- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 控制台指南
- 工具指南
- 数据湖加速器 GooseFS
- 最佳实践
- 开发者指南
- 故障处理
- API 文档
- 简介
- 公共请求头部
- 公共响应头部
- 错误码
- 请求签名
- 操作列表
- Service 接口
- Bucket 接口
- Object 接口
- 批量处理接口
- 数据处理接口
- 数据工作流接口
- SDK 文档
- 常见问题
- 服务等级协议
- 词汇表
- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 控制台指南
- 工具指南
- 数据湖加速器 GooseFS
- 最佳实践
- 开发者指南
- 故障处理
- API 文档
- 简介
- 公共请求头部
- 公共响应头部
- 错误码
- 请求签名
- 操作列表
- Service 接口
- Bucket 接口
- Object 接口
- 批量处理接口
- 数据处理接口
- 数据工作流接口
- SDK 文档
- 常见问题
- 服务等级协议
- 词汇表
故障现象
- 当 COS API、SDK 上传和下载资源时,返回403错误码。
- 当使用临时账号或子账号访问 COS 资源时,返回403错误码。
- 当修改 COS bucket 配置时,返回403错误码。
故障定位及处理
Message 为 “Access Denied.”
当您访问 COS 出现如下信息时:
<Code>AccessDenied</Code>
<Message>Access Denied.</Message>
需要您执行以下操作:
- 登录 对象存储控制台。
- 在左侧导航栏中,选择【存储桶列表】,进入存储桶管理页面。
- 找到需要操作的存储桶,单击该存储桶名称,进入存储桶配置页面。
- 在左侧导航栏中,选择【权限管理】>【存储桶访问权限】,进入存储桶访问权限管理页面。
- 在“存储桶访问权限”栏中,检查访问 COS 的账号是否配置了访问权限。
- 是,请执行下一步。
- 否,请单击【添加用户】,为访问 COS 的账号设置所需权限。
- 检查配置访问权限的账号是否具有所需权限。
- 是,请执行下一步。
- 否,请单击【编辑】,重新设置。
- 在“Policy权限设置”栏中,检查访问 COS 的账号是否配置了 policy 授权策略。
注意:
- 如果存储桶访问权限为私有读写,且 Policy 权限为匿名访问,那么 Policy 权限的优先级高于存储桶访问权限。
- 在 Policy 授权策略中,如果同一个子用户同时设置了允许和禁止策略,那么禁止策略的优先级高于允许策略。
- 在 Policy 授权策略中,“所有用户”策略的优先级低于“指定用户”策略。
- 是,请执行下一步。
- 否,请单击【添加策略】,根据实际签名访问时账号所需权限进行设置。
- 检查配置 Policy 权限的账号是否具有所需权限。
- 是,请执行下一步。
- 否,请单击【编辑】,重新设置。
- 检查访问 COS 资源时使用的 q-ak 参数是否为目标桶的所属账号(区分大小写)。
- 是,请执行下一步。
- 否,请将 q-ak 参数修改为相应的目标桶所属账号。
- 检查访问 COS 资源时是否为跨账号访问。
- 是,请为该账号进行跨账号授权,详细操作请参见 授权跨账号的子账号对指定文件的读写权限。
- 否,请 联系我们。
Message 为 “AccessForbidden”
当您访问 COS 出现如下信息时:
<Code>AccessDenied</Code>
<Message>AccessForbidden</Message>
需要您执行以下操作:
- 登录 对象存储控制台。
- 在左侧导航栏中,选择【存储桶列表】,进入存储桶管理页面。
- 找到需要操作的存储桶,单击该存储桶名称,进入存储桶配置页面。
- 在左侧导航栏中,选择【安全管理】>【跨域访问CORS设置】,进入跨域访问 CORS 设置页面。
- 在“跨域访问CORS设置”栏中,检查是否为跨域请求。
- 是,请执行下一步。
- 否,请修改规则。
- 执行以下命令,检查跨域请求配置是否正确。
curl 'http://bucket-appid.cos.ap-guangzhou.myqcloud.com/object' -voa /dev/null -H 'Origin: 跨域访问CORS设置的来源 Origin'
Message 为 “You are denied by bucket referer rule”
当您访问 COS 出现如下信息时:
<Code>AccessDenied</Code>
<Message>You are denied by bucket referer rule</Message>
需要您执行以下操作:
- 登录 对象存储控制台。
- 在左侧导航栏中,选择【存储桶列表】,进入存储桶管理页面。
- 找到需要操作的存储桶,单击该存储桶名称,进入存储桶配置页面。
- 在左侧导航栏中,选择【安全管理】>【防盗链设置】,进入防盗链设置页面。
- 在“防盗链设置”中,检查是否设置了防盗链。
- 是,请执行下一步。
- 否,请 联系我们。
- 执行以下命令,检查防盗链设置是否正确。
curl 'http://bucket-appid.cos.ap-guangzhou.myqcloud.com/object' -voa /dev/null -H 'referer: Referer 的值'
Message 为 “InvalidAccessKeyId”
当您访问 COS 出现如下信息时:
<Code>AccessDenied</Code>
<Message>InvalidAccessKeyId</Message>
需要您执行以下操作:
- 检查请求签名中 Authorization 的 q-ak 参数是否填写正确。
- 是,请执行下一步。
- 否,请修改 q-ak 参数。密钥的 SecretId 需与 q-ak 参数保持一致,且区分大小写。
- 前往 API密钥管理,检查 API 密钥是否已启用。
- 是,请 联系我们。
- 否,请启用该 API 密钥。
Message 为 “InvalidObjectState”
当您访问 COS 出现如下信息时:
<Code>AccessDenied</Code>
<Message>InvalidObjectState</Message>
需要您执行以下操作:
检查请求的对象是否为归档类型或深度归档类型。
- 是,请恢复对象,再进行访问。详细操作请参见 POST Object restore。
- 否,请 联系我们。
Message 为 “RequestTimeTooSkewed”
当您访问 COS 出现如下信息时:
<Code>AccessDenied</Code>
<Message>RequestTimeTooSkewed</Message>
需要您执行以下操作:
- 根据操作系统类型,查看客户端当前时间。
Windows 系统(以 Windwos Server 2012 为例):
> 【控制面板】>【时钟、语言和区域】>【设置日期和时间】。Linux 系统:执行
date -R命令。
- 判断客户端当前时间与服务器的时间是否存有偏差(时间偏差超过15分钟)。
- 是,请同步时间。
- 否,请 联系我们。
Message 为 “Request has expired”
当您访问 COS 出现如下信息时:
<Code>AccessDenied</Code>
<Message>Request has expired</Message>
产生的可能原因如下:
- 发起请求的时间超过了签名的有效时间。
- 本地系统时间和所在时区的时间不一致。
需要您重新设置签名的有效时间,或者同步本地系统时间。若仍无法解决,请 联系我们。
Message 为 “SignatureDoesNotMatch”
当您访问 COS 出现如下信息时:
<Code>AccessDenied</Code>
<Message>SignatureDoesNotMatch</Message>
需要您执行以下操作:
检查客户端计算的签名与服务端计算的签名是否一致。
是
否
本页内容是否解决了您的问题?