


 解决方法
-----



不，您无需更新存储桶策略即可确保存储桶上存储的对象得到加密。如果您激活了[默认加密](https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html)并且用户上传了不含加密信息的对象，则 Amazon S3 将会使用您指定的默认加密方法。如果用户在 PUT 请求中指定了加密信息，则 Amazon S3 将使用该请求中指定的加密方法。


此行为适用于使用以下密钥进行加密：


* 由 Amazon S3 托管的密钥。
* 标记为 SSE-S3 密钥的密钥。
* 由 AWS Key Management Service（AWS KMS）托管的密钥。
* 标记为 SSE-KMS 密钥的密钥。


有关激活默认加密后的加密行为的更多信息，请参阅[设置 Amazon S3 存储桶的默认服务器端加密行为](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html#bucket-encryption-how-to-set-up)。


**重要提示：**使用自定义 AWS KMS 密钥激活默认加密后，必须向用户授予额外的权限才能访问对象。向这些用户授予在密钥策略或其 AWS Identity and Access Management（IAM）策略上使用密钥的权限。有关如何授予这些权限的更多信息，请参阅[我的 Amazon S3 存储桶使用自定义 AWS KMS 密钥进行默认加密。我如何允许用户从存储桶下载和上传到存储桶？](https://repost.aws/zh-Hans/knowledge-center/s3-bucket-access-default-encryption/) 有关跨账户操作，请参阅[使用 SSE-KMS 加密进行跨账户操作](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html#bucket-encryption-update-bucket-policy)。





---




 相关信息
-----



[AWS KMS 中的密钥策略](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-users)


[AWS KMS 概念](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html)







我在 Amazon Simple Storage Service（Amazon S3）存储桶上激活了默认加密。我是否需要更改存储桶策略以确保存储桶上存储的对象得到加密？

我应该将哪种存储桶策略用于 S3 的默认加密

在 Amazon S3 存储桶上激活默认加密时，我是否需要更新存储桶策略以加密存储桶中的对象？

存储

在 Amazon S3 存储桶上激活默认加密时，我是否需要更新存储桶策略以加密存储桶中的对象？

解决方法

相关信息

相关内容