Redian新闻
>
AWS S3 未授权请求计费问题:空的 S3 存储桶可能会大幅增加成本

AWS S3 未授权请求计费问题:空的 S3 存储桶可能会大幅增加成本

科技

作者 | Steef-Jan Wiggers
译者 | 刘雅梦
策划 | 丁晓昀

高级软件工程师 Maciej Pocwierz 最近透露了一个重大问题——空的 S3 存储桶可能会意外地导致大量的 AWS 账单。在他的案例中,一天内执行了近 1 亿次 S3 PUT 请求,这导致了一笔远不能忽略的账单。

Pockwierz 通过在 eu-west-1 区域创建一个 S3 存储桶来为客户端进行概念验证,并上传一些文件进行测试。当检查 AWS 账单页面以验证他是否在免费等级的限制范围内时,他发现账单是 1300 美元,原因是执行了 100,000,000 次的 S3 PUT 请求。

在调查这些请求的原因时,Pocwierz 写道:

默认情况下,AWS 不会记录针对 S3 存储桶执行的请求。但是,可以使用 AWS CloudTrail 或 S3 Server Access Logging 来启用该类日志。启用 CloudTrail 日志后,我立即观察到了来自多个帐户或 AWS 外部的数千个写入请求。

每个区域每天计费的 S3 使用量(来源:Pocwierz 的 Medium博客文章

造成该事件的根本原因是一个广泛使用的开源工具的默认设置,该工具无意中将相同的存储桶名作为备份目标。这导致了大量的未经授权的请求,并造成了重大的财务影响。此外,一半的请求来自不同的区域。没有指定区域的 S3 请求被重定向到 us-east-1,这给存储桶所有者带来了额外的成本。

从这次经验中吸取的教训是,S3 存储桶容易受到未经授权的请求攻击,这突出了在存储桶名称中添加随机后缀以增强其安全性的必要性。另一个关键的收获是,在执行请求时显式指定 AWS 区域可以帮助避免重定向产生的额外成本。此外,个人决定暂时公开自己的存储桶以供写作,这表明没有恶意的疏忽很容易导致潜在的数据泄露。

Pockwierz 的发现在社区中引起了轰动。在 Reddit 上关于该发现的一条帖子中,seanamos-1 总结道:

桶名从来没有被暗示需要保密,很明显,它们并不是这样设计的。但如果你不对桶名保密,就会很容易地受到账单攻击。这是需要解决的。

此外,在 Hacker News 的一条帖子中,受访者 tedminston 写道:

更疯狂的是,当请求是 403 时,打开 Requester Pays 实际上并不意味着请求者付款。从本质上讲,每个 S3 存储桶,无论是公共的还是私有的,只要它的名字能被发现,都可能被 DDoSed,从而产生一笔疯狂的账单。这是 AWS 需要解决的平台级安全问题。我们不需要另一个“存储桶门”(Bucketgate)事件。

最后,AWS 的首席布道师 Jeff Barr 在一条 推文 中回应了 Pockwierz 的发现和社区讨论:

感谢所有让我们注意到这篇文章的人。我们同意客户不应该为自己没有发起的未经授权的请求付费。我们将很快分享更多关于我们将如何帮助防止这些收费的信息。

DuckbillGroup 首席云经济学家 Corey Quinn 在随后的推文中回应道:

这感觉像是 AWS 处理意外账单方式的一个潜在转折点,我非常支持。
作者介绍

Steef-Jan Wiggers 是 InfoQ 的高级云编辑之一,目前在荷兰 i8c 担任集成架构师。他目前的技术专长主要集中于集成平台实施、Azure DevOps 和 Azure 平台解决方案架构。Steef-Jan 经常在会议和用户组中发表演讲,并为 InfoQ 撰稿。此外,在过去的 14 年里,微软一直将其评为 Microsoft Azure MVP。

原文链接:

https://www.infoq.com/news/2024/05/aws-empty-s3-bucket-billing/

声明:本文为 InfoQ 翻译,未经许可禁止转载。

今日好文推荐

谷歌裁掉整个 Python 团队!PyTorch 创始人急得直骂人:“WTF!核心语言团队无可替换”

德国再次拥抱Linux:数万系统从windows迁出,能否避开二十年前的“坑”?

系统 bug 致百人入狱,砸了 2.8 亿元仍上云失败!二十年了,这家大企业被日本软件坑惨了

Rust 生态纯属炒作?3 年写了 10 万行代码的开发者吐槽:当初用 Rust 是被忽悠了

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
为什么五一机票会大幅降价?美国FDA禁止在柑橘饮料等中,使用这种毒性添加剂;75岁后,这种癌症的发病率会大幅下降 | 环球科学要闻【突发】白宫宣布大幅增加关税, 最高提至100%! 中方紧急回应该结婚则结婚,该生则生;不育不孕的烦恼;尹烨谈念头;浙里办相亲固定收益 | 境外机构大幅增持债券,全市场杠杆率较高—— 2024年2月中债、上清债券托管数据解读肿瘤研究新蓝海:空间多组学技术全面解码肿瘤微环境固定收益 | 禁止“手工补息”后非银资金面宽松,资管类机构大幅增持债券——债市机构行为2024年4月月报谈少年轻狂【吉姆小屋】女神节的礼物意见区里的风暴世界铜需求量缘何将大幅增加?iPhone 16 Pro存储或以256GB起步/余承东:Pura70过两天有好消息/OpenAI CEO:AI成本可降至接近零UWM学姐勇闯传媒界!“六边形战士”实习经验加成,无GRE拿下全美第一传媒学院Offer!国家药监局综合司关于同意河南省药品医疗器械检验院增加生物制品批签发证明文件授权签字人的复函美国移民面谈,领事官可能会问什么问题?面对“性能墙”、“存储墙”双墙阻碍,四大新型存储升级算力通胀上升可能会推迟美联储降息,这对经济和拜登的连任都是一个问题打工人效率暴增神器!AI时代硬核办公图鉴,TWS耳机成全能会议助理巴黎奥运期间各种犯罪都会大幅增加!房价最新报告:巴黎大区跌跌不休!这些奶酪和香肠召回一套公寓可一分为二?自带出租Buff加成,稳赚租金贴房贷!好莱坞罢工潮后回暖乏力,就业机会大幅缩减影响从业者心理健康泽连斯基公布家庭年收入:近230万元人民币,大幅增长!加速换智能表,升级计费系统才是解决燃气计费问题的办法安省夏季电费计划5月1日生效!提前更改计费方式能省四块五!台积电大幅增加2纳米投资量产存储检测设备,德伽存储完成数千万元天使轮融资|早起看早期OpenAI爆炸更新:GPT-4免费了!新模型GPT-4o发布,视觉、语音能力大幅增强,速度起飞,API打骨折Cloudflare R2 存储引入了事件通知和低频访问存储层注意:临床常见的降糖药,可能会增加围术期酸中毒和误吸风险人类首部太空实拍电影!导演:空间站里望见长城聆听来自宇宙的声音:空间引力波探测太极计划的新突破“美味陷阱”?!Neurology超3万人数据:这类食品的摄入量每增加10%,认知障碍风险增加16%,中风风险增加8%量产存储检测设备,德伽存储完成数千万元天使轮融资|36氪首发1小时超1分钟,要缴1个半小时停车费……杭州发改委回应“试行机动车停放以分钟计费”:试点缩短计费周期围观京妞旧文, 看硅谷居士造假 (请勿推荐)
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。