为了防止 OSS 被盗链，保护 OSS 的资源安全，用户把 OSS 的 Bucket 权限 设置为私有权限，这样就需要带了签名参数的 URL 去访问。如果 CDN 加速 OSS 的访问 URL，不带 OSS 签名参数的话，就会导致 403。这种情况下可以开启阿里 云 OSS 私有 Bucket 回源授权。当开启私有 OSS Bucket 回源授权后，即表示开启 CDN 对所有 Bucket 的只读权限，CDN 在回源的时候会计算 OSS 的签名参数，从 而可以从 OSS 上正常获取资源。

开启阿里 云 OSS 私有 Bucket 回源授权参考：https://help.aliyun.com/document_detail/57653.html