搭配使用 SSE-KMS 所需的金鑰政策

您可以在 Amazon S3貯體上啟用使用 Amazon S3-Managed金鑰 (SSE-S3) 的伺服器端加密，或使用 KMS 金鑰 (SSE-KMS) 的伺服器端加密，以保護 Amazon S3 儲存貯體中的資料。如需詳細資訊，請參閱《Amazon S3 使用者指南》中的使用伺服器端加密保護資料。

如果您選擇 SSE-S3，則不需要額外的組態。Amazon S3 會處理加密金鑰。

如果您選擇 SSE-KMS，則必須使用客戶受管金鑰 ARN。如果您使用金鑰 ID，您可能會在建立流程日誌時遇到 無法傳遞LogDestination 錯誤。此外，您必須更新客戶受管金鑰的金鑰政策，以讓日誌傳遞帳戶能夠寫入您的 S3 儲存貯體。如需與 SSE-KMS 搭配使用的必要金鑰政策的詳細資訊，請參閱 Amazon CloudWatch Logs 使用者指南中的 Amazon Amazon S3 儲存貯體伺服器端加密。