資料生命週期、保留與 Object Lock

為何資料生命週期在 SCS-C02 如此重要

資料生命週期是 SCS-C02 Domain 5 Task 5.3 的核心骨架。考試指南明確要求你必須「設計 S3 Lifecycle 機制以在所需保留期間內保存資料（例如 S3 Object Lock、S3 Glacier Vault Lock、S3 Lifecycle policy）」，並「為 AWS 服務與資源設計自動化生命週期管理（例如 Amazon S3、EBS volume 快照、RDS volume 快照、AMI、容器映像、CloudWatch log group、Amazon Data Lifecycle Manager [Amazon DLM]）」。現代安全工程師不只思考資料如何靜態加密，還需要決定資料存活多久、何時轉入冷儲存層，以及在保留期限屆滿前是否可以被修改或刪除——這就是 AWS 資料生命週期的完整範疇。

資料生命週期之所以有專屬的 task statement，是因為保留期是安全、成本、合規三方碰撞的交叉點。SOX 或 SEC 17a-4 金融記錄的 7 年保留要求，光靠加密無法解決——你需要 WORM（Write Once Read Many）保護、不可竄改封存，以及稽核軌跡。GDPR 的被遺忘權請求無法靠 Glacier Vault Lock 解決——你需要一個彈性生命週期，仍允許授權刪除。「必須保留」與「必須能夠刪除」之間的張力，正是資料生命週期題目的難點，也是 SCS-C02 的干擾選項如此相似的原因。

本指南深入涵蓋所有可能出題的服務：S3 Lifecycle 到 Glacier Deep Archive、S3 Object Lock governance vs compliance、Glacier Vault Lock 的 vault 層級不可竄改性、透過 DLM 管理 EBS 快照生命週期、RDS 快照保留、AMI 棄用與 EC2 Image Builder 生命週期政策、CloudWatch Logs 保留設定，以及 AWS Backup 搭配跨區域/跨帳號複製與 Vault Lock。完成本指南後，你應該能為考試拋出的任何保留情境繪製出正確架構。

AWS 資料生命週期的五大支柱

在深入個別服務之前，先以五大支柱的框架來理解資料生命週期的全貌。每個支柱回答一個問題，而考試情境通常同時涉及其中兩到三個支柱。

支柱一：儲存層轉換

第一個資料生命週期支柱是將資料從較熱（昂貴、低延遲）的層級移至較冷（便宜、高延遲）的層級。S3 Lifecycle 規則將物件從 S3 Standard → Standard-IA → Glacier Instant Retrieval → Glacier Flexible Retrieval → Glacier Deep Archive 進行轉換。另有 Intelligent-Tiering 儲存類別可自動完成這項工作，但 Intelligent-Tiering 無法解決合規保留問題——它只解決成本問題。

支柱二：到期 / 刪除

第二個資料生命週期支柱是在資料不再需要時將其移除。S3 到期規則、DLM 中的 EBS 快照保留數量、RDS 自動快照保留視窗、CloudWatch Logs 保留設定，以及 AWS Backup 保留規則，全都在回答「這筆資料何時被刪除？」

支柱三：不可竄改性（WORM）

第三個資料生命週期支柱是確保資料在保留期限屆滿前無法被刪除或修改。Object Lock、Glacier Vault Lock 和 Backup Vault Lock 都歸屬於此支柱。不可竄改性是法規要求，而非成本最佳化。

支柱四：跨區域 / 跨帳號複製

第四個資料生命週期支柱防範爆炸半徑事件。若攻擊者入侵了生產帳號，帳號內的不可竄改性並不足夠——攻擊者可以在保留期生效前將其停用，或直接讓自己失去存取權。AWS Backup 的跨帳號與跨區域複製、搭配 Replica Lock 的 S3 Replication，以及 DLM 跨區域複製，確保你的保留資料即使在帳號層級遭受入侵後依然存在。

支柱五：合規框架

第五個資料生命週期支柱是驅動前四個支柱的法規層面。SEC 17a-4(f)、FINRA 4511、HIPAA、PCI-DSS 10.7、GDPR 和 SOX 都對資料生命週期提出具體要求。AWS 發布了「SEC 17a-4 Cohasset 評估報告」，證明 compliance mode 下的 S3 Object Lock 符合 WORM 規定；這份評估報告在 SCS-C02 題目中頻繁被引用。

S3 Lifecycle 政策深入解析

S3 Lifecycle 是 SCS-C02 中最常被測試的資料生命週期功能。S3 Lifecycle 設定是一份附加於 bucket 的 XML/JSON 文件。每條規則都有過濾條件（prefix、tag、物件大小），以及一個或多個動作：Transition、Expiration、NoncurrentVersionTransition、NoncurrentVersionExpiration、AbortIncompleteMultipartUpload。

