AWS telah membuat penambahbaikan keselamatan yang ketara pada perkhidmatan storan S3 selama bertahun-tahun, tetapi ramai pengguna masih bergelut dengan rangkaian kebenaran dan kawalan akses yang kompleks. Kekeliruan ini berpunca daripada pelbagai lapisan tetapan keselamatan yang boleh bertindih dan berinteraksi dengan cara yang tidak dijangka.
Pelbagai Lapisan Keselamatan Mewujudkan Kekeliruan
S3 kini menggunakan beberapa mekanisme keselamatan berbeza yang berfungsi bersama: tetapan Block Public Access, dasar baldi, Senarai Kawalan Akses ( ACLs ), dan peranan IAM . Walaupun pendekatan berlapis ini memberikan keselamatan yang lebih baik, ia mewujudkan teka-teki bagi pengguna yang cuba memahami peraturan mana yang mengambil keutamaan. Perbincangan komuniti mendedahkan bahawa walaupun pembangun berpengalaman mendapati diri mereka keliru apabila cuba menyediakan perkongsian fail awam asas.
Block Public Access kini didayakan secara lalai pada baldi S3 baharu, yang menghalang kebocoran data tidak sengaja yang telah menyebabkan pelanggaran keselamatan utama pada masa lalu. Walau bagaimanapun, ciri keselamatan ini mengejutkan ramai pengguna apabila mereka cuba berkongsi fail secara awam dan mendapati konfigurasi mereka tidak berfungsi seperti yang dijangkakan.
Lapisan Keselamatan S3 (mengikut susunan tahap ketatnya)
| Lapisan Keselamatan | Tetapan Lalai | Kos | Tujuan |
|---|---|---|---|
| Block Public Access | Diaktifkan (baldi baharu) | Percuma | Menghalang pendedahan awam secara tidak sengaja |
| Bucket Policies | Tiada | Percuma | Kawalan akses terperinci |
| IAM Roles | Tiada | Percuma | Kebenaran berasaskan pengguna/perkhidmatan |
| ACLs | Dinyahdayakan (baldi baharu) | Percuma | Sistem kebenaran lama |
Kos Kekeliruan
Kerumitan ini bukan sahaja mengecewakan pengguna - ia juga boleh memberi kesan pada dompet mereka. Ramai pembangun tanpa sedar mengarahkan trafik S3 melalui NAT Gateways yang mahal dan bukannya menggunakan VPC Gateway Endpoints percuma. Ini berlaku kerana akses S3 dari subnet peribadi secara lalai akan melalui internet dan bukannya kekal dalam rangkaian AWS .
Anda tahu apa yang masih bodoh? Bahawa jika anda mempunyai baldi S3 di rantau yang sama dengan VPC anda, anda akan dikenakan bil pada NAT Gateway anda untuk menghantar data keluar ke internet awam dan terus kembali ke pusat data yang sama.
Isu penghalaan ini boleh mengakibatkan caj yang tidak dijangka sebanyak 0.01 dolar Amerika per gigabait untuk data yang sebenarnya tidak pernah meninggalkan pusat data AWS . Penyelesaiannya wujud - VPC Gateway Endpoints untuk S3 adalah percuma - tetapi pengguna mesti mengkonfigurasinya secara manual.
Perbandingan Kos Akses S3
| Kaedah Akses | Kos Pemindahan Data | Kerumitan Persediaan |
|---|---|---|
| VPC Gateway Endpoint | Percuma (rantau yang sama) | Sederhana |
| NAT Gateway | $0.01 USD/GB | Rendah |
| Internet Langsung | $0.09 USD/GB (keluar) | Rendah |
| CloudFront CDN | $0.085 USD/GB (berbeza mengikut rantau) | Sederhana |
 |
|---|
| Menavigasi kerumitan kebenaran AWS S3 boleh terasa seperti pergi ke arah "WRONG WAY," yang membawa kepada kesilapan yang mahal |
Cabaran Dokumentasi dan Pembelajaran
Kadar perubahan AWS yang pantas memburukkan lagi masalah ini. Ciri-ciri yang memerlukan penyelesaian kompleks beberapa tahun lalu kini mempunyai penyelesaian mudah, tetapi catatan blog dan tutorial yang lapuk masih beredar secara meluas. Sesetengah pengguna melaporkan mendapat nasihat yang bercanggah walaupun daripada kakitangan sokongan AWS yang tidak sentiasa mengikuti perkembangan terkini perubahan terbaru.
Komuniti telah mula beralih kepada alat AI untuk menavigasi dokumentasi AWS , walaupun pendekatan ini membawa risikonya sendiri. Walaupun AI boleh dengan cepat mengekstrak contoh konfigurasi asas, ia mungkin tidak menangkap implikasi keselamatan penting atau peluang pengoptimuman kos yang akan dikenal pasti oleh kepakaran manusia.
Jalan Ke Hadapan
AWS telah membuat penambahbaikan tulen pada kebolehgunaan dan keselamatan S3 selama bertahun-tahun. Perkhidmatan ini lebih boleh dipercayai, menawarkan prestasi yang lebih baik, dan menyediakan tetapan keselamatan lalai yang lebih kukuh. Walau bagaimanapun, keluk pembelajaran kekal curam untuk pendatang baharu dan walaupun pengguna berpengalaman boleh terkejut dengan sistem kebenaran yang rumit.
Bagi pengguna yang hanya memerlukan pengehosan fail mudah, kerumitan mungkin melebihi faedahnya. Pengehosan web tradisional atau perkhidmatan tapak statik khusus mungkin menawarkan alternatif yang lebih mudah. Tetapi bagi mereka yang komited kepada AWS , mengambil masa untuk memahami titik akhir VPC , lapisan keselamatan, dan amalan terbaik semasa boleh mencegah isu keselamatan dan bil mengejut.
VPC Gateway Endpoints: Komponen rangkaian AWS percuma yang membolehkan subnet peribadi mengakses S3 tanpa menghalakan melalui internet awam
NAT Gateway: Perkhidmatan AWS terurus yang membolehkan contoh dalam subnet peribadi mengakses internet, dicaj setiap jam dan setiap gigabait data yang diproses
Rujukan: AWS in 2025: The Stuff You Think You Know That's Now Wrong