# 使用不可变存储 将日志和其他证据复制到替代账户时,请确保复制的数据受到保护。除了保护次要证据外,还必须在源位置保护数据的完整性。这些机制称为*不可变*存储,通过防止数据被篡改或删除来保护数据的完整性。 使用 Amazon S3 的原生功能,您可以配置 Amazon S3 存储桶来保护数据的完整性。​例如,通过使用 S3 对象锁定,您可以在固定的时间段内或无限期地阻止删除或覆盖对象。限制数据写入或读取方式的其他方法是使用 S3 存储桶策略管理访问权限、配置 S3 版本控制和启用 [MFA 删除](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingMFADelete.html)。这种类型的配置对于存储调查日志和证据非常有用,通常称为*一次写入,多次读取*(WORM)。您还可以使用带有 AWS Key Management Service(AWS KMS)的服务器端加密,并确认只有适当的 IAM 主体才有权解密数据,从而保护数据。 此外,如果您希望在完成调查后将数据安全地保存在长期存储中,请考虑使用对象生命周期策略将数据从 Amazon S3 移动到[ Amazon S3 Glacier](https://aws.amazon.com/glacier/)。Amazon S3 Glacier 是一款安全、持久且成本极低的云存储服务,适用于数据归档和长期备份。它旨在提供 99.999999999% 的耐用性,并提供全面的安全性和合规性功能。 此外,您可以使用 [Amazon S3 Glacier 文件库锁定](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html)来保护 Amazon S3 Glacier 中的数据,从而使您可以使用文件库锁定策略轻松部署和实施单个 Amazon S3 Glacier 文件库的合规性控制。您可以在一个文件库锁定策略中指定类似 WORM 这样的安全控制,并且可以锁定该策略以防止将来进行编辑。策略在锁定之后便无法更改。Amazon S3 Glacier 可以执行文件库锁定策略中设定的控制,以便帮助您实现合规性目标,例如用于数据留存。您可以使用 AWS Identity and Access Management(IAM)策略语言,在文件库锁定策略中部署各种合规性控制。