# 查看 S3 存储桶密钥的设置
您可以使用 Amazon S3 控制台、REST API、AWS Command Line Interface(AWS CLI)或 AWS SDK 在存储桶或对象级别查看 S3 存储桶密钥的设置。
S3 存储桶密钥减少了从 Amazon S3 到 AWS KMS 的请求流量,从而降低了使用 AWS Key Management Service(SSE-KMS)进行服务器端加密的成本。有关更多信息,请参阅 [使用 Amazon S3 存储桶密钥降低 SSE-KMS 的成本](bucket-key.md)。
要查看存储桶或已从存储桶配置继承了 S3 存储桶密钥设置的对象的 S3 存储桶密钥设置,您需要获得执行 `s3:GetEncryptionConfiguration` 操作的权限。有关更多信息,请参阅 *Amazon Simple Storage Service API 参考*中的 [GetBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)。
## 使用 S3 控制台
在 S3 控制台中,您可以查看存储桶或对象的 S3 存储桶密钥设置。S3 存储桶密钥设置继承自存储桶配置,除非源对象已配置 S3 存储桶密钥。
同一存储桶中的对象和文件夹可以具有不同的 S3 存储桶密钥设置。例如,如果您使用 REST API 上传对象并为该对象启用了 S3 存储桶密钥,则即使在目标存储桶中禁用了 S3 存储桶密钥,该对象仍会在目标存储桶中保留其 S3 存储桶密钥设置。另一个示例是,如果您为现有存储桶启用 S3 存储桶密钥,则存储桶中已存在的对象将不使用 S3 存储桶密钥。但是,新对象已启用 S3 存储桶密钥。
**查看存储桶的 S3 存储桶密钥设置**
1. 登录到 AWS 管理控制台,然后通过以下网址打开 Amazon S3 控制台:[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。
1. 在左侧导航窗格中,选择**存储桶**。
1. 在 **Buckets(存储桶)**列表中,请选择要为其启用 S3 存储桶密钥的存储桶。
1. 选择 **Properties (属性)**。
1. 在**默认加密**部分的**存储桶密钥**下,您可以看到存储桶的 S3 存储桶密钥设置。
如果您看不到 S3 存储桶密钥设置,则可能没有执行 `s3:GetEncryptionConfiguration` 操作的权限。有关更多信息,请参阅 *Amazon Simple Storage Service API 参考* 中的 [GetBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)。
**查看对象的 S3 存储桶密钥设置**
1. 登录到 AWS 管理控制台,然后通过以下网址打开 Amazon S3 控制台:[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。
1. 在 **Buckets(存储桶)**列表中,请选择要为其启用 S3 存储桶密钥的存储桶。
1. 在 **Objects(对象)**列表中,请选择对象名称。
1. 在 **Details (详细信息)** 选项卡上,**Server-side encryption settings (服务器端加密设置)** 下,请选择 **Edit (编辑)**。
在**存储桶密钥**下,您可以看到对象的 S3 存储桶密钥设置。您无法编辑此设置。
## 使用 AWS CLI
**返回存储桶级别 S3 存储桶密钥设置**
要使用此示例,请将每个 `user input placeholder` 替换为您自己的信息。
```
aws s3api get-bucket-encryption --bucket amzn-s3-demo-bucket1
```
有关更多信息,请参阅《AWS CLI 命令参考》**中的 [get-bucket-encryption](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-bucket-encryption.html)。
**返回对象级别 S3 存储桶密钥设置**
要使用此示例,请将每个 `user input placeholder` 替换为您自己的信息。
```
aws s3api head-object --bucket amzn-s3-demo-bucket1 --key my_images.tar.bz2
```
有关更多信息,请参阅《AWS CLI 命令参考》**中的 [head-object](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/head-object.html)。
## 使用 REST API
**返回存储桶级别 S3 存储桶密钥设置**
要返回存储桶的加密信息,包括 S3 存储桶密钥的设置,请使用 `GetBucketEncryption` 操作。S3 存储桶密钥设置将在 `ServerSideEncryptionConfiguration` 元素中的响应正文中与 `BucketKeyEnabled` 设置一起返回。有关更多信息,请参阅 *Amazon S3 API 参考*中的 [GetBucketEncryption](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)。
**返回 S3 存储桶密钥的对象级别设置**
要返回对象的 S3 存储桶密钥状态,请使用 `HeadObject` 操作。`HeadObject` 返回 `x-amz-server-side-encryption-bucket-key-enabled` 响应标头,以显示是否为对象启用或禁用了 S3 存储桶密钥。有关更多信息,请参阅 *Amazon S3 API 参考*中的 [HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)。
如果为对象配置了 S3 存储桶密钥,则以下 API 操作还会返回 `x-amz-server-side-encryption-bucket-key-enabled` 响应标头:
+ [PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)
+ [PostObject](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPOST.html)
+ [CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
+ [CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)
+ [UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)
+ [UploadPart](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)
+ [CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)
+ [GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)