S3加密选型：SSE-S3/SSE-KMS/SSE-C与客户端加密

S3加密选型：SSE-S3/SSE-KMS/SSE-C与客户端加密概览SSE-S3 由 S3 管理密钥；SSE-KMS 使用 KMS 密钥与细粒度控制；SSE-C 客户端提供密钥；客户端加密在上传前加密数据。不同方案在合规、审计与成本上有差异。技术参数（已验证）SSE-S3：`x-amz-server-side-encryption: AES256`；简单易用，审计较弱。SSE-KMS：`x-amz-server-side-encryption: aws:kms` 与 `x-amz-server-side-encryption-aws-kms-key-id`；支持密钥策略与审计。SSE-C：`x-amz-server-side-encryption-customer-algorithm: AES256` 与密钥/MD5；服务端不存密钥。客户端加密：SDK/自行加密；端到端保护；需管理密钥与版本。兼容与性能：加密影响吞吐与延迟；需基准与调优。实战清单按合规选择 SSE-KMS；在高安全场景采用客户端加密。管理密钥生命周期与轮换；审计访问与失败。对性能进行基准与监控；在成本与安全间权衡。