因為公司內部上線都需要經過資安進行黑白箱滲透測試，隨意對 AWS 服務進行測試就很容易被 Ban 掉，之前是透過「Vulnerability / Penetration Testing Request Form」這個表單向 AWS 申請 PT 測試，但是最近發現 AWS 改變 Policy 了 …

從「漏洞和滲透測試」這邊看到 AWS 直接開放幾個常用的服務開放大家來打 XDD

• Amazon EC2 執行個體、NAT 閘道以及 Elastic Load Balancer
• Amazon RDS
• Amazon CloudFront
• Amazon Aurora
• Amazon API Gateway
• AWS Lambda 和 Lambda Edge 函數
• Amazon Lightsail 資源
• Amazon Elastic Beanstalk 環境

這說明了 AWS 對自己的服務信心有到達一定的程度才敢開放大家去測試。

其中條例中也有寫到「濫用報告」，如果被舉報濫用的話，會收到 AWS Security Team 的來信關注，並且需要在 24 小時內回應(解釋)，但這邊沒說超過 24 小時會發生什麼事情，但據之前與 AWS Security Team 交手的經驗應該會直接停用你的服務或帳號之類的 …。

然後還有一個重點是「安全測試的提示」其實說白了就是你不能打的太超過，必須有限制的打：

• 速率限制：掃描限制為 1 Gbps 或 10,000 RPS。
• 建議排除 T 系列的設備，因為會有 CPU Credit 的問題可能會不準
• 請先確定你要測試的 IP 位置，因為 AWS 是動態 IP，如果換了 IP 你有可能打到別人家的服務 XDD ..

除此之外，如果有一些特殊的測試還是必須去信給 AWS Security Team，大概兩天內就會回覆，還算快。

AWS Penetration Testing pt security