更新时间:2025-08-25 GMT+08:00
OBS桶使用kms加密
规则详情
参数 |
说明 |
---|---|
规则名称 |
obs-bucket-default-encryption-kms |
规则展示名 |
OBS桶使用kms加密 |
规则描述 |
OBS桶未使用kms自定义密钥加密,视为“不合规”。 |
标签 |
obs |
规则触发方式 |
配置变更 |
规则评估的资源类型 |
obs.buckets |
规则参数 |
specifiedKmsIdList:桶的SSE-KMS加密模式的自定义密钥ID,数组类型。 |
应用场景
OBS支持SSE-KMS服务端加密方案,为桶配置SSE-KMS服务端加密能力后,对于上传到桶中的每个对象,OBS都会访问KMS服务获取您指定的KMS密钥进行数据加密,避免数据明文存储。当下载对象时,OBS同样会访问KMS获取对应密钥进行数据解密,整个加解密过程中OBS都不会存储对应密钥。详见服务端加密。
修复项指导
通过服务端加密配置桶的服务端加密,并选择SSE-KMS加密方式。
检测逻辑
- OBS桶未配置服务端加密行为,视为“不合规”。
- OBS桶配置SSE-OBS方式的服务端加密行为,视为“不合规”。
- OBS桶配置SSE-KMS方式的服务端加密行为,但使用的是默认密钥或不在参数列表中的自定义密钥,视为“不合规”。
- OBS桶配置SSE-KMS方式的服务端加密行为,且使用的是在参数列表中的自定义密钥,视为“合规”。
父主题: 对象存储服务 OBS