本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用加密的 S3 存储桶进行建议导出
<a name="using-encrypted-s3-buckets"></a>

对于您的 Compute Optimizer 建议导出的目标，您可以指定使用亚马逊 S3 客户托管密钥或 AWS Key Management Service (KMS) 密钥加密的 S3 存储桶。

## 先决条件
<a name="encrypted-s3-buckets-prerequisites"></a>

要使用启用 AWS KMS 加密的 S3 存储桶，必须创建对称 KMS 密钥。对称 KMS 密钥是 Amazon S3 唯一支持的 KMS 密钥。有关说明，请参阅《AWS KMS 开发人员指南**》中的[创建密钥](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。

创建 KMS 密钥后，将其应用于您计划用于建议导出的 S3 存储桶。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[启用 Amazon S3 默认存储桶加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html)。

## 过程
<a name="using-encrypted-s3-buckets-procedure"></a>

使用以下过程向 Compute Optimizer 授予使用 KMS 密钥所需的权限。此权限专用于在将建议导出文件保存到加密的 S3 存储桶时对其进行加密。

1. 在 [https://console.aws.amazon.com/km AWS KMS](https://console.aws.amazon.com/kms) s 处打开控制台。

1. 要更改 AWS 区域，请使用页面右上角的区域选择器。

1. 在左侧导航菜单中，选择**客户托管密钥**。
**注意**  
对于使用 **AWS 托管式密钥**加密的 S3 存储桶，不允许使用 Compute Optimizer 建议导出。

1. 选择用于加密导出 S3 存储桶的 KMS 密钥的名称。

1. 选择**密钥策略**选项卡，然后选择**切换到策略视图**。

1. 要编辑密钥策略，请选择**编辑**。

1. 复制以下策略之一并将其粘贴到密钥策略的语句部分。

1. 替换策略中的以下占位符文本：
   + *myRegion*用源代码替换 AWS 区域。
   + *myAccountID*替换为出口申请人的账号。

   该`GenerateDataKey`语句允许 Compute Optimizer 调用 AWS KMS API 来获取用于加密推荐文件的数据密钥。这样，上传的数据格式就可以适应存储桶加密设置。否则，Amazon S3 将拒绝导出请求。
**注意**  
如果现有 KMS 密钥已附加一个或多个策略，请将用于 Compute Optimizer 访问权限的语句添加到这些策略。评估生成的权限集，以确保其适用于访问 KMS 密钥的用户。

使用以下策略允许 Amazon S3 存储桶密钥。无论启用还是禁用 S3 存储桶密钥，都必须使用此策略。有关更多信息，请参阅《Amazon Simple Storage Service 用户指南》**中的[使用 Amazon S3 存储桶密钥降低 SSE-KMS 的成本](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)。

```
{
                "Sid": "Allow use of the key to Compute Optimizer",
                "Effect": "Allow",
                "Principal": {
                    "Service": "compute-optimizer.amazonaws.com"
                },
                "Action": [
                    "kms:GenerateDataKey",
                    "kms:Decrypt"
                ],
                "Resource": "*",
                "Condition": {"StringEquals": {
                        "aws:SourceAccount": "myAccountID"
                    },
                    "StringLike": {
                         "aws:SourceArn": "arn:aws:compute-optimizer:myRegion:myAccountID:*"
                     }
                }
            }
```

## 后续步骤
<a name="encrypted-s3-buckets-next-steps"></a>

有关如何导出 AWS Compute Optimizer 推荐的说明，请参阅[导出建议](exporting-your-recommendations.md)。

## 其他资源
<a name="encrypted-s3-buckets-resources"></a>
+ 故障排除 – [故障诊断失败的导出作业](troubleshooting-account-opt-in.md#troubleshooting-exports)
+ [导出的文件](exported-files.md)
+ [Amazon Simple Storage Service 用户指南](https://docs.aws.amazon.com/AmazonS3/latest/userguide/)。