轉換規則

轉換規則的典型形式如「30 天後，將前綴為 logs/ 的物件從 Standard 移至 Standard-IA；90 天後移至 Glacier Flexible Retrieval；365 天後移至 Glacier Deep Archive」。Standard-IA 和 One Zone-IA 要求最少 30 天的儲存期；提前轉換是不允許的。Glacier Flexible Retrieval 和 Deep Archive 分別有最少 90 天和 180 天的儲存期，即使提前刪除物件仍會被計費。此外還有每物件轉換費用，因此將非常小的物件轉換至 Glacier，成本可能高於直接留在 Standard。S3 Lifecycle 文件記載了 128 KB 的閾值，低於此閾值的物件轉換至 IA 類別時會自動略過。

到期規則

到期規則在 N 天後永久刪除物件。對於版本控制的 bucket，到期會在當前版本上建立刪除標記（物件變成「非當前版本」）。若要真正清除舊版本，還需要 NoncurrentVersionExpiration 規則。這個雙規則模式是 SCS-C02 的經典陷阱：考生設定了 Expiration 但忘記 NoncurrentVersionExpiration，導致「已刪除」的物件作為非當前版本永久存在，持續消耗儲存成本。

中止多部分上傳

AbortIncompleteMultipartUpload 動作會清理從未完成的多部分上傳的分段。若缺乏此規則，失敗任務留下的部分上傳會永遠積累，你需要悄悄為此付費。AWS Trusted Advisor 會標記這項問題；許多安全稽查也會標記，因為部分上傳是未受監控的資料暴露面。

Lifecycle 過濾條件

過濾條件可以按 prefix（logs/2026/）、tag（tag:DataClassification=public）、物件大小（大於/小於），或使用 And 的組合來比對。按 tag 過濾對安全最有用：將 Macie 的分類 tag 與 lifecycle 規則結合，使被自動標記為「PII」的資料獲得 7 年保留，「ephemeral」tag 的資料獲得 30 天到期。

Lifecycle 與 Replication 的互動

Lifecycle 規則以 bucket 為單位套用。若你跨區域複製一個 bucket，每個 bucket 都有各自的 lifecycle。常見架構：來源 bucket 在 90 天後轉換至 Glacier Deep Archive；另一個區域的副本 bucket 也按相同排程轉換至 Deep Archive。若不這樣做，你的主要資料已在 Deep Archive，卻有一份昂貴的跨區域副本停留在 Standard。

S3 Object Lock — Governance vs Compliance

S3 Object Lock 是 S3 的 WORM 功能，也是資料生命週期不可竄改性中最重要的考試關鍵。Object Lock 在建立 bucket 時啟用（除非聯繫 AWS Support，否則無法在既有 bucket 上啟用，且有限例外），並需要版本控制。Object Lock 有兩種保留模式，以及一個獨立的 legal hold 控制項。

Governance 模式

Governance 模式防止大多數使用者刪除或覆寫受保護的物件，但擁有 s3:BypassGovernanceRetention IAM 權限的主體可以覆蓋鎖定。Governance 模式適用於內部資料生命週期政策強制執行：「工程師不能刪除生產日誌，但擁有繞過權限的安全團隊仍然可以在必要時刪除。」Governance 模式不符合嚴格法規 WORM 的要求。若考試情境說「稽核人員要求任何人——包括 AWS 帳號 root——都無法在保留期屆滿前刪除資料」，governance 模式就是錯誤答案。

Compliance 模式

Compliance 模式是真正的 WORM。一旦在 compliance 模式下設定保留期，任何主體——無論是 bucket 擁有者、高權限使用者，甚至是 AWS 帳號 root 使用者——都無法縮短保留期或在保留期屆滿前刪除物件。唯一的刪除方式是等待保留期到期，或刪除整個 AWS 帳號（而在 compliance 模式物件存在的情況下，AWS 不允許快速完成此操作）。Compliance 模式是 SEC 17a-4(f)、FINRA 4511、CFTC 1.31，以及類似券商記錄保留規定的正確答案。

保留期與套用方式

Object Lock 保留可以逐物件套用（PutObject 時附帶 Retention 標頭），也可以透過 bucket 預設保留設定來套用。Bucket 預設值只適用於新物件；既有物件保留上傳時的保留設定。保留期可以用天或年指定，不能混用。

Legal Hold

Legal hold 獨立於保留模式之外。它是一個開/關旗標（s3:PutObjectLegalHold 權限），無論保留期如何都能防止刪除。Legal hold 沒有到期時間——必須明確移除才會解除。在「凍結證據以待訴訟」且尚不清楚保留期需要多長的情境中，使用 legal hold。

Object Lock 與 Replication

若你在啟用 Object Lock 的 bucket 上啟用 Cross-Region Replication，副本 bucket 也必須啟用 Object Lock。複製的物件會保留其保留屬性。這意味著 us-east-1 中一個 7 年 compliance 模式的物件，複製到 us-west-2 後仍受 WORM 保護。結合 Block Public Access 和 SSE-KMS，構成縱深防禦的保留資料架構。

