AWSのS3に対し、DOS攻撃のような大量アクセスに対応するにはどうすれば良いですか？

【前提】
AWSのS3を利用してwebページからダウンロード可能なPDFファイルや表示用の画像を配信する予定です。
ログイン等の認証が不要なwebページで、誰でもPDFファイルをダウンロードできるようにするつもりです。

【質問事項】
DOS攻撃のようにPDFファイルを大量にダウンロードする悪意あるリクエストがあった場合、
可用性の高いS3ではすべてのリクエストが正常に処理されると思いますが、逆に処理されることでファイルの転送量が増大し高額なお金が請求されることを懸念しています。

調べたところS3には転送量の上限を設定するような機能はなさそうでしたので、
どのように対応するのが良さそうかアドバイスをいただければ嬉しいです。
（一般的にどうするかといった情報も詳しくないので教えていただけると大変ありがたいです。）

【参考】
・現時点で考えている選択肢
1: S3を利用せず、サーバを用意してそこに画像やPDFを配置してそれをダウンロードさせる（★上手い方法がなさそうならこれで良いかなと思っている）
2: PDFダウンロードのリンクを押下された時に、時間制限付きのURLを発行してダウンロードさせる

行動規範の内容に同意します

回答1件

ベストアンサー

真っ先に思いつくのはCloudFront+AWS WAF+AWS Shieldじゃないですかね。
CloudFrontを使うのはダウンロードの高速化もそうですが、AWS WAFとの連携が主目的です。
AWS Shieldは無料プランであればデフォルトで適用されています。(Advancedは年間3000ドルかかるのでさすがに簡単には導入できませんね…）
AWS自体がDDoS攻撃に対応しているというのはそのあたりに書いてあります
BlackBeltの資料も是非

ただ、（特に無料プランとなると）それでも対応しきれるわけではないので、CloudFrontのログを解析するなどして、怪しいIPやエリアからのアクセスをAWS WAFで遮断するとかになりますかね。
この辺を自動化できたらいいと思いますが、そういうのはおそらくこれから需要が増えてくるんじゃないかなと思っています。

ちなみに2番はPre-Signed URLで実現可能なので合わせて行ってもいいでしょう。

AWSのホワイトペーパーも見てみるといいかと思います。

投稿2020/01/10 07:31