0005-00000207

问题描述

用户在服务端KMS使用自带密钥BYOK数据加密场景下,在请求header字段x-oss-server-side-encryption-key-id携带的CMK ID被禁用。

问题原因

用户在服务端KMS使用自带密钥BYOK数据加密场景下,在请求header中x-oss-server-side-encryption-key-id字段携带的CMK ID当前处于禁用状态。

问题示例

例如,您在使用服务端KMS进行加密的时候,采用自带密钥BYOK方式,将密钥以及数据上传到KMS服务生成一个CMK ID,用户可以通过在OSS数据上传的相关接口,例如PutObject、AppendObject、InitMultipart等接口的请求中,将x-oss-server-side-encryption设置KMS的同时,如果采用BYOK方式对上传数据,则需要在header携带x-oss-server-side-encryption-key-id字段中设置可用的CMK ID。

如果用户在KMS管理服务禁用了该CMK ID,在OSS端访问的时候将返回该错误码。

解决方案

在使用服务端使用KMS自带BYOK方式,对数据进行服务端加密上传时,除了在header中将x-oss-server-side-encryption填充为KMS, 还需要将x-oss-server-side-encryption-key-id填充有效的CMK ID值。

相关文档

服务器端加密