- Amazon S3 va modifier sa politique afin de ne plus facturer aux clients les requêtes non autorisées qu’ils n’ont pas initiées
- Avec ce changement, les propriétaires de buckets n’auront plus à payer de frais de requête ou de bande passante pour les requêtes renvoyant une réponse d’erreur HTTP 403 (Access Denied) lorsqu’elles sont initiées en dehors d’un compte AWS individuel ou d’une organisation AWS
- Codes d’erreur fournis gratuitement
- Par défaut, seuls les réponses
200 OK et les erreurs client 4XX sont facturées
- Codes non facturés : 301, 307, 400, 403, 404, 405, 409, 411, 412
- Les erreurs serveur
5XX ne sont pas facturées (comme 503 Slow Down)
- Cette modification de facturation ne nécessite aucun changement dans les applications des clients, s’applique à tous les buckets S3 et concerne toutes les régions AWS, y compris les régions AWS GovCloud et AWS Chine
- Le déploiement commence aujourd’hui, et une autre mise à jour sera publiée dans quelques semaines une fois celui-ci terminé
- Pour plus de détails, voir la facturation des réponses d’erreur Amazon S3 et les réponses d’erreur dans le guide d’utilisation S3
L’avis de GN⁺
- Ce changement devrait réduire les points d’attention opérationnels pour les clients utilisant S3. Il permettra d’éviter des frais imprévus causés par des erreurs de configuration des autorisations.
- À l’inverse, il pourrait aussi entraîner une hausse du trafic due à des requêtes malveillantes visant des failles de sécurité. Une surveillance et des mesures de protection adaptées semblent donc nécessaires.
- Lors de l’utilisation de services cloud, y compris S3, il reste essentiel de porter une attention particulière aux paramètres de sécurité. Il est recommandé d’appliquer le principe du moindre privilège.
- Ce type de changement montre que les fournisseurs cloud continuent de travailler à améliorer l’expérience client. Il sera intéressant de voir si des évolutions similaires apparaîtront aussi sur d’autres services AWS.
- Il peut également être utile de vérifier si des politiques comparables existent déjà sur Cloud Storage de GCP ou Blob Storage d’Azure, et, si nécessaire, de transmettre un retour sur le sujet.
1 commentaires
Commentaires sur Hacker News
Critique des dark patterns d’AWS : on peut s’inscrire au free tier puis se retrouver, sans s’en rendre compte, avec des frais excessifs. En particulier, lors des changements de configuration, les membres du free tier ne reçoivent aucun avertissement et les conditions sont confuses. Par exemple, PostgreSQL est présenté comme gratuit, mais Aurora PostgreSQL coûte nettement plus cher.
Sujets liés :
Comme le mentionne Twitter, le système fonctionne bien, mais il a fallu pas moins de 18 ans pour résoudre le problème après qu’il a été signalé, remarque faite sur un ton sarcastique.
Blague disant qu’on pourrait réingénier l’application pour utiliser des codes d’erreur dans des réponses 200 afin d’obtenir un usage gratuit de S3.
Il est mentionné que, dans la configuration d’hébergement de site web de S3, les documents d’erreur personnalisés ou les redirections personnalisées restent facturés.
Un changement aussi important a sans doute nécessité une analyse préalable ; on se demande quels préparatifs internes ont été faits, comme des données de logs ou des outils d’échantillonnage pour calculer la perte financière. Un délai de réaction de deux semaines est assez impressionnant.
Comme dans l’histoire précédente, les requêtes S3 sans région spécifiée sont envoyées par défaut vers us-east-1 puis redirigées si nécessaire, et le propriétaire du bucket doit payer le coût supplémentaire correspondant.
Demande d’appliquer la même mesure aux NXDOMAIN de Route53. Cela peut devenir un gros problème pour des domaines acquis.
Formule sarcastique disant que le chef de produit des loss leaders de Bezos enfonce encore plus profondément l’hameçon. Certains estiment qu’il est difficile d’y voir un progrès.