4P by neo 1달전 | favorite | 댓글 1개
  • Amazon S3는 고객이 시작하지 않은 권한 없는 요청에 대해 비용을 청구하지 않도록 변경할 예정
  • 이 변경으로 버킷 소유자는 개별 AWS 계정이나 AWS 조직 외부에서 시작된 HTTP 403(Access Denied) 오류 응답을 반환하는 요청에 대해 요청 또는 대역폭 비용을 부담하지 않게 됨
  • 무료로 제공되는 오류 코드들
    • 기본적으로 200 OK 와 4XX 클라이언트 에러 응답에만 요금이 청구됨
    • 과금되지 않는 코드들: 301, 307, 400, 403, 404, 405, 409, 411, 412
    • 5XX 서버 에러는 과금되지 않음(503 Slow Down 같은)
  • 이 청구 변경 사항은 고객 애플리케이션에 대한 변경이 필요하지 않으며 모든 S3 버킷에 적용되며, AWS GovCloud 리전과 AWS 중국 리전을 포함한 모든 AWS 리전에 적용
  • 이 배포는 오늘부터 시작되며 완료되면 몇 주 후에 다른 업데이트를 게시할 예정
  • 자세한 내용은 Amazon S3 오류 응답에 대한 청구 및 S3 사용 설명서의 오류 응답을 참조

GN⁺의 의견

  • 이번 변경으로 S3를 사용하는 고객들의 관리 포인트가 줄어들 것으로 보임. 권한 설정 실수로 인해 의도치 않은 요금 발생을 막을 수 있게 됨.
  • 하지만 반대로 보안 취약점을 노리는 악의적인 요청에 의해 트래픽이 증가할 가능성도 있음. 이에 대한 모니터링과 방어 대책 마련이 필요해 보임.
  • S3를 포함한 클라우드 서비스 사용시에는 항상 보안 설정에 각별한 주의가 필요함. 최소한의 권한 부여 원칙을 지키는 것이 좋음.
  • 이러한 변경은 클라우드 사업자들이 고객 편의성 제고를 위해 지속적으로 노력하고 있음을 보여줌. 향후 다른 AWS 서비스에도 유사한 변경이 있을지 지켜볼 필요가 있음.
  • GCP의 Cloud Storage나 Azure의 Blob Storage에서도 이와 유사한 정책을 시행 중인지 살펴보고, 필요하다면 관련 피드백을 전달하는 것도 좋겠음.
Hacker News 의견
  • AWS의 다크 패턴에 대한 지적: 무료 티어에 가입했다가 모르는 사이에 과도한 요금이 부과될 수 있음. 특히 설정 변경 시 무료 티어 회원에게 경고가 없고 약관도 혼란스러움. 예를 들어 PostgreSQL은 무료로 광고되지만 Aurora PostgreSQL은 상당한 비용이 듦.

  • 관련 이슈:

    • 2024년 5월 제프 바(Jeff Barr)가 S3 무단 요청 청구 문제를 인정함.
    • 2024년 4월 빈 S3 버킷으로 인해 AWS 요금이 폭등할 수 있다는 사례 공유됨.
  • 트위터의 언급처럼 시스템이 작동하기는 하나 문제 제기 후 해결까지 18년이나 걸린다는 풍자적 지적.

  • 200 응답에 오류 코드를 사용하도록 앱을 리엔지니어링하여 무료 S3 사용량을 얻을 수 있다는 농담.

  • S3의 웹사이트 호스팅 설정에서는 사용자 정의 오류 문서나 사용자 정의 리디렉션에 대해 여전히 요금이 부과된다는 언급.

  • 이러한 큰 변화에는 사전 분석이 필요할 텐데, 재정적 손실을 계산하기 위한 로그 데이터나 샘플링 도구 등 내부적으로 어떤 준비가 있었을지 궁금함. 2주라는 대응 시간은 꽤 인상적임.

  • 이전 이야기처럼 지정된 지역 없는 S3 요청은 us-east-1로 기본 설정되고 필요에 따라 리디렉션 되는데, 버킷 소유자가 이에 대한 추가 비용을 지불해야 함.

  • Route53의 NXDOMAIN에 대해서도 동일한 조치를 취해달라는 요청. 인수한 도메인에서 큰 문제가 될 수 있음.

  • 베조스의 손실 리더 제품 관리자가 미끼를 더 깊이 밀어 넣는다는 풍자적 표현. 이를 진전으로 보기 어렵다는 의견.