Glacier Vault Lock — Vault 層級不可竄改性

S3 Glacier Vault Lock 比 Object Lock 更早出現，但仍在 SCS-C02 考試中出現。Vault Lock 套用一個 vault 存取政策，一旦鎖定後即不可竄改。資料生命週期流程分兩步：首先，你以政策發起 vault lock（狀態為 InProgress）；在 24 小時內必須呼叫 CompleteVaultLock 使政策永久生效。完成後，政策永遠無法編輯或移除——只能在 24 小時視窗內中止。

Vault Lock vs Object Lock

考試中兩者的差異至關重要。Vault Lock 是 vault 層級的（一份政策適用於 vault 中的所有封存），而 Object Lock 是逐物件的（每個物件有自己的保留期）。Vault Lock 適用於直接使用 Glacier API 的場景（現代 AWS 中較少見）；Object Lock 適用於 S3 bucket（透過 lifecycle 轉換至 Glacier 儲存類別，而非 Glacier vault）。若題目提到「Glacier vault」，代表的是舊版 Glacier 服務；若提到「S3 Glacier 儲存類別」，代表的是使用 Glacier 層級的 S3。

Vault Lock 政策模式

典型的 Vault Lock 政策拒絕 glacier:DeleteArchive，除非封存超過 7 年。一旦鎖定，任何 IAM 管理員都永遠無法更改此規則。Vault Lock 滿足與 S3 Object Lock compliance 模式相同的 SEC 17a-4 要求。

使用 DLM 管理 EBS 快照生命週期

Amazon Data Lifecycle Manager（DLM）是自動化 EBS volume 快照、EBS 備份 AMI，以及跨帳號複製的受管服務。DLM 消除了自行撰寫 Lambda 函數按排程建立快照的需求。對於 SCS-C02，你需要知道 DLM 是 AWS 推薦用於區塊儲存「排程 + 保留」資料生命週期的解決方案。

DLM 政策結構

DLM 政策包含：目標 tag（要對哪些資源建立快照）、排程（多久一次）、保留規則（數量或年齡）、跨區域複製規則（選用）、跨帳號共享規則（選用），以及套用至新快照的 tag。由於目標是基於 tag，你可以實作 tag 驅動的資料生命週期：任何標記了 Backup=Daily 的 volume 都自動獲得每日快照並保留 30 天。

跨區域與跨帳號複製

DLM 支援快照和 AMI 的跨區域複製，並可使用目的地區域的 KMS key 進行重新加密。跨帳號複製需要目的地帳號選擇加入；這是在多帳號組織中建立隔離備份帳號的推薦模式。DLM 跨帳號複製加上目的地帳號中的 AWS Backup Vault Lock，是「抗勒索軟體 EBS 快照」的標準答案。

Fast Snapshot Restore

DLM 也可以在保留的快照上啟用 Fast Snapshot Restore（FSR），支付每 AZ 每小時的費用，換取即時還原能力。FSR 是復原時間考量，而非安全考量，但你可能在與資料生命週期相鄰的災難復原題目中看到它。

RDS 快照保留

Amazon RDS 有兩種快照類型，在資料生命週期上行為各異。自動備份在備份視窗期間每日建立，並在可設定的 1 到 35 天視窗內保留。當保留視窗到期，自動備份會永久刪除。手動快照由使用者發起，永遠不會自動到期；它們一直存在，直到你刪除它們或底層 RDS 執行個體被刪除（手動快照在執行個體刪除後仍然存在）。

備份視窗 vs 維護視窗

備份視窗是自動快照建立的時間；維護視窗是套用修補程式和次要版本升級的時間。兩者相互獨立，都應安排在低流量時段。

RDS 匯出至 S3

RDS 可以將快照以 Apache Parquet 格式匯出至 S3。進入 S3 後，你可以套用 Object Lock、lifecycle 規則和跨區域複製。這是在 35 天自動保留限制之外保留 RDS 資料，同時仍能透過 Athena 進行欄式查詢的推薦模式。

跨區域自動備份

RDS 支援部分引擎（PostgreSQL、MySQL、MariaDB、Oracle、SQL Server）的跨區域自動備份。此資料生命週期功能將每日快照和交易日誌複製到具有獨立保留設定的次要區域。這是滿足「RPO ≤ 5 分鐘、跨區域」關聯式資料需求的最簡單方式。

AMI 生命週期與 EC2 Image Builder

AMI 不會自行刪除。若缺乏生命週期政策，你曾建立過的每個 AMI 都會留在帳號中，每個 AMI 都錨定著自己的 EBS 快照。三種機制管理 AMI 資料生命週期：AMI 棄用、AMI 停用，以及 EC2 Image Builder 生命週期政策。

