Amazon s3 如何限制AWS资源消耗？

s3中的任何公共文件是否对某人的钱包开放

---

我看过一些脚本和外部工具来监控和响应，我想知道目前是否有更好的方法来限制AWS资源消耗。

AWS确实有一些内置限制（例如，除了填充之外，大约有20个并发实例）

---

不过，最好的办法是放置一些警报，并使用类似于AWS的工具进行整合。AWS确实有一些内置限制（例如，除了填充之外，大约有20个并发实例）

不过，最好的办法是放置一些警报，并使用类似于

的工具进行整合。如果达到某个限制，您可以使用CloudWatch（AWS内部监控工具）设置警报。收到此类通知后，您可以限制对此存储桶/文件的访问

您可以轻松设置服务器访问日志（check），这将允许您检查您是否受到攻击，以及受到谁的攻击。例如：

$ ./s3curl.pl --id YOUR_AWS_ACCESS_KEY_ID --key YOUR_AWS_SECRET_ACCESS_KEY -- -s -v 'https://s3.amazonaws.com/mybucket?logging' > mybucket.logging

{
  "Version":"2008-10-17",
  "Id":"http referrer policy example",
  "Statement":[
    {
      "Sid":"Allow get requests referred by www.mysite.com and mysite.com",
      "Effect":"Allow",
      "Principal":"*",
      "Action":"s3:GetObject",
      "Resource":"arn:aws:s3:::example-bucket/*",
      "Condition":{
        "StringLike":{
          "aws:Referer":[
            " http://www.mysite.com/*",
            " http://mysite.com/*"
          ]
        }
      }
    }
  ]
}

您可以定义一组。您可以根据IP范围甚至通过引用进行限制（仅当引用的站点是您的站点时，才允许下载图像）。例如：

$ ./s3curl.pl --id YOUR_AWS_ACCESS_KEY_ID --key YOUR_AWS_SECRET_ACCESS_KEY -- -s -v 'https://s3.amazonaws.com/mybucket?logging' > mybucket.logging

{
  "Version":"2008-10-17",
  "Id":"http referrer policy example",
  "Statement":[
    {
      "Sid":"Allow get requests referred by www.mysite.com and mysite.com",
      "Effect":"Allow",
      "Principal":"*",
      "Action":"s3:GetObject",
      "Resource":"arn:aws:s3:::example-bucket/*",
      "Condition":{
        "StringLike":{
          "aws:Referer":[
            " http://www.mysite.com/*",
            " http://mysite.com/*"
          ]
        }
      }
    }
  ]
}

无论如何，一次黑客攻击的代价是相当低的。S3定价为每GB 0.12美元，每10000 GET请求0.01美元。这将需要巨大的努力和数以百万计的请求才能让你得到一笔可观的账单

我建议您设置上面的通知，并在努力保护存储桶之前跟踪对其的访问

一旦发现问题，您可以选择上面的选项来保护它，还可以设置一个（无需额外费用）并使用您喜爱的安全软件进一步控制您的内容

通常问题是让人们查看您的内容，而S3使您能够以相当低的成本和精力轻松地发布任意数量的内容。

如果达到某个限制，您可以使用CloudWatch（AWS内部监控工具）设置一个新的内容。收到此类通知后，您可以限制对此存储桶/文件的访问

您可以轻松设置服务器访问日志（check），这将允许您检查您是否受到攻击，以及受到谁的攻击。例如：

$ ./s3curl.pl --id YOUR_AWS_ACCESS_KEY_ID --key YOUR_AWS_SECRET_ACCESS_KEY -- -s -v 'https://s3.amazonaws.com/mybucket?logging' > mybucket.logging

{
  "Version":"2008-10-17",
  "Id":"http referrer policy example",
  "Statement":[
    {
      "Sid":"Allow get requests referred by www.mysite.com and mysite.com",
      "Effect":"Allow",
      "Principal":"*",
      "Action":"s3:GetObject",
      "Resource":"arn:aws:s3:::example-bucket/*",
      "Condition":{
        "StringLike":{
          "aws:Referer":[
            " http://www.mysite.com/*",
            " http://mysite.com/*"
          ]
        }
      }
    }
  ]
}

您可以定义一组。您可以根据IP范围甚至通过引用进行限制（仅当引用的站点是您的站点时，才允许下载图像）。例如：

$ ./s3curl.pl --id YOUR_AWS_ACCESS_KEY_ID --key YOUR_AWS_SECRET_ACCESS_KEY -- -s -v 'https://s3.amazonaws.com/mybucket?logging' > mybucket.logging

{
  "Version":"2008-10-17",
  "Id":"http referrer policy example",
  "Statement":[
    {
      "Sid":"Allow get requests referred by www.mysite.com and mysite.com",
      "Effect":"Allow",
      "Principal":"*",
      "Action":"s3:GetObject",
      "Resource":"arn:aws:s3:::example-bucket/*",
      "Condition":{
        "StringLike":{
          "aws:Referer":[
            " http://www.mysite.com/*",
            " http://mysite.com/*"
          ]
        }
      }
    }
  ]
}

无论如何，一次黑客攻击的代价是相当低的。S3定价为每GB 0.12美元，每10000 GET请求0.01美元。这将需要巨大的努力和数以百万计的请求才能让你得到一笔可观的账单

我建议您设置上面的通知，并在努力保护存储桶之前跟踪对其的访问

一旦发现问题，您可以选择上面的选项来保护它，还可以设置一个（无需额外费用）并使用您喜爱的安全软件进一步控制您的内容

---

通常问题是让人们查看您的内容，而S3使您能够以相当低的成本和精力轻松地发布尽可能多的内容。

Newvem不可用，因为它现在已被Datapipe收购

---

Newvem不可用，因为它已被Datapipe收购

---

很好，谢谢你，奥尔德林。我想知道像coursera这样的大型网站是如何处理这个问题的。难道他们不应该担心我在S3上的公共形象会突然遭到DDoS攻击，并被一个脚本小子搞砸预算吗？事实上确实发生了（）在某些情况下，当他们注意到你的使用量激增时，AWS本身会给你打电话。很好，谢谢Aldrin。我想知道像coursera这样的大型网站是如何处理这个问题的。难道他们不应该担心我在S3上的公共形象会突然遭到DDoS攻击，并被一个脚本小子搞砸预算吗？事实上，在某些情况下，AWS自己会在注意到你的使用量激增时给你打电话。S3和AWS真的很棒，只是想找到这个问题的最新“规范答案”。非常感谢您的贡献和指点，我们将研究它们。s3和AWS真的很棒，只是想找到这个问题当前的“规范答案”。非常感谢您的贡献和指点，我们将研究它们。