當你的AWS賬單變成悲劇：一個雲端存儲桶的黑色幽默

在這個奇妙的科技時代，我們不斷聽到關於「雲」的奇蹟故事——這裡的雲不是天空中漂浮的白色棉絮，而是那些位於遙遠數據中心的雲端服務。當然，隨之而來的是無數的數據泄露、安全漏洞，以及今天的主題：一個懷疑自己只是悄悄地存儲一些檔案的無辜用戶，醒來後發現自己的銀行帳戶已經因為AWS的天價費用而大出血。

故事的主角創建了一個AWS S3存儲桶，想象中這應該是個無傷大雅的行為，結果卻像開了潘朵拉的盒子，釋放了費用的洪水。不知從哪裡蜂擁而至的100,000,000個PUT請求，在短短一天內把帳單推高到1,300美元。真是令人嘖嘖稱奇的數字遊戲，不禁讓人思考：這是不是新一代的「誰來付晚餐」遊戲？

當然，這不是個單純的技術失誤，而是一場關於配置不當的悲劇。我們的主角未能充分了解S3的權限設置，而AWS在這部分的默認設置也實在是過於慷慨，幾乎就像是在說：「來吧，全世界的人，都來用這個存儲桶吧！」這讓我們不得不感嘆，雲服務提供者的界面設計師們是不是應該去參加一些基礎的安全訓練。

本事件中，作者最終不必支付這筆天文數字的費用，AWS顯示了一絲仁慈，決定取消這筆費用。這種結局無疑是溫暖人心的，但也暴露了一個行業寬容度過大的問題。畢竟，不是每個人都能享有這種「例外」待遇，對於那些不知情的小白用戶來說，這就像是在賭博，賭的是自己的錢包能否幸免於際。

那麼，作為一個擁抱科技的社會，我們應該從這個事件學到什麼？第一，永遠不要低估你的存儲桶名稱的力量；第二，添加一個隨機後綴到你的存儲桶可能是防止未來災難的簡單而有效的方法。畢竟，誰想成為下一個登上「我因雲服務而破產」的頭條新聞的不幸主角呢？

在這個例子中，我們可以看到，無論是在雲端還是在地面，安全和責任始終是無法逃避的話題。希望所有的雲服務用戶都能從這個故事中吸取教訓，讓自己的數據和錢包都更安全一些。不然的話，這片雲端可能會變成你財富的墓地。

資訊來源：https://medium.com/@maciej.pocwierz/how-an-empty-s3-bucket-can-make-your-aws-bill-explode-934a383cb8b1

AWS S3 使用安全指南

1. 理解AWS S3的收費模式

• 在開始使用AWS S3之前，首先要熟悉其收費模式。AWS S3的計費基於存儲量、請求次數及數據傳輸量。特別是PUT、GET、DELETE等API請求會影響費用。

2. 嚴格設定存儲桶權限

• 使用AWS Identity and Access Management（IAM）精確控制誰可以訪問您的S3存儲桶。

• 確保只有需要訪問的人員和系統擁有訪問權限。

• 避免使用開放的存儲桶政策，特別是對於寫入操作。

3. 啟用存儲桶版本控制

• 啟用版本控制可以幫助您追蹤和管理數據，在不正確的修改或刪除發生時，能夠恢復到之前的版本。

4. 監控和日誌記錄

• 啟用AWS CloudTrail和S3 Server Access Logging，以監控對存儲桶的訪問和操作。

• 定期檢查日誌文件，以確保沒有不尋常或未經授權的訪問。

5. 設定存儲桶命名規範

• 避免使用常見或易猜的存儲桶名稱。考慮在存儲桶名稱中使用隨機生成的字符串，以降低被猜測或自動化腳本攻擊的風險。

6. 使用成本管理工具

• 利用AWS Budgets設定預算警報，當費用接近或超過預設的閾值時，您將收到通知。

• 定期檢查AWS Cost Explorer來分析和管理您的費用和使用情況。

7. 設定跨地區請求重定向策略

• 如果您的應用只在特定區域運行，確保配置S3存儲桶只接受該區域的請求，避免因請求重定向而產生額外費用。

8. 定期審計和測試安全配置

• 定期進行安全審計和合規性檢查，確保您的S3存儲桶配置仍然符合最佳實踐。

• 進行穿透測試，以檢測潛在的安全漏洞。

通過遵循這些指南，開發人員可以降低因配置不當導致的意外費用和安全風險，更安心地使用AWS S3服務。