Fragen? Antworten! Siehe auch: Alternativlos
Ein Typ meldet zum Testen einen S3-Bucket an. Spielt ein bisschen rum. Lädt keine Dateien hoch oder runter. Erledigt seinen eigentlichen Auftrag, guckt sicherheitshalber nochmal, dass er im Free Tier geblieben ist mit seinen paar Bytes Testtraffic.
Findet eine Rechnung über $1300 vor.
Stellt sich raus: Irgendein versifftes Open-Source-Projekt hat eine Backup-zu-S3-Funktionalität eingebaut, und in der Konfigdatei das Äquivalent von "example.com" eingetragen, und das war genau sein Bucket.
Ja aber er hat denen ja keine Permissions gegeben, da wurde also nichts hochgeladen!
Stimmt, aber AWS berechnet auch Fehlermeldungen. Wenn du also einen Bucket hast, und jemand den Namen raten kann, dann ist egal, wie geil deine ACLs gesetzt sind. Solange der aus dem Internet erreichbar ist, kann dir jemand die Trafficrechnung explodieren.
Aber was hat das mit einer Supply-Chain-Apokalypse zu tun, fragt ihr? Nun, er hat dann mal testweise für ein paar Minuten Upload-Permissions gesetzt, um zu gucken, wer da zugreifen wollte.
I opened my bucket for public writes and collected over 10GB of data within less than 30 seconds.
Ja geil ey! Früher musste man noch wo einbrechen, wenn man die Daten klauen wollte!Oh und natürlich hat Amazon auch schon herumgetrickst, um die Kosten hochzutreiben.
Another question was bugging me: why was over half of my bill coming from the us-east-1 region? I didn’t have a single bucket there! The answer to that is that the S3 requests without a specified region default to us-east-1 and are redirected as needed. And you pay extra for that redirected request.
Da willst du doch Kunde werden, bei so einer Firma!!1! (Danke, Dietz)