请求KMS异常，错误码401，应该如何处理？

问题现象

请求KMS报错或使用云服务加密功能报错。

报错信息为：httpcode=401,code=APIGW.0301,Msg=Incorrect IAM authentication information: current ip:xx.xx.xx.xx refused。

可能原因

用户在IAM服务中设置了访问控制。

IAM控制策略默认范围为全地址访问，如果用户设置了允许访问的IP地址或者网段，则未允许的IP地址/网段均无法访问KMS，或无法使用云服务加密特性。

解决方法

• 通过云服务控制台访问KMS（如OBS加密）：需要开放10.0.0.0/8、11.0.0.0/8、26.0.0.0/8网段。
• 通过API调用KMS接口：根据访问的源IP地址设置开放。

开放IP地址操作步骤

1. 登录管理控制台。
2. 单击页面左侧，选择“管理与监督 > 统一身份认证服务 IAM”，默认进入“用户”界面。
3. 选择“安全设置 > 访问控制”，查看“允许访问的IP地址区间”和“允许访问的IP地址或网段”是否包含请求的源IP地址。
   

   需在“控制台访问”和“API访问”中都包含请求的源IP地址。