本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 搭配 SSE-KMS 使用的必要金鑰政策 透過在 S3 儲存貯體上,啟用採用 Amazon S3 受管金鑰 (SSE-S3) 的伺服器端加密,或採用 KMS 金鑰 (SSE-KMS) 的伺服器端加密,您可以保護 Amazon S3 儲存貯體中的資料。如需詳細資訊,請參閱《*Amazon S3 使用者指南*》中的[使用伺服器端加密保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html)。 如果您選擇 SSE-S3,則不需要其他組態。Amazon S3 會處理加密金鑰。 若您選擇 SSE-KMS,則必須使用客戶受管金鑰 ARN。如果您使用金鑰 ID,您可能會在建立流程日誌時遇到 [LogDestination 無法傳遞](flow-logs-troubleshooting.md#flow-logs-troubleshooting-kms-id) 錯誤。此外,您必須更新客戶受管金鑰的金鑰政策,以讓日誌傳遞帳戶能夠寫入您的 S3 儲存貯體。如需有關 SSE-KMS 所需金鑰政策的詳細資訊,請參閱《Amazon CloudWatch Logs 使用者指南》**中的 [Amazon S3 儲存貯體伺服器端加密](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/AWS-logs-and-resource-policy.html#AWS-logs-SSE-KMS-S3)。