本篇文章更新時間:2026/03/14
如有資訊過時或語誤之處,歡迎使用 Contact 功能通知或向一介資男的 LINE 社群反應。
如果本站內容對你有幫助,歡迎贊助支持 。
內容目錄
Bucketsquatting 終於要死了:AWS 推出全新 Namespace 保護機制
AWS 花了十年,終於把 S3 bucket 這個老問題補上最後一塊拼圖
編輯前言:如果你曾為了避免 S3 bucket 被搶註、混淆或攻擊而設計過奇怪又複雜的命名規則,那 AWS 的這次更新大概是近年來最值得你關注的變動。
本文整理自 One Cloud Please 的文章:Bucketsquatting is (Finally) Dead。
核心觀點 (Key Takeaways)
- S3 bucket 長年存在的 bucketsquatting(名稱被搶註)風險,AWS 終於正式推出機制解決。
- AWS 引入全新 namespace 規則,讓 bucket 命名與帳號緊密綁定,外人無法搶註。
- 新建 bucket 應全面使用 namespace 格式,但既有 bucket 需要自行遷移才能獲得保護。
深入解析
從 2019 年開始,原作者就持續追蹤 S3 bucketsquatting 的問題。核心在於:S3 bucket 名稱是全球唯一,只要某個 bucket 被刪除,其名稱立刻重新開放,任何人都能搶先註冊。對於使用可預測命名規則(例如 myapp-us-east-1)的團隊來說,這就變成攻擊者的天堂。
作者形容:「這個問題我已經協助 AWS 與第三方安全團隊處理了十年。」
這次 AWS 的新方案,是加入一個帳號專屬的 namespace,完整格式如下:
<prefix>-<accountid>-<region>-an
以範例來說:
myapp-123456789012-us-west-2-an
這個 -an 指的是 account namespace。任何人若嘗試用相同名稱註冊 bucket,會收到 InvalidBucketNamespace 的錯誤。甚至連同帳號下,只要 bucket 名稱與 region 不一致也會被阻擋。
從 AWS 的官方立場來看,他們希望 所有新 bucket 都使用這個命名規則。甚至支援用 Organization SCP 來強制要求整個組織遵循 namespace 格式,避免開發團隊各自亂命名。
但需要注意的是:這個新保護機制 不會 retroactively 套用到舊 bucket。如果你正在使用可預測命名(例如 foo-prod-us-east-1),你需要自己建立新的 namespace bucket 並將資料遷移。
其他雲服務怎麼處理?
- Google Cloud Storage:本來就有 domain-based namespace 概念,只要你能驗證網域,就能建立以網域為名的 bucket。非網域格式仍有遭 squat 的可能。
- Azure Blob Storage:仍會受名稱搶註影響,且 storage account 名稱限制 24 字元,使得 namespace 空間更小,風險相對高。
筆者心得與啟發
老實說,我一直覺得 S3 bucket 全球唯一命名是「歷史包袱」,但 AWS 遲遲沒有給出真正有效的防搶註解法。直到這次 namespace 機制推出,我才覺得他們真的把問題補好。
這篇文章讓我重新思考:
- 我們太常依賴輕量、直覺的命名習慣,卻忽略雲端環境是公開共享的空間。
- 安全問題往往不是壞人多聰明,而是我們的預設設計留下太多縫隙。
- 舊 bucket 雖然不會自動受保護,但這反而是重新檢視命名、權限、結構的好時機。
如果你正在擘畫新的 S3 架構,我會建議:
- 新建 bucket 一律改用 namespace 格式。
- 舊 bucket 分批遷移,不只解決安全問題,也順便清理多年來的技術債。
這次更新對整個 AWS 生態系其實意義非凡,它不是新功能,而是補上一個本來就應該存在的安全底線。