Bendi新闻
>
AWS S3 未授权请求计费问题:空的 S3 存储桶可能会大幅增加成本

AWS S3 未授权请求计费问题:空的 S3 存储桶可能会大幅增加成本

作者 | Steef-Jan Wiggers
译者 | 刘雅梦
策划 | 丁晓昀

高级软件工程师 Maciej Pocwierz 最近透露了一个重大问题——空的 S3 存储桶可能会意外地导致大量的 AWS 账单。在他的案例中,一天内执行了近 1 亿次 S3 PUT 请求,这导致了一笔远不能忽略的账单。

Pockwierz 通过在 eu-west-1 区域创建一个 S3 存储桶来为客户端进行概念验证,并上传一些文件进行测试。当检查 AWS 账单页面以验证他是否在免费等级的限制范围内时,他发现账单是 1300 美元,原因是执行了 100,000,000 次的 S3 PUT 请求。

在调查这些请求的原因时,Pocwierz 写道:

默认情况下,AWS 不会记录针对 S3 存储桶执行的请求。但是,可以使用 AWS CloudTrail 或 S3 Server Access Logging 来启用该类日志。启用 CloudTrail 日志后,我立即观察到了来自多个帐户或 AWS 外部的数千个写入请求。

每个区域每天计费的 S3 使用量(来源:Pocwierz 的 Medium博客文章

造成该事件的根本原因是一个广泛使用的开源工具的默认设置,该工具无意中将相同的存储桶名作为备份目标。这导致了大量的未经授权的请求,并造成了重大的财务影响。此外,一半的请求来自不同的区域。没有指定区域的 S3 请求被重定向到 us-east-1,这给存储桶所有者带来了额外的成本。

从这次经验中吸取的教训是,S3 存储桶容易受到未经授权的请求攻击,这突出了在存储桶名称中添加随机后缀以增强其安全性的必要性。另一个关键的收获是,在执行请求时显式指定 AWS 区域可以帮助避免重定向产生的额外成本。此外,个人决定暂时公开自己的存储桶以供写作,这表明没有恶意的疏忽很容易导致潜在的数据泄露。

Pockwierz 的发现在社区中引起了轰动。在 Reddit 上关于该发现的一条帖子中,seanamos-1 总结道:

桶名从来没有被暗示需要保密,很明显,它们并不是这样设计的。但如果你不对桶名保密,就会很容易地受到账单攻击。这是需要解决的。

此外,在 Hacker News 的一条帖子中,受访者 tedminston 写道:

更疯狂的是,当请求是 403 时,打开 Requester Pays 实际上并不意味着请求者付款。从本质上讲,每个 S3 存储桶,无论是公共的还是私有的,只要它的名字能被发现,都可能被 DDoSed,从而产生一笔疯狂的账单。这是 AWS 需要解决的平台级安全问题。我们不需要另一个“存储桶门”(Bucketgate)事件。

最后,AWS 的首席布道师 Jeff Barr 在一条 推文 中回应了 Pockwierz 的发现和社区讨论:

感谢所有让我们注意到这篇文章的人。我们同意客户不应该为自己没有发起的未经授权的请求付费。我们将很快分享更多关于我们将如何帮助防止这些收费的信息。

DuckbillGroup 首席云经济学家 Corey Quinn 在随后的推文中回应道:

这感觉像是 AWS 处理意外账单方式的一个潜在转折点,我非常支持。
作者介绍

Steef-Jan Wiggers 是 InfoQ 的高级云编辑之一,目前在荷兰 i8c 担任集成架构师。他目前的技术专长主要集中于集成平台实施、Azure DevOps 和 Azure 平台解决方案架构。Steef-Jan 经常在会议和用户组中发表演讲,并为 InfoQ 撰稿。此外,在过去的 14 年里,微软一直将其评为 Microsoft Azure MVP。

原文链接:

https://www.infoq.com/news/2024/05/aws-empty-s3-bucket-billing/

声明:本文为 InfoQ 翻译,未经许可禁止转载。

今日好文推荐

谷歌裁掉整个 Python 团队!PyTorch 创始人急得直骂人:“WTF!核心语言团队无可替换”

德国再次拥抱Linux:数万系统从windows迁出,能否避开二十年前的“坑”?

系统 bug 致百人入狱,砸了 2.8 亿元仍上云失败!二十年了,这家大企业被日本软件坑惨了

Rust 生态纯属炒作?3 年写了 10 万行代码的开发者吐槽:当初用 Rust 是被忽悠了

微信扫码关注该文公众号作者

来源:InfoQ

相关新闻

生活成本太高,北美亚裔小夫妻决定搬回菲律宾!网友:会后悔的!80%退票手续费、溢价更高的黄牛票:“强实名”后观演成本更高了?AI研究的主要推动力会是什么?ChatGPT团队研究科学家:算力成本下降突发故障致1死60伤的“飞天魔毯”,成众多景区新宠,“成本不足缆车十分之一”!到底安不安全?专家:不能因出现一个问题否定整个行业为AI“降温”:直接对芯片的无水液冷技术大幅降低能耗和成本,正适配英伟达GPU国内首台甲醇双燃料低速机在中船发动机成功交验;亚马逊AWS:未停止任何英伟达芯片订单丨智能制造日报新加坡卫生部长王乙康:医疗成本上升的原因成本降低1000倍的存储蔡进:我国物流成本下降的三个主要途径精读《货币和信用理论》100讲:第36讲 生活成本的所谓地区性差异人力、资金成本大幅下降,最早上车 Agent 的企业已经开始获益美高生活成本最高的10个城市:去这些地方留学,要准备多少钱?全美生活成本最贵的大学城Top 10:哭了! 去这些地方留学好烧钱短剧市场上演“赌徒们的江湖”:​50万成本,投放500万才能盈利李飞飞团队年度报告揭底大模型训练成本:Gemini Ultra是GPT-4的2.5倍变天!美国卖房成本大降,取消6%的中介费,赔偿4亿美元!华人注意!美国卖房成本大降,取消6%的中介费,赔偿4亿美元!台积电全球化:大势所趋,成本不是问题移民美国的这一成本将显著增加,最高涨20倍AutoMQ Kafka 云上十倍成本节约的奥秘(一): SPOT 实例重磅!美国卖房成本将大降! 取消6%的中介费,赔偿4亿美元!新的经纪人业务模式将出现....生活成本最贵的10所美国大学城:去这些地方留学,钱包真的立马瘪了......Mistral AI:探索LLM推理的吞吐、时延及成本空间法拉盛养房成本全美第二高!华人买房仍旧“乐此不疲”:租的房子永远都是别人的
logo
联系我们隐私协议©2024 bendi.news
Bendi新闻
Bendi.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Bendi.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。