如您发布的链接中所述,客户端加密意味着存储在 S3 上的文件将在发送到 S3 之前进行加密。当有人访问该文件时,如果没有正确的密钥,他们将无法对其进行解密,并且 S3 将无法访问这些密钥。
要控制特定用户组对文件的访问,您可以使用唯一的、不可猜测的 URL,例如您发布的 Trello 示例,或者使用 S3 签名的 URL,如下所述:
http://docs.aws.amazon.com/AmazonS3/latest/dev/RESTAuthentication.html#RESTAuthenticationQueryStringAuth