建築家または建築家を目指す人が知っておくべき事柄を毎月まとめた概要です。
プロフェッショナルソフトウェア開発における知識とイノベーションの普及を促進
Git は、ソフトウェア開発におけるバージョン管理によく使われるツールです。複数の Git アカウントを使用することは珍しくありません。Git アカウントを正しく構成して切り替えることは困難です。この記事では、Git が提供するアカウント構成とその制限、およびプロジェクトの親ディレクトリの場所に基づいてアカウントを自動的に切り替えるソリューションについて説明します。
最小限の実行可能なアーキテクチャ (MVA) アプローチでは、システムのアーキテクチャが 1 つのステップで作成されないのと同様に、MVA アプローチの採用にも一連の段階的なステップが必要です。これらの組織変更は、1 つの開発チームから始まり、フィードバックを使用して、より多くのチームが参加するにつれてプロセスを進化させます。
Shreya Rajpal は、リスクを軽減し、LLM の安全性と効率性を高めるために設計されたオープンソース プラットフォームである Guardrails AI を紹介します。
このポッドキャストでは、Culture & Methods の主任編集者である Shane Hastie が、開発者関係の役割とオープンソース コミュニティへの貢献について Craig Box に話を聞きました。
Ranjith Kumar は、グローバルな容量を持つサービス所有者に提示される抽象化と保証、数十の地域にわたるワークロードを管理するための設計と実装、さまざまな需要の分類とモデル化、さまざまな地域間で需要をシフトすることによるグローバルな容量管理の実現について説明します。
ソフトウェア開発の意思決定をレベルアップするための変革的な洞察を発見してください。限定オファーにはコード LIMITEDOFFERIDSBOSTON24 を使用してください。
上級開発者から実践的なアドバイスを得て、現在の開発課題を解決しましょう。限定オファーにはコード LIMITEDOFFERIDSMUNICH24 を使用してください。
注目すべき新たなトレンドを発見して、ソフトウェア スキルをレベルアップしましょう。今すぐ登録してください。
すべてのプロフェッショナルが知っておくべきすべてのトピック、テクノロジー、テクニックに関する月刊ガイド。無料で購読できます。
InfoQ ホームページ ニュース AWS S3 不正リクエストの請求問題: 空の S3 バケットはコストを大幅に増加させる可能性があります
2024年5月4日 2分で読める
シニア ソフトウェア エンジニアの Maciej Pocwierz 氏は最近、重大な問題を明らかにしました。それは、空の S3 バケットによって予期せず多額の AWS 請求が発生する可能性があることです。彼のケースでは、1 日で約 1 億件の S3 PUT リクエストが実行され、請求額が無視できない額になりました。
Pocwierz は、eu-west-1 リージョンに単一の S3 バケットを作成し、テスト用にいくつかのファイルをアップロードして、クライアントの概念実証に取り組みました。AWS の請求ページをチェックして、無料利用枠の制限内に収まっていることを確認したところ、100,000,000 件の S3 PUT リクエストが実行されたために請求額が 1,300 USD であることがわかりました。
要求の原因を調べて、Pocwierz 氏は次のように書いています。
デフォルトでは、AWS は S3 バケットに対して実行されたリクエストをログに記録しません。ただし、AWS CloudTrail または S3 サーバー アクセス ログを使用して、このようなログを有効にすることができます。CloudTrail ログを有効にすると、すぐに複数のアカウントまたは AWS 外部から発信された何千もの書き込みリクエストを確認できました。
リージョンごとの 1 日あたりの課金 S3 使用量 (出典: Pocwierz Medium ブログ投稿)
このインシデントの根本的な原因は、広く使用されているオープンソース ツールのデフォルト設定で、意図せず同じバケット名をバックアップの対象にしていたことです。これにより、不正なリクエストが容赦なく送られ、多大な経済的影響が生じました。さらに、リクエストの半分は別のリージョンから発信されました。リージョンが指定されていない S3 リクエストは us-east-1 にリダイレクトされ、バケット所有者に追加コストが発生します。
この経験から学んだ教訓は、S3 バケットは不正なリクエストに対して脆弱であり、セキュリティを強化するためにバケット名にランダムなサフィックスを追加する必要性が浮き彫りになったことです。もう 1 つの重要なポイントは、リクエストを実行するときに AWS リージョンを明示的に指定すると、リダイレクトによって発生する追加コストを回避できるということです。さらに、バケットを一時的に公開して書き込み可能にするという個人の決定は、無意識の見落としがデータ漏洩につながる可能性が驚くほど簡単にあることを明らかにしました。
Pocwierz 氏の発見はコミュニティ内で騒動を引き起こしました。彼の発見に関する Reddit スレッドで、seanamos-1 氏は次のように結論付けました。
バケット名を秘密にする必要があると示唆されたことは一度もありませんし、そのように設計されていないことは明らかです。しかし、バケット名を秘密にしないと、課金攻撃に対して脆弱になります。この問題に対処する必要があります。
さらに、Hacker News のスレッドでは、回答者の tedminston が次のように書いています。
さらにおかしいのは、リクエスト元支払いをオンにしても、リクエストが 403 の場合にリクエスト元が実際に支払うことにはならないことです。基本的に、名前が判明したすべての S3 バケット (パブリックまたはプライベート) が DDoS 攻撃を受ける可能性があり、法外な請求が発生します。これは AWS が解決すべきプラットフォーム レベルのセキュリティ問題です。もう 1 つの Bucketgate は必要ありません。
最後に、AWS のチーフエバンジェリストである Jeff Barr 氏は、Pocwierz 氏の調査結果とコミュニティへの返答としてツイートで次のように述べています。
この記事を私たちに知らせてくださった皆様に感謝します。お客様が、自分で開始していない不正なリクエストに対して料金を支払う必要はないということに私たちは同意します。これらの料金の防止に具体的にどのように取り組むかについては、近日中に詳細をお知らせします。
DuckbillGroup のチーフクラウドエコノミストである Corey Quinn 氏は、その後のツイートで次のように応答しています。
これは、AWS の請求書サプライズへのアプローチにおける潜在的な転換点のように感じられ、私は大いに賛成です。
InfoQ の先週のコンテンツのまとめが毎週火曜日に配信されます。250,000 人以上のシニア開発者のコミュニティに参加してください。例を見る
InfoQ の先週のコンテンツのまとめが毎週火曜日に配信されます。250,000 人以上のシニア開発者のコミュニティに参加してください。例を見る
2024 年 6 月 24 日 – 25 日 | ボストン、マサチューセッツ州今日の重要な開発優先事項を明確にする実用的な洞察。InfoQ Dev Summit Boston は、InfoQ が主催する 2 日間のカンファレンスで、シニア ソフトウェア開発者が現在直面している最も重要な技術的決定に焦点を当てています。20 以上の技術講演を詳しく聞き、ジェネレーティブ AI、セキュリティ、最新の Web アプリケーションなどを扱うシニア ソフトウェア開発者から革新的な学びを得ましょう。今すぐ登録
InfoQ.com およびすべてのコンテンツの著作権は © 2006-2024 C4Media Inc. に帰属します。プライバシー通知、利用規約、Cookie ポリシー
元記事: https://www.infoq.com/news/2024/05/aws-empty-s3-bucket-billing/