在使用CloudFront与OAI一起访问KMS加密文件时，无效令牌

Question

我有一个桶，用于通过CloudFront分发服务内容。目前，OAI被用于对桶的请求进行身份验证，但作为额外的安全层，我希望为存储桶中的文件添加KMS加密。

我遵循文档这里来检索KMS加密的文件，但是一旦应用，我就无法通过CDN访问桶中的任何文件(KMS加密与否)，并获得InvalidToken错误：

<?xml version="1.0" encoding="UTF-8"?>
<Error>
    <Code>InvalidToken</Code>
    <Message>The provided token is malformed or otherwise invalid.</Message>
    <Token-0>{TOKEN}</Token-0>
    <RequestId>{REQUEST_ID}</RequestId>
    <HostId>{HOST_ID}</HostId>
</Error>

如果我删除OAI，我可以按预期检索所有文件，如果我删除KMS解密lambda，我可以检索未加密的文件，但当两者都到位时，我什么也得不到。在检查来自lambda的输出请求时，有和没有OAI之间唯一的区别是origin authMethod，即none vs origin-access-identity。

是什么导致了身份验证中的这种冲突，同时是否有可能同时设置这两种方法，以便只有通过CF分发版的请求才能访问存储桶并在那里解密加密的KMS文件？

Answer 1

我不知道我是怎么错过这个的，但是在文档中有这样的声明：

目前，OAI只支持SSE-S3，这意味着客户不能在OAI中使用SSE。

因此，在这个阶段，不可能同时使用OAI和KMS。