AMI 棄用

EnableImageDeprecation 為 AMI 設定棄用日期。已棄用的 AMI 不再出現在預設的 DescribeImages 結果中，但仍可透過 ID 啟動執行個體。棄用是一個軟性訊號：「停止使用此 AMI。」它不會刪除資料。

AMI 停用

DisableImage（2023 年引入）使 AMI 無法啟動，但保留底層快照。停用是可逆的。當你需要在刪除 AMI 前調查其是否仍被引用時，停用 AMI 很有用。

Image Builder 生命週期政策

EC2 Image Builder 支援保留規則，可根據年齡、數量或 tag 自動棄用、停用或刪除 AMI。政策也可以刪除底層 EBS 快照，完整結束資料生命週期。在有頻繁 AMI 重建的環境（黃金映像 pipeline）中使用 Image Builder 生命週期政策。

CloudWatch Logs 保留

CloudWatch Logs 保留是 AWS 中最簡單卻最常被忽視的資料生命週期功能。每個 log group 都有保留設定，預設是「永不到期」——這意味著成本會持續增長，除非你進行修改。SCS-C02 要求你為每個 log group 設定明確的保留期：允許的值為 1、3、5、7、14、30、60、90、120、150、180、365、400、545、731、1827、3653 天，對應常見的合規視窗（90 天、1 年、5 年、10 年）。

Log Group 加密

Log group 可以使用 KMS 客戶自管金鑰加密。KMS 加密對 HIPAA 工作負載以及任何包含個人識別資訊的 log group 是強制性的。加密只適用於啟用加密後新攝入的資料——不會回溯加密現有的日誌事件。

匯出至 S3 以進行長期保留

對於超出 CloudWatch Logs 在成本效益範圍內所能支援的保留期，請匯出至 S3。進入 S3 後，你可以使用完整的 S3 資料生命週期工具組：Lifecycle 規則至 Glacier Deep Archive、Object Lock 用於 WORM、Cross-Region Replication 用於 DR。匯出是一次性隨需操作；若需持續封存，請使用 subscription filter 至 Kinesis Data Firehose → S3。

Subscription Filter 與即時 Pipeline

CloudWatch Logs subscription filter 將日誌事件推送至 Lambda、Kinesis Data Streams、Firehose 或另一個 log group。搭配 S3 + Glue + Athena 的 Firehose，可建立長期可搜尋的日誌封存，同時滿足到期加跨區域複製的資料生命週期支柱要求。這是 SCS-C02 「跨組織集中式 7 年日誌保留」的標準模式。

AWS Backup — 跨服務資料生命週期中樞

AWS Backup 是一個受管服務，協調 S3、EBS、EFS、FSx、RDS、DynamoDB、DocumentDB、Neptune、Storage Gateway、VMware 等服務的資料生命週期。當考試題目要求跨多個服務的一致資料生命週期，特別是需要跨帳號或跨區域複製時，AWS Backup 就是 SCS-C02 的標準答案。

Backup Plan 結構

backup plan 包含規則與選取範圍。一條規則定義：排程（cron）、備份視窗、生命週期（N 天後轉至冷儲存，M 天後到期）、複製目的地（其他區域/帳號），以及 recovery point tag。選取範圍定義要備份哪些資源——按 tag、按 ARN，或按資源類型。基於 tag 的選取是 AWS Well-Architected 模式。

Backup Vault

backup vault 是 recovery point 的邏輯容器。每個 vault 都有一個 KMS key 用於加密（recovery point 繼承此設定）。將生產備份分離至獨立帳號的專用 vault，可以實現爆炸半徑隔離：即使生產環境遭到入侵，備份帳號仍然完整。

AWS Backup Vault Lock

Backup Vault Lock 是 AWS Backup 的 WORM 等效機制。與 Object Lock 一樣，它有兩種模式：governance 模式（管理員可停用）和 compliance 模式（無任何人，包括 root，可停用）。Compliance 模式啟用後需要 3 天冷卻期，期間可以中止；冷卻期結束後鎖定即為永久。這是「抗勒索軟體跨服務備份」的標準答案。Vault Lock 防止縮短保留期、刪除 recovery point 以及更改生命週期。

跨區域與跨帳號複製

Backup plan 可以將 recovery point 複製至其他區域和其他帳號。跨帳號複製需要 AWS Organizations 以及 backup:CopyIntoBackupVault 權限。目的地 vault 可以有自己的 Vault Lock，提供兩層不可竄改性保護。

Backup Audit Manager 與框架

AWS Backup 框架讓你定義管控（例如「所有生產資源必須有每日備份且保留 7 天」），並持續稽查合規狀況。報告輸出至 S3，並整合至 Audit Manager 以供 SOC2/PCI 的證據收集。這是你的資料生命週期合規證據層。

