问题描述
用户在服务端KMS使用自带密钥BYOK数据加密场景下,在请求header字段x-oss-server-side-encryption-key-id携带的CMK ID被禁用。
问题原因
用户在服务端KMS使用自带密钥BYOK数据加密场景下,在请求header中x-oss-server-side-encryption-key-id字段携带的CMK ID当前处于禁用状态。
问题示例
例如,您在使用服务端KMS进行加密的时候,采用自带密钥BYOK方式,将密钥以及数据上传到KMS服务生成一个CMK ID,用户可以通过在OSS数据上传的相关接口,例如PutObject、AppendObject、InitMultipart等接口的请求中,将x-oss-server-side-encryption设置KMS的同时,如果采用BYOK方式对上传数据,则需要在header携带x-oss-server-side-encryption-key-id字段中设置可用的CMK ID。
如果用户在KMS管理服务禁用了该CMK ID,在OSS端访问的时候将返回该错误码。
解决方案
在使用服务端使用KMS自带BYOK方式,对数据进行服务端加密上传时,除了在header中将x-oss-server-side-encryption填充为KMS, 还需要将x-oss-server-side-encryption-key-id填充有效的CMK ID值。
相关文档
服务器端加密