本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用加密的 S3 儲存貯體匯出建議
<a name="using-encrypted-s3-buckets"></a>

對於 Compute Optimizer 建議匯出的目的地，您可以指定使用 Amazon S3 客戶受管金鑰或 AWS Key Management Service (KMS) 金鑰加密的 S3 儲存貯體。 Amazon S3 

## 先決條件
<a name="encrypted-s3-buckets-prerequisites"></a>

若要在啟用 AWS KMS 加密的情況下使用 S3 儲存貯體，您必須建立對稱 KMS 金鑰。對稱 KMS 金鑰是 Amazon S3 唯一支援的 KMS 金鑰。如需說明，請參閱《 *AWS KMS 開發人員指南*》中的[建立金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)。

建立 KMS 金鑰之後，請將其套用至您計劃用於建議匯出的 S3 儲存貯體。如需詳細資訊，請參閱[《Amazon Simple Storage Service 使用者指南》中的啟用 Amazon S3 預設儲存貯體加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/default-bucket-encryption.html)。 **

## 程序
<a name="using-encrypted-s3-buckets-procedure"></a>

使用下列程序授予 Compute Optimizer 使用 KMS 金鑰所需的許可。此許可專用於在將建議匯出檔案儲存至加密的 S3 儲存貯體時加密建議匯出檔案。

1. 在 https：//[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 開啟 AWS KMS 主控台。

1. 若要變更 AWS 區域，請使用頁面右上角的區域選擇器。

1. 在左側導覽功能表中，選擇**客戶受管金鑰**。
**注意**  
使用**AWS 受管金鑰**加密的 S3 儲存貯體不允許 Compute Optimizer 建議匯出。

1. 選擇您用來加密匯出 S3 儲存貯體的 KMS 金鑰名稱。

1. 選擇**金鑰政策**索引標籤，然後選擇**切換到政策檢視**。

1. 選擇**編輯**以編輯金鑰政策。

1. 複製下列其中一個政策，並將其貼到金鑰政策的陳述式區段。

1. 在政策中取代下列預留位置文字：
   + 將 {{myRegion}} 取代為來源 AWS 區域。
   + 將 {{myAccountID}} 取代為匯出請求者的帳號。

   `GenerateDataKey` 陳述式允許 Compute Optimizer 呼叫 AWS KMS API，以取得用於加密建議檔案的資料金鑰。如此一來，上傳的資料格式可以容納儲存貯體加密設定。否則，Amazon S3 會拒絕匯出請求。
**注意**  
如果現有的 KMS 金鑰已連接一或多個政策，請將 Compute Optimizer 存取的陳述式新增至這些政策。評估產生的一組許可，以確保它們適用於存取 KMS 金鑰的使用者。

使用下列政策允許 Amazon S3 儲存貯體金鑰。無論啟用或停用 S3 儲存貯體金鑰，都必須使用此政策。如需詳細資訊，請參閱《Amazon Simple Storage Service 使用者指南》**中的[使用 Simple Storage Service (Amazon S3) 儲存貯體金鑰降低 SSE-KMS 的成本](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-key.html)。

```
{
                "Sid": "Allow use of the key to Compute Optimizer",
                "Effect": "Allow",
                "Principal": {
                    "Service": "compute-optimizer.amazonaws.com"
                },
                "Action": [
                    "kms:GenerateDataKey",
                    "kms:Decrypt"
                ],
                "Resource": "*",
                "Condition": {"StringEquals": {
                        "aws:SourceAccount": "{{myAccountID}}"
                    },
                    "StringLike": {
                         "aws:SourceArn": "arn:aws:compute-optimizer:{{myRegion}}:{{myAccountID}}:*"
                     }
                }
            }
```

## 後續步驟
<a name="encrypted-s3-buckets-next-steps"></a>

如需如何匯出 AWS Compute Optimizer 建議的指示，請參閱 [匯出您的建議](exporting-your-recommendations.md)。

## 其他資源
<a name="encrypted-s3-buckets-resources"></a>
+ 故障診斷 — [故障診斷失敗的匯出工作](troubleshooting-account-opt-in.md#troubleshooting-exports)
+ [匯出的檔案](exported-files.md)
+ [Amazon Simple Storage Service 使用者指南](https://docs.aws.amazon.com/AmazonS3/latest/userguide/)。