白話文解釋

如果前幾節讀起來像在看稅法，本節以三個不同的類比，用平易近人的語言翻譯資料生命週期的全貌。

類比一：國家圖書館的典藏系統

想像一座龐大的國家圖書館。每天都有新書到館，先放在服務台書架（S3 Standard），隨手可取。30 天後，館員將書移到閱覽室書架（Standard-IA）——仍可取用，但需要多走幾步。90 天後移入地下室庫房（Glacier Flexible Retrieval），必須提前 3 到 12 小時申請調閱。一年後移至異地倉庫（Glacier Deep Archive），等待最多 12 小時才能取書。這整套書架搬移流程就是 S3 Lifecycle 政策。現在想像有些書是法律合約——館員必須將它們鎖入一個鋼製保險櫃，連她自己在 7 年保留期屆滿前都無法開啟。那個保險櫃就是 S3 Object Lock compliance 模式。只有館長持有萬能鑰匙（但也只有館長可以）的版本，就是 governance 模式。Glacier Vault Lock 也是同樣的保險櫃，但套用於整個地下室庫房——一旦上鎖，整個庫房的規則永久生效。

類比二：中藥鋪的藥材管理

把中藥鋪的藥材管理想像成資料生命週期。常用藥材放在前台藥櫃（S3 Standard）隨時取用；季節性藥材放進冷藏庫（Standard-IA）備用；大量囤貨放進院子裡的乾燥倉（Glacier），長期存放。資料生命週期就是老師傅立的規矩：「7 天後移入冷藏庫；60 天後移進乾燥倉；半年後淘汰。」那張貼在牆上的規矩就是你的 S3 Lifecycle 政策。現在想像衛生局規定，含稀有藥材的處方箋必須保存 5 年，連老師傅自己也不能提前銷毀——那個密封的箱子就是 Object Lock compliance 模式。乾燥倉裝了一把連鎖匠都撬不開的鎖，就是 Glacier Vault Lock。AWS Backup 則是學徒的備料工作——不只管好自家藥鋪，還定期打包一份送到外縣市的分店（跨帳號複製），確保颱風天也不怕斷貨。

類比三：醫院病歷室

醫院在護理站備有現役病歷（S3 Standard），在病歷室存放近期出院患者的資料（Standard-IA），地下室封存歷年病歷（Glacier Deep Archive）。HIPAA 要求保存 6 年，部分州別要求更長。醫院設定規則：「病歷每季自動轉移，最終在第 7 年銷毀。」這套規則就是 S3 的資料生命週期。地下室病歷室的鐵門裝有時間鎖，只有 7 年後才會打開——這就是 Object Lock compliance 模式。醫院也將每份病歷複製一份，送到外縣市的姊妹醫院（跨區域）並由不同管理員管理（跨帳號）——這就是 AWS Backup 跨帳號/跨區域複製模式。姊妹醫院的封存室也有時間鎖——這就是 Backup Vault Lock。若有不滿的 IT 管理員想刪除病歷，兩家醫院的封存室都不會讓他得逞。

考試中的合規情境

SCS-C02 的題目以合規情境的方式出題。將法規要求轉譯成正確的資料生命週期功能，是考試所測試的技能。以下是幾個標準模式。

情境一：7 年金融記錄（SEC 17a-4 / FINRA 4511）

需求：WORM、無管理性繞過、7 年、成本最佳化。答案：建立 bucket 時啟用 Object Lock，預設保留期 = 7 年 compliance 模式，lifecycle 規則在 90 天後將物件轉換至 Glacier Deep Archive。加上 Block Public Access、搭配客戶自管金鑰的 SSE-KMS，以及 CloudTrail S3 data events。跨區域複製至第二個區域，並同樣啟用 Object Lock（Replica Lock）。

情境二：HIPAA 病患記錄（6 年以上、KMS 加密）

需求：PHI 必須加密、保留 6 年以上、保留期結束後才允許刪除。答案：S3 搭配 Object Lock compliance 模式（保留 = 6 年）、搭配客戶自管金鑰的 SSE-KMS、允許 CloudTrail 事件記錄的 KMS key policy、90 天後轉至 Glacier Deep Archive 的 S3 Lifecycle，以及針對 RDS PHI 資料庫的 AWS Backup，並在 Vault Lock compliance 模式下設定相同的 6 年保留期。

情境三：GDPR 被遺忘權（彈性保留）

需求：資料必須可依需求刪除。答案：governance 模式是可接受的（或完全不使用 Object Lock），將保留作為指導方針而非強制執行。Compliance 模式在此是錯誤答案，因為若資料被鎖定，GDPR 的被遺忘權就無法履行。這是一個明確的反模式：許多考生因為「有法規要求」就反射性地選擇 compliance 模式——但 GDPR 的方向恰恰相反。

情境四：法鑑證據保全

需求：擷取受入侵 EC2 EBS 的狀態，並防止在調查完成前被篡改。答案：建立 EBS 快照，複製至法鑑帳號，將快照 ID 儲存在帶有 Object Lock 的 S3 bucket 中（或對 S3 中與事件相關的日誌套用 legal hold）。法鑑的資料生命週期是「無限期保留直到法律解除」，因此 legal hold（無到期時間）是正確工具，而非有固定保留期的 retention。

