问KMS加密与S3 SSE的区别

EN

首先: KMS 加密操作将只接受4K的数据，因此它不是一个通用的解决方案。

使用S3服务器端加密，S3后端将生成密钥，使用该密钥加密数据，使用KMS加密密钥，然后存储加密数据和加密密钥。当您读取数据时，它会做相反的操作:使用KMS解密密钥，然后使用解密密钥解密数据。

您可以自己实现相同的操作，将加密的密钥存储在S3对象的元数据中。然而，这意味着自己编写代码来进行对象加密，除非您熟悉加密，否则可能会出错。

客户端加密有一些有限的用例，但在这些情况下，您将使用KMS不提供的加密密钥。