Tại sao AWS đề xuất chống lại các thùng S3 công cộng?

"Chúng tôi thực sự khuyên bạn không bao giờ cấp bất kỳ loại quyền truy cập công khai nào vào nhóm S3 của mình."

Tôi đã đặt chính sách công khai rất chi tiết (s3: GetObject) cho một nhóm mà tôi sử dụng để lưu trữ trang web. Route53 rõ ràng hỗ trợ khử răng cưa cho mục đích này. Là cảnh báo này chỉ là dư thừa, hoặc tôi đang làm gì đó sai?

Có, nếu bạn biết bạn đang làm gì ( chỉnh sửa: và mọi người khác cũng có quyền truy cập vào nó ...), bạn có thể bỏ qua cảnh báo này.

Nó tồn tại bởi vì ngay cả các tổ chức lớn , những người nên biết rõ hơn đã vô tình đặt dữ liệu riêng tư vào các thùng công khai. Amazon cũng sẽ gửi cho bạn các email trực tiếp nếu bạn để công khai các thùng ngoài các cảnh báo trong bảng điều khiển.

Tất cả các thông tin cử tri và thông tin quân sự của Accergy, Verizon, Viacom, Illinois đều vô tình bị bỏ ngỏ cho mọi người trực tuyến do các cơ quan CNTT định cấu hình sai các silo S3 của họ.

Nếu bạn chắc chắn, chắc chắn 100% rằng mọi thứ trong nhóm phải được công khai và không ai sẽ vô tình đưa dữ liệu riêng tư vào đó - một trang web HTML tĩnh là một ví dụ tốt - thì bằng mọi cách, hãy để công khai.

Vấn đề riêng tư được nêu trong câu trả lời của ceejayoz không phải là vấn đề duy nhất.
Đọc các đối tượng từ một thùng S3 có giá. Bạn sẽ được AWS lập hóa đơn cho mỗi lần tải xuống từ nhóm này. Và nếu bạn có nhiều lưu lượng truy cập (hoặc nếu ai đó muốn làm tổn thương doanh nghiệp của bạn bắt đầu tải xuống nhiều tệp trong cả ngày) thì nó sẽ nhanh chóng trở nên đắt đỏ.

Nếu bạn muốn các tệp từ nhóm của mình có thể truy cập công khai, bạn nên tạo Phân phối trên nền tảng đám mây trỏ đến và được cấp quyền truy cập vào nhóm S3 .

Giờ đây, bạn có thể sử dụng tên miền của Cloudfront Distribution để phục vụ các tệp của mình mà không cấp bất kỳ quyền truy cập S3 nào cho công chúng.
Trong cấu hình này, bạn trả tiền cho việc sử dụng dữ liệu của Cloudfront thay vì S3. Và với khối lượng cao hơn, nó rẻ hơn rất nhiều.