更新时间:2025-08-25 GMT+08:00

OBS桶使用kms加密

规则详情

表1 规则详情

参数

说明

规则名称

obs-bucket-default-encryption-kms

规则展示名

OBS桶使用kms加密

规则描述

OBS桶未使用kms自定义密钥加密,视为“不合规”。

标签

obs

规则触发方式

配置变更

规则评估的资源类型

obs.buckets

规则参数

specifiedKmsIdList:桶的SSE-KMS加密模式的自定义密钥ID,数组类型。

应用场景

OBS支持SSE-KMS服务端加密方案,为桶配置SSE-KMS服务端加密能力后,对于上传到桶中的每个对象,OBS都会访问KMS服务获取您指定的KMS密钥进行数据加密,避免数据明文存储。当下载对象时,OBS同样会访问KMS获取对应密钥进行数据解密,整个加解密过程中OBS都不会存储对应密钥。详见服务端加密

修复项指导

通过服务端加密配置桶的服务端加密,并选择SSE-KMS加密方式。

检测逻辑

  • OBS桶未配置服务端加密行为,视为“不合规”。
  • OBS桶配置SSE-OBS方式的服务端加密行为,视为“不合规”。
  • OBS桶配置SSE-KMS方式的服务端加密行为,但使用的是默认密钥或不在参数列表中的自定义密钥,视为“不合规”。
  • OBS桶配置SSE-KMS方式的服务端加密行为,且使用的是在参数列表中的自定义密钥,视为“合规”。