情境五：集中式 7 年日誌封存

需求：組織層級的 CloudTrail、VPC Flow Logs 和 CloudWatch Logs 跨服務 7 年日誌保留。答案：組織追蹤 → 啟用 Object Lock compliance 模式（7 年）+ Glacier Deep Archive lifecycle 的集中式 S3 bucket。CloudWatch log group → Firehose → 同一個 bucket。該 S3 bucket 位於與生產環境隔離的專用日誌帳號中。

成本感知的資料生命週期設計

資料生命週期不只關乎合規，也關乎成本。考試可能包含成本感知的 lifecycle 題目變體，正確架構取決於物件大小和存取頻率。

Glacier 的小物件懲罰

Glacier 類別每個物件有 32 KB 的元資料固定成本，外加每物件轉換費。一個裝滿 10 KB 遙測事件的 bucket，轉換至 Deep Archive 的成本可能高於留在 Standard。解決資料生命週期中小物件問題的方法，是在套用 Glacier 轉換前先彙整小物件（CloudWatch Logs 匯出至 S3、有緩衝設定的 Kinesis Firehose）。

取回成本層級

Glacier Flexible Retrieval 有 Expedited（1-5 分鐘，較貴）、Standard（3-5 小時）和 Bulk（5-12 小時，最便宜）取回層級。Glacier Deep Archive 只有 Standard（12 小時）和 Bulk（48 小時）。若你的事件回應執行手冊需要在 12 小時內取得法鑑副本，就不要將法鑑副本放在 Deep Archive——請保留在 Glacier Flexible Retrieval 或 Standard-IA 中。資料生命週期不只關乎成本，它也會影響 RTO。

Lifecycle 成本預測

使用 AWS Cost Explorer 的「S3 Storage Class」維度和 S3 Storage Lens 建議來預測 lifecycle 節省效益。Glacier Deep Archive 的成本效益臨界點，通常是每年存取少於一次且儲存至少 6 個月的資料。對於每季存取的資料，Standard-IA 在扣除取回費用後通常更便宜。

多帳號資料生命週期架構

在多帳號 AWS Organizations 的設置中，資料生命週期是組織層面的關注點，而非個別帳號的問題。Security Reference Architecture 的模式是跨帳號分離關注點。

日誌帳號

專用日誌帳號持有集中式 S3 bucket，接收 CloudTrail 組織追蹤、Config 彙整資料、VPC Flow Logs 和匯出的 CloudWatch Logs。Bucket 在 compliance 模式下設定 Object Lock，保留期符合組織政策（通常 7 年）。SCP 防止成員帳號在來源停用日誌記錄。

備份帳號

專用備份帳號持有 AWS Backup vault，接收來自生產帳號的跨帳號複製。每個 vault 在 compliance 模式下設定 Vault Lock。生產帳號的 IAM 無法存取此帳號；只有緊急存取主體才能存取。這是抗勒索軟體資料生命週期模式。

法鑑帳號

專用法鑑帳號接收 EBS 快照、記憶體傾印和 S3 物件副本以供事件回應使用。搭配 legal hold 的 S3 Object Lock 在法律團隊解除前無限期保全證據。

跨帳號 SCP 防護措施

OU 層級的 Service Control Policies 可以為所有角色（除指定的保留管理員外）拒絕 s3:DeleteObject、glacier:DeleteArchive、backup:DeleteRecoveryPoint 和 dlm:DeleteLifecyclePolicy。SCP 本身不是 WORM（SCP 可被 Organizations 管理員修改），但結合 Object Lock 和 Vault Lock，可強化資料生命週期的防線。

常見架構圖

針對 7 年金融記錄工作負載的端對端資料生命週期參考架構如下：

1. 應用程式在生產帳號的 S3 bucket 寫入資料，使用搭配 CMK 的 SSE-KMS
2. Bucket 在建立時啟用 Object Lock，預設保留期 = 7 年 compliance 模式
3. Lifecycle 規則：30 天後 → Standard-IA，90 天後 → Glacier Deep Archive，無到期設定（Object Lock 優先）
4. 跨區域複製至同帳號第二個區域的 bucket（Replica Lock = 相同 Object Lock）
5. 生產帳號也有 AWS Backup plan 涵蓋 RDS、EBS、DynamoDB
6. Backup plan 將 recovery point 複製至另一個區域的專用備份帳號
7. 備份帳號的 vault 在 compliance 模式下設定 Vault Lock，保留 7 年
8. OU 層級的 SCP 拒絕任何生產角色停用 lifecycle、Object Lock 或 Vault Lock
9. CloudTrail 組織追蹤將事件傳送至日誌帳號的 bucket，同樣設定 Object Lock + Glacier Deep Archive lifecycle
10. AWS Backup Audit Framework 每日執行並向 Audit Manager 報告合規證據

