В сети AWS происходит взаимодействие шифрования / дешифрования KMS <-> S3. Данные зашифрованы в состоянии покоя с использованием шифрования AES-256, поддерживаемого различными поставщиками ключей (управляемым клиентом / на стороне сервера), и в процессе передачи с использованием TLS v1.2. В любом случае, если вы сделаете объект общедоступным и доступным для всех, он сможет получить к нему доступ. Вы должны убедиться, что вы не делаете контейнеры или объекты общедоступными.
"S3 является общедоступной службой с общедоступной конечной точкой. Как защищен ключ данных?"Эта «общедоступная служба» по-прежнему использует Identity and Access Management для управления доступом к вашим объектам, и не только кто-то может прочитать контейнер или большие двоичные объекты в нем.
Ссылка на документацию, размещенную в коммите Amit, также объяснит поток взаимодействия дляВы, это не тривиально: https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/how-it-works.html 