- Amazon S3は、顧客が開始していない未認可リクエストについて課金しないよう変更する予定
- この変更により、バケット所有者は、個別のAWSアカウントまたはAWS Organizationsの外部から開始され、HTTP 403(Access Denied)エラー応答を返すリクエストについて、リクエスト料金や帯域幅料金を負担しなくなる
- 無料で提供されるエラーコード
- 基本的に、200 OK と 4XX クライアントエラー応答に対してのみ料金が請求される
- 課金されないコード: 301, 307, 400, 403, 404, 405, 409, 411, 412
- 5XX サーバーエラーは課金されない(503 Slow Down など)
- この課金変更は顧客アプリケーションの変更を必要とせず、すべてのS3バケットに適用され、AWS GovCloudリージョンおよびAWS中国リージョンを含むすべてのAWSリージョンで適用される
- この展開は本日から開始され、完了後、数週間以内に別の更新が公開される予定
- 詳細については、Amazon S3のエラー応答に対する課金およびS3ユーザーガイドのエラー応答を参照
GN⁺の見解
- 今回の変更により、S3を利用する顧客の管理ポイントは減るとみられる。権限設定ミスによる意図しない料金発生を防げるようになる。
- 一方で、セキュリティ脆弱性を狙う悪意あるリクエストによってトラフィックが増加する可能性もある。これに対する監視と防御策の整備が必要になりそうだ。
- S3を含むクラウドサービスの利用時には、常にセキュリティ設定に細心の注意が必要である。最小権限の原則を守るのが望ましい。
- このような変更は、クラウド事業者が顧客利便性の向上に向けて継続的に取り組んでいることを示している。今後、他のAWSサービスにも同様の変更があるか注視する必要がある。
- GCPのCloud StorageやAzureのBlob Storageでも同様のポリシーが実施されているか確認し、必要であれば関連するフィードバックを伝えるのもよさそうだ。
1件のコメント
Hacker Newsのコメント
AWSのダークパターンへの指摘: 無料ティアに登録したあと、気づかないうちに過大な料金を請求される可能性がある。特に設定変更時に無料ティア利用者への警告がなく、利用規約もわかりにくい。たとえば PostgreSQL は無料として宣伝されているが、Aurora PostgreSQL にはかなりの費用がかかる。
関連する話題:
Twitterでの言及のようにシステム自体は機能しているものの、問題提起から解決まで18年もかかるという皮肉めいた指摘。
200レスポンスにエラーコードを使うようアプリを再設計すれば、無料の S3 利用量を得られるという冗談。
S3 のウェブサイトホスティング設定では、カスタムエラードキュメントやカスタムリダイレクトに対しては依然として課金されるとの言及。
こうした大きな変更には事前分析が必要なはずで、財務的損失を計算するためのログデータやサンプリングツールなど、内部でどのような準備があったのか気になる。2週間という対応時間はかなり印象的。
以前の話のように、指定リージョンのない S3 リクエストは us-east-1 にデフォルト設定され、必要に応じてリダイレクトされるが、その追加コストをバケット所有者が負担しなければならない。
Route53 の NXDOMAIN についても同様の措置を取ってほしいという要望。買収したドメインでは大きな問題になりうる。
ベゾスのロスリーダー製品マネージャーが餌をさらに深く押し込む、という風刺的な表現。これを進歩と見るのは難しいという意見。