Dafür wird die Programmierschnittstelle (API) von S3 verwendet, indem man den Schlüssel als Teil der PUT-Anforderung übergibt. Der Speicherdienst verwendet diesen dann automatisch, um die Daten mit AES-256 zu verschlüsseln. Zurückgegeben wird lediglich eine aus dem Schlüssel errechnet einmalige Prüfsumme; den eigentlichen Schlüssel löscht AWS nach eigenen Angaben umgehend aus dem Speicher.
Kunden können die Schlüsselverwaltung wahlweise im eigenen Rechenzentrum oder über den AWS-Dienst Cloud HSM erledigen. Die neue Funktion hat laut Amazon "keinen nennenswerten Einfluss" auf die Performance von PUT- oder GET-Anforderung und ist ab sofort ohne zusätzliche Kosten verfügbar.