Amazon S3 จะหยุดเรียกเก็บเงินสำหรับรหัสข้อผิดพลาด HTTP หลายรายการ

 (aws.amazon.com)
4 คะแนน โดย GN⁺ 2024-05-14 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Amazon S3 มีแผนจะเปลี่ยนแปลงเพื่อไม่เรียกเก็บเงินจากคำขอที่ไม่ได้รับอนุญาตซึ่งลูกค้าไม่ได้เป็นผู้เริ่มต้น
  • การเปลี่ยนแปลงนี้ทำให้เจ้าของบัคเก็ตไม่ต้องรับภาระค่า request หรือค่าแบนด์วิดท์สำหรับคำขอที่ถูกเริ่มต้นจากภายนอก AWS account รายบุคคลหรือ AWS organization ของตน และส่งกลับการตอบสนองข้อผิดพลาด HTTP 403 (Access Denied)
  • รหัสข้อผิดพลาดที่ให้ใช้ฟรี
    • โดยปกติจะคิดค่าบริการเฉพาะการตอบสนอง 200 OK และข้อผิดพลาดฝั่งไคลเอนต์ 4XX เท่านั้น
    • รหัสที่ไม่ถูกคิดเงิน: 301, 307, 400, 403, 404, 405, 409, 411, 412
    • ข้อผิดพลาดฝั่งเซิร์ฟเวอร์ 5XX จะไม่ถูกคิดเงินอยู่แล้ว (เช่น 503 Slow Down)
  • การเปลี่ยนแปลงด้านการคิดค่าบริการนี้ไม่จำเป็นต้องแก้ไขแอปพลิเคชันของลูกค้า ใช้กับทุก S3 bucket และมีผลกับทุก AWS Region รวมถึง AWS GovCloud Region และ AWS China Region
  • การทยอยเปิดใช้งานเริ่มตั้งแต่วันนี้ และเมื่อเสร็จสมบูรณ์จะมีการเผยแพร่อัปเดตเพิ่มเติมอีกครั้งในอีกไม่กี่สัปดาห์
  • รายละเอียดเพิ่มเติมดูได้ที่การคิดค่าบริการสำหรับการตอบสนองข้อผิดพลาดของ Amazon S3 และหัวข้อ Error Responses ในคู่มือการใช้งาน S3

ความเห็นของ GN⁺

  • การเปลี่ยนแปลงครั้งนี้น่าจะช่วยลดภาระในการดูแลจัดการของลูกค้าที่ใช้ S3 และช่วยป้องกันค่าใช้จ่ายที่ไม่ตั้งใจจากความผิดพลาดในการตั้งค่าสิทธิ์
  • แต่อีกด้านหนึ่งก็อาจทำให้มีความเป็นไปได้ที่ทราฟฟิกจะเพิ่มขึ้นจากคำขอไม่หวังดีที่มุ่งโจมตีช่องโหว่ด้านความปลอดภัย จึงควรมีการมอนิเตอร์และมาตรการป้องกันที่เหมาะสม
  • เมื่อต้องใช้งานบริการคลาวด์รวมถึง S3 ควรให้ความสำคัญกับการตั้งค่าความปลอดภัยอย่างรอบคอบเสมอ โดยยึดหลักให้สิทธิ์เท่าที่จำเป็นให้น้อยที่สุด
  • การเปลี่ยนแปลงลักษณะนี้สะท้อนให้เห็นว่าผู้ให้บริการคลาวด์ยังคงพยายามปรับปรุงความสะดวกให้ลูกค้าอย่างต่อเนื่อง และน่าจับตาว่าจะมีการเปลี่ยนแปลงคล้ายกันในบริการ AWS อื่น ๆ หรือไม่
  • น่าลองตรวจสอบด้วยว่า Cloud Storage ของ GCP หรือ Blob Storage ของ Azure มีนโยบายลักษณะใกล้เคียงกันอยู่แล้วหรือไม่ และหากจำเป็นก็อาจส่ง feedback ที่เกี่ยวข้องได้

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2024-05-14
ความเห็นจาก Hacker News

  • มีการชี้ให้เห็นถึง dark pattern ของ AWS: สมัครใช้ฟรี tier แล้วอาจถูกเรียกเก็บเงินสูงเกินคาดโดยไม่รู้ตัว โดยเฉพาะเมื่อมีการเปลี่ยนการตั้งค่า ก็ไม่มีคำเตือนสำหรับสมาชิกฟรี tier และข้อกำหนดก็ชวนสับสน ตัวอย่างเช่น PostgreSQL ถูกโฆษณาว่าฟรี แต่ Aurora PostgreSQL มีค่าใช้จ่ายค่อนข้างสูง

  • ประเด็นที่เกี่ยวข้อง:

    • เดือนพฤษภาคม 2024 Jeff Barr ยอมรับปัญหาการเรียกเก็บเงินจากคำขอที่ไม่ได้รับอนุญาตของ S3
    • เดือนเมษายน 2024 มีการแชร์กรณีที่บัคเก็ต S3 ว่างเปล่าอาจทำให้ค่าใช้จ่าย AWS พุ่งสูงได้

  • ตามที่มีการพูดถึงใน Twitter ระบบนั้นใช้งานได้จริง แต่มีการเสียดสีว่ากว่าจะถูกแก้หลังมีการตั้งคำถามก็ใช้เวลานานถึง 18 ปี

  • มีมุกล้อว่าถ้า re-engineer แอปให้ใช้ error code กับ response 200 ก็อาจได้ใช้งาน S3 ฟรี

  • มีการกล่าวว่าในการตั้งค่า web hosting ของ S3 ยังมีการเรียกเก็บเงินสำหรับเอกสารข้อผิดพลาดแบบกำหนดเองหรือการ redirect แบบกำหนดเองอยู่

  • การเปลี่ยนแปลงใหญ่แบบนี้น่าจะต้องมีการวิเคราะห์ล่วงหน้า จึงน่าสงสัยว่าภายในมีการเตรียมอะไรไว้บ้าง เช่น ข้อมูลล็อกหรือเครื่องมือ sampling สำหรับคำนวณความสูญเสียทางการเงิน และเวลาตอบสนอง 2 สัปดาห์ก็น่าประทับใจทีเดียว

  • เหมือนเรื่องก่อนหน้านี้ คำขอ S3 ที่ไม่ได้ระบุ region จะถูกตั้งค่าเป็น us-east-1 โดยปริยายแล้วค่อย redirect ตามความจำเป็น ซึ่งเจ้าของบัคเก็ตต้องเป็นผู้จ่ายค่าใช้จ่ายส่วนเพิ่มนี้

  • มีคำขอว่าอยากให้ใช้มาตรการเดียวกันกับ NXDOMAIN ของ Route53 ด้วย เพราะอาจเป็นปัญหาใหญ่กับโดเมนที่เพิ่งเข้าซื้อมา

  • มีการเสียดสีว่าผู้จัดการผลิตภัณฑ์ loss leader ของ Bezos กำลังผลักเหยื่อให้ลึกลงไปอีก และมองว่าเรื่องนี้ยากจะนับว่าเป็นความก้าวหน้า