S3 桶有办法实现客户端加密（即原文不会直接提交给存储服务器）吗？看了下 S3 的文档，貌似只能提交原文，服务器用预设密钥或从 KMS 获取密钥进行加密。

Amazon S3 client-side encryption 搜

目的是啥？客户端加密了提交，https 不也是广义上客户端加密了提交吗？

那你先用其他方式把文件加密了再提交不就行了吗

本地加密为啥会提供 api 支持呢？
api 都是在服务端处理的，怎么能在服务端做客户端加密呢

重新发明 HTTPS /手动狗头

用 s3 api 的 client side encryption ，amk 或者 cmk ，cmk 只支持对称密钥。

minio 還是 rclone 就有你想要地透明加密後再上傳地功能

rclone

我们过去是数据加密后提交 S3 的，自己客户端 GET 后解压再 resp 给 app
这是在 GATEWAY 上面做的，这个 GATEWAY 同时也作 S3 数据的 cache 用
用户读写的其实是 GATEWAY ，后面异步提交给 S3 做写入
在 GATEWAY 这一级也做了重复数据删除
用来降低到 S3 的流量