Nach massiver Kritik: AWS stoppt Kostenexplosion durch nicht autorisierte Anfragen
Anfang Mai kritisierte ein Entwickler AWS dafür , dass ihm nicht autorisierte Anfragen an einen frisch erstellten S3-Bucket in Rechnung gestellt wurden. Nun ergreift der Cloudanbieter Maßnahmen dagegen. Wie AWS-Sprecher Jeff Barr in einem X-Beitrag(öffnet im neuen Fenster) erklärt, bleiben Anfragen mit bestimmten HTTP-Statuscodes künftig kostenlos. Bis die Änderung in allen AWS-Regionen abgeschlossen sei, dauere es jedoch voraussichtlich noch ein paar Wochen.
Wie AWS in einer Mitteilung auf seiner Webseite(öffnet im neuen Fenster) bestätigt, sollen Gebühren für Anfragen, die mit dem HTTP-Statuscode 403 (Zugriff verweigert) beantwortet werden, damit in Zukunft entfallen, sofern diese nicht vom Bucket-Besitzer selbst initiiert wurden. Der AWS-Dokumentation(öffnet im neuen Fenster) zufolge sind aber auch Anfragen mit den Statuscodes 301, 307, 400, 404, 405, 409, 411 und 412 kostenfrei.
Eine Änderung an den jeweiligen Kundenanwendungen sei nicht erforderlich, betont AWS. Die Gebührenänderung gelte für alle S3-Buckets sowie alle AWS-Regionen. Sobald die Umstellung abgeschlossen sei, werde das Unternehmen erneut darüber informieren.
1.300 US-Dollar für einen Test-Bucket
AWS reagiert mit dieser Umstellung auf einen Bericht eines Softwareentwicklers namens Maciej Pocwierz . Dieser erstellte einen neuen S3-Bucket mit ein paar Testdaten. Nur zwei Tage später wies die AWS-Abrechnungsseite ihm entstandene Kosten in Höhe von 1.300 US-Dollar aus. Ein unglücklich gewählter Name für seinen Bucket führte dazu, dass innerhalb kürzester Zeit Millionen unerwarteter Put-Requests eintrafen.
Ausgelöst wurde die Anfragenflut durch ein "populäres Open-Source-Tool" , das Pocwierz aus Sicherheitsgründen nicht näher benennen wollte. Dieses war standardmäßig so konfiguriert, dass es seine Back-ups in einem S3-Bucket mit genau jenem Namen, den Pocwierz für seinen Test-Bucket gewählt hatte, hochladen wollte. Jedes System, auf dem das Tool also in seiner Standardkonfiguration zum Einsatz kam, befeuerte den Bucket des Entwicklers laufend mit nicht autorisierten Anfragen.
Bezahlen musste Pocwierz letztendlich nicht. AWS habe seine S3-Rechnung storniert, erklärte er. Jedoch habe das Unternehmen betont, dass dies eine Ausnahme sei und dass es sich bei den geschilderten Beobachtungen um ein "erwartetes Verhalten" handle. Jeff Barr reagierte jedoch zügig auf den Vorfall und kündigte an, AWS werde Maßnahmen gegen die Entstehung derartiger Gebühren ergreifen.