此架構同時滿足 SEC 17a-4、FINRA、HIPAA、PCI-DSS 10.7 和抗勒索軟體韌性模式。

監控與告警資料生命週期健康狀況

資料生命週期的品質取決於你偵測其中斷的能力。請設定以下監控。

CloudWatch Metrics for S3 Lifecycle

S3 會發出 BytesDownloaded、BytesUploaded 和儲存類別細項指標。注意 Glacier 儲存量的意外下降（有人刪除物件），或 Standard 儲存量的突然上升（有人停用 lifecycle）。

AWS Config 規則

Config 受管規則 s3-bucket-versioning-enabled、s3-bucket-replication-enabled、s3-bucket-default-lock-enabled、backup-plan-min-frequency-and-min-retention-check、cloudwatch-log-group-encrypted 和 dynamodb-pitr-enabled 持續驗證資料生命週期狀態。將發現結果匯入 Security Hub，實現組織範圍的可視性。

EventBridge for Object Lock 事件

S3 在設定或延長保留期時發出事件。將這些事件透過 EventBridge → SNS 傳送給安全團隊告警。在 compliance 模式下突然大量出現 s3:PutObjectRetention 呼叫，在法規推行期間是正常的，但其他情況下則值得懷疑。

AWS Backup 通知

Backup plan 失敗應喚醒值班人員。使用訂閱了 backup vault BackupVaultEvents 通知的 SNS 主題。每日備份失敗是資料生命週期的無聲殺手——你在需要 recovery point 時才發現它不存在。

應避免的反模式

以下是 SCS-C02 常見的錯誤答案陷阱。

反模式一：Object Lock 未啟用版本控制

Object Lock 需要版本控制。考試可能提供「在現有 bucket 上啟用 Object Lock」但未先啟用版本控制的選項；這會失敗。Object Lock 需要版本控制，且除非透過 AWS Support，否則無法回溯啟用。

反模式二：Lifecycle 到期與 Compliance 模式並用

Compliance 模式在保留期屆滿前阻止刪除。若新增的 lifecycle 到期規則在保留期屆滿前觸發，刪除會被阻擋。保留期屆滿後的到期是可行的。陷阱在於考生預期到期規則會「贏過」Object Lock。

反模式三：Glacier 用於高頻存取

將熱資料放入 Glacier 可節省儲存成本，但取回成本的膨脹使淨成本反而增加。資料生命週期的決策必須考慮存取模式，而非只看儲存量。

反模式四：單一帳號備份

將備份存放在與生產環境相同的帳號中，意味著一旦 root 憑證遭到入侵，生產和備份同時毀損。AWS Backup 跨帳號複製加上 Vault Lock 是唯一能有效防禦爆炸半徑的資料生命週期架構。

反模式五：CloudWatch Logs 預設「永不到期」

將 log group 保留在「永不到期」同時是成本和合規的失敗。SCS-C02 會問「最節省成本的方式以保留日誌 90 天」，答案是設定 log group 的保留期，而非匯出至 S3 加上 lifecycle（後者對短期保留更昂貴）。

常見問題

Q1：S3 Object Lock governance 模式與 compliance 模式有何差異？

Governance 模式允許擁有 s3:BypassGovernanceRetention 權限的使用者刪除或修改受保護物件；compliance 模式阻止所有主體（包括 AWS 帳號 root）在保留期屆滿前進行刪除或修改。Governance 適用於內部資料生命週期政策強制執行；compliance 則是 SEC 17a-4(f)、FINRA 4511 和 CFTC 1.31 等法規 WORM 的必要選擇。Cohasset Associates 評估特別驗證了 compliance 模式符合券商記錄保留要求。

Q2：如何在 AWS 上以最節省成本的方式實作 7 年保留要求？

使用 S3 Object Lock compliance 模式，設定 7 年預設保留期，加上 S3 Lifecycle 規則在 90 天後將物件轉換至 Glacier Deep Archive。加入搭配 Replica Lock 的 Cross-Region Replication 以防禦爆炸半徑，以及 SSE-KMS 加密、Block Public Access 和 CloudTrail S3 data events。這是 SCS-C02 中 7 年金融記錄資料生命週期的標準答案。

Q3：我能在保留期屆滿前刪除 Object Lock compliance 模式的物件嗎？

不行。Compliance 模式是真正的 WORM。任何主體——包括 AWS 帳號 root 使用者——都無法在保留期屆滿前縮短保留期或刪除物件。若你今天建立一個 7 年 compliance 模式的物件，該物件在 2033 年前無法刪除（除非關閉整個帳號，而在 compliance 物件存在的情況下，AWS 不允許快速完成此操作）。請先在沙盒中測試。

