O Princípio do menor privilégio sugere que a primeira coisa que você deve fazer é remover quaisquer privilégios desnecessários de o usuário do IAM que está fazendo os backups.
A granularidade da permissão s3:PutObject
, no entanto, é tal que sobrescrever um objeto existente ainda é possível por uma conta que possua apenas esse privilégio, o que deixa aberta a possibilidade de um usuário mal-intencionado "excluir" seus backups substituindo -los com arquivos vazios.
Ativar controle de versões de objetos é uma peça remanescente do quebra-cabeça, pois o controle de versão impede usuário com s3:PutObject
, mas sem a permissão s3:DeleteObject
de exclusão permanente de um objeto, sobrescrevendo-o. Um usuário com s3:DeleteObjectVersion
permissão ainda pode remover objetos com versão.
Um passo final que pode ser desejável é ativar o MFA excluir no intervalo. Essa configuração, que também exige que o bucket seja ativado para versionamento, requer autenticação de vários fatores para exclusão de qualquer versão de qualquer objeto no intervalo.