文章宣布AWS S3存储桶占位问题(bucketsquatting)终于得到解决。作者经过十年与AWS及第三方安全团队的合作，AWS现已推出解决方案，这将改变用户命名存储桶的方式。该问题源于S3存储桶名称的全局唯一性，导致可预测的存储桶名称容易被滥用。

标题：桶占位攻击终成历史——AWS推出新命名空间防护机制

来源：One Cloud Please 发布日期：2026年3月13日

核心内容： 1. 问题背景 - 作者与AWS安全团队合作十年，终于解决了S3桶占位攻击（bucketsquatting）问题 - 该漏洞允许攻击者注册已被删除的存储桶名称，可能导致数据泄露或服务中断 - 企业常用"应用名+区域"的命名模式（如myapp-us-east-1）更易被预测利用

2. AWS解决方案

• 推出账户级命名空间新规范： <前缀>-<账户ID>-<区域>-an 示例：myapp-123456789012-us-west-2-an
• "an"后缀表示账户命名空间，确保名称唯一性
• 其他账户尝试注册同名桶将收到InvalidBucketNamespace错误
• AWS建议默认采用此命名规范

3. 实施细节

• 新增s3:x-amz-bucket-namespace条件键，可通过SCP策略强制实施
• 现有存储桶需迁移至新命名规范才能获得保护
• 这是AWS首次为通用场景推出的命名空间解决方案

4. 其他云厂商对比

• 谷歌云：通过域名验证机制防护（需验证域名所有权）
• 微软Azure：受限于24字符的存储账户命名空间，问题仍然存在

总结：AWS新命名空间机制有效防御桶占位攻击，建议用户创建新桶时采用规范格式。虽然现有桶仍需迁移，但为云存储安全树立了新标准。

（注：删减了社交媒体链接、个人简介等非技术内容，保留了解决方案的核心技术细节和跨云平台对比信息）

以下是评论内容的总结，平衡呈现不同观点并保留关键引用：

1. 支持命名空间改进

   • 认为AWS的命名空间改进是好举措，能避免命名冲突和安全风险
   • 关键引用： "Thank you author...this is one of those good hygiene conventions"（iknownothow） "Good riddance...Glad this is finally getting closed off"（ClaudeFixer）

2. 对Azure存储的对比讨论

   • 指出Azure同样存在账户名全局唯一性问题，且24字符限制更麻烦
   • 关键引用： "The author probably misunderstood...is definitely still a large concern"（vhab） "I hope Microsoft follows suit"（vhab）

3. 安全建议

   • 建议使用随机哈希或长随机名作为安全实践
   • 关键引用： "Huh? Hash your bucket names"（lijok） "I started treating long random bucketnames as secrets"（INTPenis）

4. 命名方案建议

   • 提出类似Discord的"名称+随机码"的混合命名方案
   • 关键引用： "should use a naming scheme like discord"（josephg） "prevents early users from snapping up all the good names"（josephg）

5. 质疑与批评

   • 质疑为何不直接禁止名称重用
   • 关键引用： "Why all that stuff with namespaces when they could just not allow name reuse?"（Aardwolf） "My pet conspiracy theory..."（thih9）

6. AWS账户管理问题

   • 指出AWS账户删除后邮箱无法重用的问题
   • 关键引用： "you can't reuse the root user email addresses"（etothet） "AWS support was rather terrible"（etothet）