问使用客户端封装的AWS S3

EN

我希望实现客户端加密，以便将数据上载到S3桶中。但是，由于我只有加密方面的基本知识，所以我对我找到的解决这个问题的例子有点困惑。

其他编程语言如Java，.NET，Ruby，Go，.AWS提供了客户端加密的方法。我还找到了复制python相同行为的示例[1][2]。

然而，所有这些示例最后都使用AWS KMS服务生成、存储和接收它们的加密密钥，我对此感到困惑。根据我的理解，你有两个一般性的选择：

• 您信任AWS或您的数据不是非常敏感的：，那么您可以使用AWS服务器端加密或根本不加密。
• 您的数据是敏感的和/或您不希望信任AWS :在本例中，我必须生成和管理键，而不是在AWS(对吗？)。或者是否有任何障碍阻止AWS读取您的加密数据，如果他们愿意的话？

通过遵循基本的AES教程[3]和上传加密数据，实现客户端加密有什么明显的缺点吗？