本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 S3A 的 Amazon S3 客户端加密
<a name="emr-s3a"></a>

从 Amazon Elastic Map Reduce (EMR) 发行版 7.6.0 开始，S3A 文件系统连接器现在支持 Amazon S3 客户端加密。这意味着 Amazon S3 数据的加密和解密直接在您的计算集群上的 S3A 客户端内进行。使用此功能时，文件在上传到 Amazon S3 之前会自动加密，并在下载时解密。有关加密方法及其实现的全面详细信息，用户可以参阅《Amazon Simple Storage Service 用户指南》**中的[使用客户端加密保护数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingClientSideEncryption.html)部分。

在 Amazon EMR 中使用具有 S3A 的客户端加密 (CSE) 时，您有两个密钥管理系统选项：
+ **CSE-KMS** — 此方法使用的 AWS Key Management Service (KMS) 密钥配置了专为 Amazon EMR 设计的策略。有关密钥要求的详细信息，请参阅[使用 AWS KMS 密钥进行加密](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-encryption-enable.html#emr-awskms-keys)文档。
+ **CSE-CUSTOM**：此方法允许您集成一个自定义 Java 类，该类提供负责加密和解密数据的客户端根密钥。

**注意**  
EMR 中的 S3A 客户端加密本质上与 EMRFS 客户端加密兼容，这意味着使用 EMRFS CSE 加密的对象可以通过 S3A CSE 读取。

**Topics**
+ [设置 CSE-KMS](emr-s3a-cse-kms.md)
+ [设置 CSE-CUSTOM](emr-s3a-cse-custom.md)
+ [具有 S3A 的 Amazon S3 客户端加密的属性](emr-encryption-s3a-properties.md)