本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# `AWS-EnableS3BucketKeys`
<a name="automation-aws-enableS3bucketkeys"></a>

 **描述** 

`AWS-EnableS3BucketKeys`运行手册在您指定的亚马逊简单存储服务 (Amazon S3) 存储桶上启用存储桶密钥。此存储桶级密钥在新对象的生命周期中为其创建数据密钥。如果您未为`KmsKeyId`参数指定值，则默认加密配置将使用使用 Amazon S3 托管密钥 (SSE-S3) 的服务器端加密。

**注意**  
使用 () 密钥 AWS Key Management Service (DSSE-KMS AWS KMS) 进行双层服务器端加密不支持 Amazon S3 存储桶密钥。

 [运行此自动化（控制台）](https://console.aws.amazon.com/systems-manager/automation/execute/AWS-EnableS3BucketKeys) 

**文档类型**

自动化

**所有者**

Amazon

**平台**

Linux、macOS、Windows

**参数**
+ AutomationAssumeRole

  类型：字符串

  描述：（可选）允许 Systems Manager Automation 代表您执行操作 AWS Identity and Access Management (IAM) 角色的 Amazon 资源名称（ARN）。如果未指定角色，Systems Manager Automation 将使用启动此运行手册的用户的权限。
+ BucketName

  类型：字符串

  描述：（必填）您要为其启用存储桶密钥的 S3 存储桶的名称。
+ KMSKey我是

  类型：字符串

   描述：（可选）您要用于服务器端加密的 Amazon 资源名称 (ARN)、密钥 ID 或 AWS Key Management Service (AWS KMS) 客户托管密钥的密钥别名。

**所需的 IAM 权限**

`AutomationAssumeRole` 参数需要执行以下操作才能成功使用运行手册。
+ `ssm:StartAutomationExecution`
+ `ssm:GetAutomationExecution`
+ `s3:GetEncryptionConfiguration`
+ `s3:PutEncryptionConfiguration`

 **文档步骤** 
+ ChooseEncryptionType (aws: branch)-评估为`KmsKeyId`参数提供的值以确定将使用 SSE-S3 (AES256) 还是 SSE-KMS。
+ PutBucketKeysKMS (aws:executeAwsApi)-使用指定的将`true`指定 S3 存储桶的`BucketKeyEnabled`属性设置为`KmsKeyId`。
+ PutBucketKeysAES256 (aws:executeAwsApi)-使用 AES256 加密功能将`true`指定 S3 存储桶的`BucketKeyEnabled`属性设置为。
+ VerifyS3 BucketKeysEnabled (aws: P assertAwsResource roperty)-验证目标 S3 存储桶上的存储桶密钥是否已启用。