要对S3桶进行数据加密，最简单的方式就是通过AWS KMS自带的aws/s3托管方式

这样设定后，客户端访问，例如Cloudberry Explorer只需点选Use SSL即可正常上传或者下载文件

但是这种方式就无法授权第三方AWS账户来访问，因为KMS下这个系统自带的S3 key是无法编辑的，也就是无法添加其他AWS账户的访问

第二种方式是生成和使用一个自己的key来加密这些数据，步骤如下，进入KMS

添加这个key的管理员，我用自己的IAM用户名

然后可以添加其他AWS需要访问的账号信息

保存后就会生成对应的policy

这个完成后，到S3 bucket属性去启用S3加密并选择这个自己创建的key

完成后，客户端，如果是用IAM用户访问，就需要把这个用户id添加到KMS 这个key的policy里面才可以，不然会提示拒绝访问