# 使用不可變儲存 將日誌和其他證據複製到備用帳戶後,務必好好保護複製的資料。除了保護輔助證據之外,您也必須保護來源資料的完整性。這些機制稱為*不可變*儲存,透過防止資料被篡改或刪除,來保護資料的完整性。 您可以使用 Amazon S3 的原生功能,設定 Amazon S3 儲存貯體以保護資料的完整性。例如,使用 S3 物件鎖定功能,可以在固定時間內或永遠避免刪除或覆寫物件。使用 S3 儲存貯體政策來管理存取許可、設定 S3 版本控制以及啟用 [MFA Delete](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingMFADelete.html),是限制資料寫入或讀取的其他方法。這種設定類型對於儲存調查日誌和證據非常有用,通常稱為*單寫多讀* (WORM)。您還可以使用 AWS Key Management Service (AWS KMS) 的伺服器端加密來保護資料,並驗證只有適當的 IAM 主體有權解密資料。 此外,如果您希望在調查完成後將資料安全地保存在長期儲存空間,請考慮使用物件生命週期政策,將資料從 Amazon S3 移動到 [Amazon S3 Glacier](https://aws.amazon.com/glacier/)。Amazon S3 Glacier 是成本極低的雲端儲存服務,為資料封存和長期備份提供安全且耐用的儲存。它旨在提供 99.999999999% 的耐用性,並提供全面的安全和合規功能。 此外,您還可以使用 [Amazon S3 Glacier 文件庫鎖定](https://docs.aws.amazon.com/amazonglacier/latest/dev/vault-lock.html)來保護 Amazon S3 Glacier 中的資料,此功能可讓您使用文件庫鎖定政策,輕鬆部署和強制執行個別 Amazon S3 Glacier 文件庫的合規控制。您可以在文件庫鎖定政策中指定安全控制功能,例如 WORM,並鎖定該政策以防未來進行編輯。鎖定之後,就無法變更政策。Amazon S3 Glacier 會強制執行文件庫鎖定政策中設定的控制,以協助您實現合規目標,例如資料保留。您可以使用 AWS Identity and Access Management (IAM) 政策語言,在文件庫鎖定政策中部署各種合規控制。