Bucket实际的Endpoint地址一致。例如需要访问青岛和杭州两个节点的Bucket，建议创建多个ossclient，并在ossclient中添加oss-cn-hangzhou.aliyuncs.com和oss-cn-qingdao.aliyuncs.com两个Endpoint。

SecondLevelDomainForbidden

The bucket you are attempting to access must be addressed using OSS third level domain

• 问题原因：Bucket的请求域名不为三级域名。

• 解决方案：针对OSS的网络请求，除了GetService (ListBuckets)API以外，其他所有请求的域名均由带有指定Bucket信息的三级域名组成。访问域名结构为BucketName.Endpoint，BucketName为您的存储空间名称，Endpoint为存储空间对应的地域域名。例如https://examplebucket.oss-cn-hangzhou.aliyuncs.com。

Please use virtual hosted style to access

• 问题原因：Host错误。

• 解决方案：通过外网访问OSS服务时，以URL的形式表示访问的OSS资源。OSS的URL结构为<Schema>://<Bucket>.<外网Endpoint>/<Object> 。其中Schema包含HTTP或者HTTPS，Bucket表示存储空间名称，外网Endpoint为Bucket所在数据中心供外网访问的Endpoint，Object填写上传到OSS上的文件的访问路径。

  例如您的Region为华东1（杭州），Bucket名称为examplebucket，Object访问路径为destfolder/example.txt，则外网访问地址为https://examplebucket.oss-cn-hangzhou.aliyuncs.com/destfolder/example.txt。

NonStandardHostForbidden

Your host is invalid. Please use Open Storage Service standard host

• 问题原因：Host错误。
• 解决方案：请使用标准的域名格式访问OSS资源。详情请参见OSS访问域名使用规则。

KmsUbsmsInvalidBid

Your account partner does not have KMS Service

• 问题原因：请求者未开通KMS服务。
• 解决方案：使用SSE-KMS对OSS数据进行加密前，请先开通KMS服务。详情请参见购买专属KMS实例。

KmsInDebt

Current user is indebted

• 问题原因：当您的阿里云账户进入欠费状态时，您会收到相应的通知。同时，您对密钥管理服务KMS（Key Management Service）的访问会被拒绝。
• 解决方案：如需正常使用KMS服务时，请确保您的阿里云账户不欠费。

KmsInDebtOverdue

Current user is indebted Overdue

• 问题原因：KMS服务欠费已逾期。
• 解决方案：如需正常使用KMS服务，请及时续费。

WORMConfigurationLocked

The WORM Configuration is locked

• 问题原因：合规保留策略锁定后试图删除策略。
• 解决方案：若保留策略已提交锁定，则不允许删除此策略，且无法缩短策略保护周期，仅可以延长保护周期。详情请参见保留策略。

BucketNotBelongTo

The bucket you access does not belong to you

• 问题原因：当前用户不是目标Bucket的拥有者。
• 解决方案：仅Bucket拥有者有权限执行此操作。

InvalidAccessKeyId

The OSS Access Key Id you provided is disabled

• 错误原因：AccessKey ID处于禁用状态。
• 解决方案：重新启用AccessKey。

The OSS Access Key Id you provided does not exist in our records

• 错误原因：临时访问凭证已过期，过期后自动失效。
• 解决方案：请使用临时访问密钥（AccessKeyId和AccessKeySecret）向App服务器申请新的临时访问凭证。具体操作，请参见获取临时访问凭证。

The OSS Access Key Id contains non-acceptable characters, which accepts only alphanumeric characters[0-9a-zA-Z] and several special characters[._=]

• 错误原因：输入了无效的AccessKey ID。
• 解决方法：请重新输入RAM用户或者阿里云账号的AccessKey ID。更多信息，请参见创建AccessKey。

SignatureDoesNotMatch

The request signature we calculated does not match the signature you provided

• 问题原因：签名错误。
• 解决方案：请参考以下步骤进行排查。
  1. 确认Endpoint格式是否填写正确。

     以华东1（杭州）地域为例，正确的Endpoint格式为http://oss-cn-hangzhou.aliyuncs.com。关于其他地域对应的Endpoint填写方法，请参见访问域名和数据中心。

