Первое: операция KMS Encrypt будет принимать только 4 КБ данных, поэтому это не общее решение.
При шифровании на стороне сервера S3 сервер S3 создает ключ, использует этот ключ для шифрования данных, использует KMS для шифрования ключа, затем сохраняет зашифрованные данные и зашифрованный ключ. , Когда вы читаете данные, происходит обратное: используйте KMS для расшифровки ключа, затем используйте расшифрованный ключ для расшифровки данных.
Вы можете реализовать то же самое самостоятельно, сохранив зашифрованный ключ в метаданных объекта S3. Однако это означает написание кода для самостоятельного шифрования объекта, и, если вы не знакомы с шифрованием, возможно, вы допустите ошибку.
Существует несколько вариантов использования для шифрования на стороне клиента, но в этих случаях вы будете использовать ключ шифрования, который не предоставлен KMS.