解决方法
----------

在您的桶上启用默认 AWS KMS 加密后，Amazon S3 仅将该加密应用于没有加密设置的新上传对象。

默认桶加密不会更改现有对象的加密设置。例如，如果您在桶上启用具有 AWS KMS 的服务器端加密 (SSE-KMS)，则桶中已经存在的任何未加密对象将保持未加密状态。此外，任何已经通过 SSE-KMS、SSE-S3 或 SSE-C 加密的对象将依然使用各自的密钥进行加密。

默认桶加密也不会覆盖您在上传新对象时指定的加密设置。例如，对于默认使用 SSE-KMS 加密的桶，如果您在 [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) 请求中指定使用 AES256 加密，那么该对象将使用 AES256 加密 (SSE-S3)。

如果您的桶有默认加密方式，但您看到新上传的对象使用了不同的加密设置，请[查看 AWS CloudTrail 数据事件日志](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html#bucket-encryption-tracking)。**PUT**、**POST** 和 **InitiateMultipartUpload** API 请求的日志有一个 SSEApplied 字段。如果此字段的值为 **Default\_SSE\_S3** 或 **Default\_SSE\_KMS**，则该对象使用了默认加密。如果该值为 **SSE\_S3** 或 **SSE\_KMS**，则该对象在 **PutObject** 请求中指定了加密设置。

**注意：**为了要求用户使用 SSE-KMS 上传对象，请使用[桶策略](https://repost.aws/zh-Hans/knowledge-center/s3-bucket-store-kms-encrypted-objects)、[接入点策略](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points.html)或 AWS Organizations [服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。

在我的 Amazon Simple Storage Service (Amazon S3) 桶上，我使用 AWS Key Management Service (AWS KMS) 启用了默认加密。我想知道新对象和现有对象的加密方式会有什么变化。

了解启用默认加密后的 S3 对象加密

当我在 Amazon S3 桶上使用 AWS KMS 启用默认加密时，新对象或现有对象有什么变化？

存储

如何在 AWS KMS 中按区域列出 KMS 密钥授权和委托人？

我该使用 AWS KMS 管理的密钥还是客户管理的 KMS 密钥来加密 Amazon S3 中的对象？

当我在 Amazon S3 桶上使用 AWS KMS 启用默认加密时，新对象或现有对象有什么变化？

解决方法

相关内容