本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 设置 CSE-KMS
<a name="emr-s3a-cse-kms"></a>

您可以在两个主要范围内使用 Amazon KMS (CSE-KMS) 启用客户端加密：
+ 第一个是集群范围的配置：

  ```
  [
    {
      "Classification":"core-site",
      "Properties": {
         "fs.s3a.encryption.algorithm": "CSE-KMS",
         "fs.s3a.encryption.key":"${KMS_KEY_ID}",
      }
    }
  ]
  ```
**注意**  
如果 Amazon KMS 密钥区域与 S3 bucket/EMR 区域不同，则必须设置以下附加配置：`fs.s3a.encryption.cse.kms.region=${KMS_REGION}`。
+ 第二个是特定于作业或应用程序的配置。可以按如下方式为特定 Spark 应用程序设置 CSE-KMS：

  ```
  spark-submit --conf spark.hadoop.fs.s3a.encryption.algorithm=CSE-KMS --conf spark.hadoop.fs.s3a.encryption.key=${KMS_KEY_ID}
  ```