更新时间:2025-07-02 GMT+08:00
OBS桶策略服务端加密检查
规则详情
|
参数 |
说明 |
|---|---|
|
规则名称 |
obs-bucket-server-side-encryption-enabled |
|
规则展示名 |
OBS桶策略服务端加密检查 |
|
规则描述 |
OBS桶存储未要求服务端加密,视为“不合规”。 |
|
标签 |
obs |
|
规则触发方式 |
配置变更 |
|
规则评估的资源类型 |
obs.buckets |
|
规则参数 |
无 |
应用场景
如果您的业务对数据存储的安全性和合规性有较高要求,可使用OBS提供的服务端加密功能,对上传到OBS存储的数据进行加密保护,详见服务端加密。
修复项指导
请配置桶策略,显式拒绝未配置Condition键x-obs-server-side-encryption为kms的所有PutObject请求,详见桶策略 Condition。
示例:原桶策略为:{"Statement": [{"Sid": "test", "Effect": "Allow", "Principal": "*", "Action": ["*"], "Resource": ["testBucket/*"]}]} 。
需要修正为:{"Statement": [{"Sid": "test", "Effect": "Allow", "Principal": "*", "Action": ["*"], "Resource": ["testBucket/*"]}, {"Sid": "test_add", "Effect": "Deny", "Principal": "*", "Action": ["*"], "Resource": ["testBucket/*"], "Condition": {"StringEquals": {"x-obs-server-side-encryption": ["kms"]}}}]} 。
检测逻辑
- OBS桶策略显式拒绝未满足“x-obs-server-side-encryption”的condition条件的putObject的操作,视为“合规”。
- OBS桶策略未显式拒绝未满足“x-obs-server-side-encryption”的condition条件的putObject的操作,视为“不合规”。
父主题: 对象存储服务 OBS