  2. 确认AccessKey ID与AccessKey Secret是否填写正确。

     AccessKey ID与AccessKey Secret前后不能存在空格。

  3. 确认BucketName与ObjectKey符合命名要求。
     • BucketName的命名规则如下：
       • Bucket名称在OSS范围内必须全局唯一。
       • 只能包括小写字母、数字和短划线（-）。
       • 必须以小写字母或者数字开头和结尾。
       • 长度为3~63个字符。
     • ObjectKey的命令规则如下：
       • 使用UTF-8编码。
       • 长度必须在1~1023字符之间。
       • 不能以正斜线（/）或者反斜线（\）开头。
       • 区分大小写。
  4. 检查签名方法。
     • 如果您是自己实现的签名且您的业务环境适合使用SDK，请参考OSS SDK提供的签名方法完成签名。更多信息，请参见使用阿里云SDK发起请求概述。
     • 如果您是自己实现的签名且您的业务环境不适合使用SDK，您需要手动编写代码计算签名并将签名添加到REST API请求中。更多信息，请参见使用REST API发起请求。
  5. 确认使用的代理中是否添加额外的Header。

TransferAccelerationDisabled

Transfer acceleration is disabled

• 问题原因：未开启传输加速服务。
• 解决方案：如果您需要远距离数据传输加速、加速上传和下载GB或TB级大文件以及非静态、非热点数据下载加速等场景，请开启传输加速服务。详情请参见传输加速。

InvalidSecurityToken

The security token you provided is invalid

• 问题原因：临时访问凭证无效。
• 解决方案：请参见使用STS临时访问凭证访问OSS进行排查。

AccessKeyIdAndSecurityTokenNotMatch

The OSS access key id and security token you provided does not match

• 问题原因：用户提供的AccessKey和临时访问凭证不匹配。
• 解决方案：请参见使用STS临时访问凭证访问OSS进行排查。

SecurityTokenExpired

The security token you provided has expired

• 问题原因：临时访问凭证已过期。
• 解决方案：重新请求STS服务获取临时访问凭证。

AbnormalBucketOwnerStatus

The status of the bucket owner is abnormal

• 问题原因：暂未向目标Bucket的所属用户提供服务。
• 解决方案：请检查用户的阿里云账号是否已注销或因安全等原因被管控，是否因欠费原因被运营商暂停服务。

SecurityTokenNotSupported

This interface does not support security token

• 问题原因：当前接口暂不允许通过临时访问凭证权限进行调用。

• 解决方案：STS Token仅适用于临时授权给特定用户访问OSS资源。如果您需要将Bucket开放给他人访问，请参见访问控制概述选择适用的授权机制。

Security token is not supported in this region

• 问题原因：暂不支持在当前地域使用STS Token。

• 解决方案：关于哪些地域支持使用STS Token的详情，请参见接入地址。

RequestTimeTooSkewed

The difference between the request time and the current time is too large

• 问题原因：请求发起的时间超过OSS服务器当前时间15分钟。
• 解决方案：请检查发送请求设备的系统时间，并根据时区调整到正确时间。
  发送请求的机器或设备的系统时间，调整标准如下：

  • OSS的系统时间采用GMT时间，您的设备的系统时间需要调整到GMT时间，或与其相对应的时区时间。GMT是零时区的区时，即世界标准时间。
    • Windows系统查看时区的方法：单击控制面板 > 时钟、语言和区域 > 设置日期和时间 。

      例如，时区栏的+08:00表示您的设备系统时区是东八区。

    • Linux或Unix系统查看时区的方法：执行date -R查看时间和时区。
      下图中的+0800表示您的设备系统时区是东八区。
  • 支持在多个地域使用OSS。每个地域都使用GMT时间，您发送请求的设备系统时间也是GMT时间。

ImageDamage

The image file may be damaged

• 问题原因：图片文件有部分信息丢失或损坏，导致无法正常识别或处理。
• 排查方法：请确保源文件没有损坏，如有损坏请重新上传本地文件。

UserDisable

UserDisable

• 问题原因：
  • 账号欠费或者由于安全原因，账号被禁用。
  • 未开通OSS服务。
• 解决方案：
  • 请检查账号是否已欠费，或联系技术支持进行安全受限核查。
  • 开通OSS服务。

BucketDisable

BucketDisable

• 问题原因：Bucket因安全原因被禁用。
• 解决方案：请检查账号是否已欠费，或联系技术支持进行安全受限核查。

CnameDenied

The cname belongs to another user

• 问题原因：该域名已绑定至其他Bucket。
• 解决方案：请更换域名或通过验证域名所有权强制绑定域名，验证域名所有权会解除域名与其他Bucket的绑定关系。请参见绑定自定义域名进行排查。

InvalidObjectState

The operation is not valid for the object's state

• 问题原因：下载归档类型Object时，以下两种情况会导致报错无效的Object状态。
  • 未提交RestoreObject请求或者上一次提交RestoreObject已超时。
  • 已提交RestoreObject请求，但数据的RestoreObject操作还没有完成。
• 解决方案：请参见RestoreObject进行排查。