AWS S3: Account Regional Namespaces machen Bucketsquatting den Garaus

Amazon Web Services (AWS) hat Account Regional Namespaces für Amazon S3 General Purpose Buckets eingeführt. Damit können Kunden Bucket-Namen in einem reservierten Namespace pro Konto und Region erstellen – die bisher geltende global eindeutige Namensvergabe wird damit optional. Die Funktion steht seit dem 12. März 2026 in 37 AWS-Regionen bereit, darunter die Frankfurter Region eu-central-1.

Wie AWS in seinem Blog erläutert, folgen die neuen Bucket-Namen dem Schema ---an. Ein Beispiel: mybucket-123456789012-us-east-1-an. Das Suffix aus Konto-ID, Region und dem Kürzel an wird dabei auf die maximal erlaubten 63 Zeichen des Bucket-Namens angerechnet, sodass die verfügbare Präfixlänge je nach Region variiert. Nur der jeweilige Kontoinhaber kann Buckets mit seinem Suffix erstellen – andere Konten erhalten einen entsprechenden Fehler.

AWS behebt damit ein zentrales Problem: das sogenannte Bucketsquatting (auch Bucketsniping). Dabei registrieren Angreifer gelöschte oder vorhersagbare globale Bucket-Namen, um Datenverkehr abzufangen oder Dienste zu stören. Weil viele Organisationen vorhersehbare Namenskonventionen wie myapp-us-east-1 verwenden, war das Risiko bislang hoch. Die neue Funktion verhindert dies bei neuen Buckets vollständig, da die Namen kontoexklusiv reserviert sind.

Erzwingung per IAM-Policy und SCP

AWS stellt einen neuen Condition Key s3:x-amz-bucket-namespace bereit, mit dem Administratoren die Nutzung der Account Regional Namespaces über IAM-Policies oder Service Control Policies (SCP) erzwingen können. In Multi-Account-Setups innerhalb von AWS Organizations lässt sich so organisationsweit sicherstellen, dass nur noch kontogebundene Bucket-Namen erstellt werden. AWS empfiehlt, die neuen Namespaces standardmäßig für alle neuen Buckets zu verwenden, sofern keine zwingenden Gründe dagegen sprechen.

Erstellung und IaC-Unterstützung

In der AWS-Management-Console lässt sich beim Einrichten eines Buckets „Account Regional namespace“ direkt als Namespace-Option auswählen. Über die AWS CLI legt man ein Bucket im neuen Namespace wie folgt an: aws s3api create-bucket --bucket mybucket-123456789012-us-east-1-an --bucket-namespace account-regional --region us-east-1. Für Python-Entwickler bietet AWS im Blog ein Boto3-Beispiel mit dynamischer Namensgenerierung über STS. CloudFormation unterstützt die Funktion bereits mit den Parametern BucketNamespace und BucketNamePrefix. Terraform-Support ist hingegen noch in Arbeit – ein entsprechendes GitHub-Issue wurde am 12. März 2026 eröffnet.

Bestehende S3-Buckets bleiben von der Neuerung unberührt. Eine Umbenennung vorhandener Buckets ist nicht möglich; wer migrieren möchte, muss neue Buckets im regionalen Namespace erstellen und die Daten etwa per aws s3 sync übertragen. Alle S3-Features und APIs sind mit den neuen Namespaces vollständig kompatibel, Änderungen an bestehenden Anwendungen sind laut AWS nicht nötig. Zusätzliche Kosten fallen für die Nutzung der Account Regional Namespaces nicht an.

Ausgenommen von der Verfügbarkeit sind derzeit lediglich die Regionen Middle East (Bahrain) und Middle East (UAE). Amazons Objektspeicher S3 feierte erst kürzlich sein 20-jähriges Bestehen – die neuen Namespaces schließen nun eine seit Jahren bekannte Sicherheitslücke im Namenskonzept des Dienstes.

(fo)