本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 第 6 步。使用不可变存储保护备份
<a name="safeguard"></a>

组织可以使用不可变存储在一次写入、多次读取（WORM）状态下写入数据。处于 WORM 状态时，只需写入一次数据，在数据提交或写入存储介质后，可以根据需要随时读取和使用。不可变存储帮助确保数据完整性得到维护。它还提供针对以下情况的保护：
+ 删除
+ 覆盖
+ 无意中和未授权的访问
+ 勒索软件入侵

不可变存储提供了一种有效的机制来解决可能对您的业务运营产生实际影响的潜在安全事件。

与严格的 SCP 限制配合使用时，您可以使用不可变存储来实现更好的治理。当法律条文（例如合法保留）要求访问不可变数据时，您也可以在合规性 WORM 模式下使用不可变存储。

为了维护数据的可用性和完整性，您可以使用 [AWS Backup 文件库锁定](https://aws.amazon.com/blogs/storage/enhance-the-security-posture-of-your-backups-with-aws-backup-vault-lock/)保护您的备份。当您使用 AWS Backup Vault Lock 时，未经授权的实体无法在所需的保留期内删除、更改或损坏您的客户或业务数据。 AWS Backup Vault Lock 通过防止以下情况来帮助您满足组织的数据保护政策：
+ 特权用户（包括 AWS 账户 root 用户）的删除
+ 对备份生命周期设置的更改
+ 更改您定义的保留期限的更新

AWS Backup Vault Lock 确保了不可变性，并增加了额外的防御层，以保护备份库中的备份（恢复点）。这对于对备份和存档有严格完整性要求的高度监管行业尤其有用。 AWS Backup Vault Lock 可确保保留您的数据以及备份，以便在发生意外或恶意操作时从中恢复。

**重要**  
AWS Backup 尚未评估Vault Lock是否符合美国证券交易委员会（SEC）第17a-4（f）条和商品期货交易委员会（CFTC）在第17C.F.R. 1.31（b）-（c）条中的规定。
AWS Backup 文件库锁定立即生效。您有*至少三天（72 小时）的冷却期*，以在您的文件库永久锁定之前删除或更新其配置。您可以选择延长冷却期的持续时间。使用此冷静期，根据您的工作负载和用例测试 AWS Backup 文件库锁定。冷静期到期后，您也 AWS 支持 无法删除或以其他方式更改 AWS Backup 保管库锁定或锁定保管库中的内容。有关更多信息，请参阅[AWS Backup 文件库锁定](https://docs.aws.amazon.com/aws-backup/latest/devguide/vault-lock.html)上的文档。