S3 Object Lock WORM与合规保留实践

概述目标：通过Object Lock在指定保留期内防止对象被删除或覆盖，并支持Legal Hold满足审计与监管需求。适用：财务/审计数据、日志归档、合规存储场景。核心与实战创建启用Object Lock的Bucket：aws s3api create-bucket --bucket my-worm-bucket --object-lock-enabled-for-bucket --region us-east-1 设置默认保留策略（合规模式）：aws s3api put-object-lock-configuration --bucket my-worm-bucket --object-lock-configuration '{ "ObjectLockEnabled": "Enabled", "Rule": { "DefaultRetention": {"Mode": "COMPLIANCE", "Days": 90} } }' 上传对象并设置保留期：aws s3api put-object --bucket my-worm-bucket --key reports/2025-11-26.csv --body report.csv --object-lock-mode COMPLIANCE --object-lock-retain-until-date 2026-02-24T00:00:00Z 设置Legal Hold：aws s3api put-object-legal-hold --bucket my-worm-bucket --key reports/2025-11-26.csv --legal-hold Status=ON 示例校验对象锁状态：aws s3api get-object-retention --bucket my-worm-bucket --key reports/2025-11-26.csv aws s3api get-object-legal-hold --bucket my-worm-bucket --key reports/2025-11-26.csv 删除尝试（应失败）：aws s3 rm s3://my-worm-bucket/reports/2025-11-26.csv 验证与监控审计：启用CloudTrail记录对象操作与策略更改；监控不合规删除尝试。合规模式与权限：COMPLIANCE模式不可绕过，即使拥有特权；GOVERNANCE模式需特权可`BypassGovernanceRetention`。保留策略与成本：定期审查保留期与Legal Hold状态；合理设置以控制存储成本。常见误区未在创建Bucket时启用Object Lock导致无法开启；必须在创建时指定。使用GOVERNANCE模式但误认为不可更改；需理解模式差异与权限要求。忽视审计与保留期管理导致成本飙升或不合规；需纳入治理流程。结语S3 Object Lock提供WORM与Legal Hold能力以满足监管与审计需求，配合审计与策略治理可实现可靠合规存储。