# Usar armazenamento imutável Ao copiar registros e outras evidências para uma conta alternativa, verifique se os dados replicados estão protegidos. Além de proteger a evidência secundária, você também deve proteger a integridade dos dados na fonte. Conhecidos como armazenamento *imutável*, esses mecanismos protegem a integridade de seus dados, impedindo que eles sejam adulterados ou excluídos. Usando os recursos nativos do Amazon S3, você pode configurar um bucket do Amazon S3 para proteger a integridade dos seus dados. Por exemplo, ao usar o bloqueio de objetos do S3, você pode evitar que um objeto seja excluído ou substituído por um período fixo ou indefinidamente. Gerenciar permissões de acesso com políticas de bucket do S3, configurar o versionamento do S3 e habilitar a [exclusão de MFA](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingMFADelete.html) são outras maneiras de restringir como os dados podem ser gravados ou lidos. Esse tipo de configuração é útil para armazenar logs de investigação e evidências, e geralmente é chamado de *write once, read many* (WORM). Você também pode proteger os dados usando criptografia no lado do servidor com AWS Key Management Service (AWS KMS) e verificando se apenas as entidades principais apropriadas do IAM estão autorizadas a descriptografar os dados. Além disso, se você quiser manter os dados com segurança em um armazenamento de longo prazo após a conclusão da investigação, pense em mover os dados do Amazon S3 para o [Amazon S3 Glacier](https://aws.amazon.com/glacier/) usando políticas de ciclo de vida de objetos. O Amazon S3 Glacier é um serviço de armazenamento em nuvem seguro, duradouro e de custo extremamente baixo para arquivamento de dados e backups de longa duração. Ele foi projetado para oferecer durabilidade de 99,999999999% e oferece recursos abrangentes de segurança e conformidade. Além disso, você pode proteger os dados no Amazon S3 Glacier usando o [Amazon S3 Glacier Vault Lock](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html), que permite implantar e aplicar facilmente controles de conformidade a cofres individuais do Amazon S3 Glacier com uma política de Vault Lock. Você pode especificar controles de segurança, como WORM, em uma política de Vault Lock e bloquear a política de edições futuras. Depois de bloqueada, a política não pode ser alterada. O Amazon S3 Glacier aplica os controles definidos na política de Vault Lock para ajudar a alcançar objetivos de conformidade, como retenção de dados. Você pode implantar uma variedade de controles de conformidade em uma política de Vault Lock usando a linguagem de política do AWS Identity and Access Management (IAM).