Eu estava pensando no pior cenário: um dos seus administradores ser hackeado - agora o hacker pode fazer muita coisa, mas também excluir seus backups em um local externo do painel de Backups. Isso poderia destruir completamente sua instância do Discourse, deixando os administradores sem nenhum backup (no caso em que um administrador está apenas usando a função de backup do Discourse e nenhuma outra regra de backup 3-2-1).
Seria uma ideia impedir que qualquer usuário exclua backups da interface? Se quisermos excluir backups, podemos fazer login em nosso serviço externo (S3) e excluir de lá.
Ao ter esse recurso, não precisamos usar métodos de backup alternativos e podemos simplesmente nos ater ao recurso de backup integrado com tranquilidade.
Muitas pessoas têm seus sites fora do ar porque o disco está cheio e elas realmente precisam ser capazes de excluir backups para liberar espaço em disco.
Como eles podem acessar o site se ele está fora do ar? Eles ainda precisam ir por outro caminho (SSH) se o site deles estiver fora do ar por falta de espaço em disco.
O outro problema é que, para resolver seu problema, o Discourse teria que nunca excluir backups, pois se pudesse cortá-los, o administrador mal-intencionado poderia alterar o número a ser mantido para 1 e, em seguida, fazer um para apagá-lo.
Se você quiser poder excluir backups do S3 apenas do painel do S3 (onde você nunca terá um administrador mal-intencionado?), altere suas permissões do S3 para que o Discourse não possa excluí-los.
Esta pode ser uma alternativa. No entanto, no meu caso, uso o armazenamento de objetos Vultr, onde isso não é uma opção. Posso verificar outros serviços ou simplesmente usar uma transferência rclone para o GDrive como uma solução de failover.