Q4：S3 Object Lock 與 Glacier Vault Lock 有何差異？

S3 Object Lock 逐物件套用於 S3 bucket 內，支援 governance 和 compliance 兩種模式。Glacier Vault Lock 對舊版 S3 Glacier vault 套用 vault 層級的存取政策，一旦完成後即永久不可更改。兩者是不同的服務。S3 Lifecycle 至「Glacier 儲存類別」使用 Object Lock 進行保留，而非 Vault Lock。Vault Lock 只在你使用舊版直接 Glacier API 時才適用。

Q5：AWS Backup Vault Lock 如何提供抗勒索軟體保護？

AWS Backup Vault Lock compliance 模式防止任何人——包括備份帳號的 root 使用者——在保留期屆滿前縮短保留期或刪除 recovery point。結合跨帳號複製：生產帳號將備份複製至專用備份帳號，而該帳號的 vault 設定了 Vault Lock。入侵生產環境的勒索軟體攻擊者無法存取備份 vault，即使是遭入侵的備份帳號也無法停用 Vault Lock。這是 SCS-C02 中抗勒索軟體資料生命週期的標準答案。在 compliance 模式啟用 Vault Lock 後，有 3 天冷卻期可以中止；之後即為永久。

Q6：如果我已在使用 AWS Backup，還需要 DLM 嗎？

AWS Backup 在大多數使用場景上已取代 DLM——它在一個地方涵蓋 EBS、EFS、RDS、DynamoDB 等多種服務。DLM 在兩種情境下仍有價值：當你需要跨帳號 EBS 快照共享至非 Backup 管理的帳號，以及當你需要透過 lifecycle 啟用 EBS Fast Snapshot Restore 時。對於新部署，優先使用 AWS Backup；對於既有 DLM 政策，在可行時遷移至 Backup，以集中管理資料生命週期。

Q7：CloudWatch Logs 預設保留多長時間的資料？

預設情況下，CloudWatch log group 永久保留資料（「永不到期」）。這是 AWS 上最常見的資料生命週期錯誤設定。你必須明確設定保留期為支援的其中一個值（1、3、5、7、14、30、60、90、120、150、180、365、400、545、731、1827、3653 天）。使用 AWS Config 規則 cw-loggroup-retention-period-check 在整個組織中強制執行此規定。對於超過 10 年的保留需求，請匯出至帶有 Object Lock 的 S3 bucket。

Q8：S3 Lifecycle 規則套用後還能修改嗎？

可以——lifecycle 規則是可變的，並向前套用。新增規則不會回溯轉換已超過閾值的物件；S3 會在下次 lifecycle 批次執行時評估物件（通常在 24-48 小時內）。移除規則會停止未來的轉換，但不會回復過去已完成的轉換。Object Lock 保留期則相反，compliance 模式物件的保留期無法縮短。

Q9：S3 Lifecycle 中各 Glacier 類別的最低儲存期為何？

Standard-IA 和 One Zone-IA 要求最少 30 天；Glacier Instant Retrieval 要求 90 天；Glacier Flexible Retrieval 要求 90 天；Glacier Deep Archive 要求 180 天。若你在最低儲存期前刪除物件，S3 仍會向你收取完整最低期的費用。請相應規劃你的資料生命週期轉換：生命週期短的小物件應留在 Standard，而不是 Deep Archive。

Q10：Object Lock 能防止 bucket 被意外刪除嗎？

不行。Object Lock 阻止刪除物件，但若 bucket 已清空，帳號擁有者仍可刪除帶有 Object Lock 物件的 bucket。若要完全防止 bucket 被刪除，需結合 Object Lock 與 SCP 中的 s3:DeleteBucket 拒絕，以及 bucket 上的 MFA Delete。Compliance 模式物件無法被刪除，因此 bucket 也無法被清空，這提供了間接保護——但正確的縱深防禦是 SCP 層。

摘要速查表

考試當天的快速回顧，請記住這張表格。

結語

AWS 的資料生命週期是三項關切的交叉點：成本（轉換至更便宜的層級）、合規（WORM、保留期），以及韌性（跨區域、跨帳號複製）。SCS-C02 考試同時測試三個面向。掌握五支柱心智模型，熟記 Object Lock 和 Vault Lock 兩者在 governance 與 compliance 模式上的差異，將最低儲存期和保留視窗牢記在心，你就能識別考試拋出的任何資料生命週期情境的正確答案。在考試中勝出的資料生命週期架構幾乎總是：tag 驅動的自動化、專用日誌和備份帳號、跨區域複製、針對受管制資料的 Vault Lock 或 Object Lock compliance 模式，以及持續性的 Config + Audit Manager 合規證據。建立好這套資料生命週期架構，題目自然迎刃而解。

延伸閱讀，官方 Data Protection in AWS 章節（出自安全最佳實踐白皮書）、AWS KMS Best Practices 白皮書、AWS Backup Developer Guide、S3 Object Lock overview，以及 Cohasset SEC 17a-4 assessment 是考試與實務資料生命週期工作的必讀參考資料。