# AWS - S3 Object Lock VS ReadOnly Access 到底哪一個可以防止誤刪

# S3 Object Lock

• 層級：屬於 儲存層級 (Storage-Level) 的保護
• 功能：一旦啟用，物件在指定保留期間內 不能被刪除或覆寫 (即使是 Root/Admin 也不行)
• 模式:
  • Goverance Mode:
    • 一般使用者不能刪改文件，但 有特權帳號 可以移除保留設定
  • Compliance Mode:
    • 任何人包括 Root 都不能刪改，直到保留期結束
    • 適用於 法規遵循 (WORM:Write Once, Read Many)
• 用途
  • 金融 / 醫療 / 法規需要保證資料不能被竄改或刪除
  • Ransomware 防護 (駭客即使取得 Admin 權限也無法刪除)

# S3 ReadOnlyAccess(IAM/ACL/Policy)

• 層級：屬於 存取控制 (Access Control)
• 功能：透過 IAM Policy 或 S3 Bucket Policy 限制某些使用者只能讀，不能寫 / 刪
• 限制
  • 擁有更高權限的人 (Admin/Root) 仍能修改或刪除物件
  • 這種限制只是「規則」，不是物理防護。
• 用壺
  • 控制使用者行爲 (例如一般開發人員只能讀取不能刪除)
  • 適合日常存取管理，但 不能防止誤刪或惡意刪除