閱讀次數:次AWS - S3 Object Lock VS ReadOnly Access 到底哪一個可以防止誤刪
S3 Object Lock
- 層級: 屬於 儲存層級(Storage-Level) 的保護
- 功能: 一旦啟用,物件在指定保留期間內 不能被刪除或覆寫(即使是 Root/Admin 也不行)
- 模式:
- Goverance Mode:
- 一般使用者不能刪改文件,但 有特權帳號 可以移除保留設定
- Compliance Mode:
- 任何人包括 Root 都不能刪改,直到保留期結束
- 適用於 法規遵循(WORM:Write Once, Read Many)
- 用途
- 金融/醫療/法規需要保證資料不能被竄改或刪除
- Ransomware 防護(駭客即使取得 Admin 權限也無法刪除)
S3 ReadOnlyAccess(IAM/ACL/Policy)
- 層級: 屬於 存取控制(Access Control)
- 功能: 透過 IAM Policy 或 S3 Bucket Policy 限制某些使用者只能讀,不能寫/刪
- 限制
- 擁有更高權限的人(Admin/Root) 仍能修改或刪除物件
- 這種限制只是「規則」,不是物理防護。
- 用壺
- 控制使用者行爲(例如一般開發人員只能讀取不能刪除)
- 適合日常存取管理,但 不能防止誤刪或惡意刪除
