Чому AWS рекомендує використовувати публічні відра S3?

"Ми настійно рекомендуємо ніколи не надавати будь-який доступ публіки до свого відра S3."

Я встановив дуже детальну публічну політику (s3: GetObject) для одного відра, який використовую для розміщення веб-сайту. Route53 явно підтримує псевдонім відра для цієї мети. Це попередження просто зайве, чи я роблю щось не так?

Так, якщо ви знаєте, що ви робите ( редагуйте: і всі інші, хто має доступ до цього, теж ...), ви можете проігнорувати це попередження.

Це існує тому, що навіть великі організації, які повинні краще знати, випадково помістили приватні дані у публічні групи. Амазонка також надсилатиме вам заголовки електронних листів, якщо ви залишатимете відра загальнодоступними на додаток до попереджень на консолі.

Інформація про виборців Accenture, Verizon, Viacom, Illinois та військову інформацію була виявлена ​​ненавмисно для всіх в Інтернеті через неправильні налаштування ІТ-силосів.

Якщо ви абсолютно впевнені, що все у відрі має бути загальнодоступним і що ніхто не збирається випадково вносити в нього приватні дані - статичний HTML-сайт - хороший приклад - тоді, будь-ласка, залишайте його загальнодоступним.

Питання конфіденційності, яке міститься у відповіді ceejayoz, не є єдиною проблемою.
Читання предметів із відра S3 має ціну. Вам буде виставлено рахунок AWS за кожне завантаження з цього відра. І якщо у вас багато трафіку (або якщо хтось, хто хоче нашкодити вашому бізнесу, починає сильно завантажувати файли протягом усього дня), він швидко стане дорогим.

Якщо ви хочете, щоб файли з вашого відра були загальнодоступними, вам слід створити Cloudfront Distribution, який вказує на та надає доступ до відра S3 .

Тепер ви можете використовувати доменне ім’я дистрибутива Cloudfront для обслуговування своїх файлів, не надаючи доступу до S3 для всіх.
У цій конфігурації ви платите за використання даних Cloudfront замість S3. А при більших обсягах це значно дешевше.