Memo/AmazonWebServices/S3

S3(Simple Storage Service) †

• Element Descriptions Version, Statement, Sid, Effect, Principal, Action, NotAction, Resource, NotResource, Condition, This section describ

• Amazon S3における「フォルダ」という幻想をぶち壊し、その実体を明らかにする ｜ Developers.IO
  • s3は単純なkey=valueストア。keyに'/'があるとフォルダのように見せかけているだけ。

• 記事
  • [アップデート] Amazon S3 でバケットの所属アカウントに応じた制御が行える IAM 条件キーが追加されました！ | Developers.IO
  • [アップデート] その S3 バケット、本当に意図したアカウントのものですか？ S3 API 実行時にバケット所有者を検証する条件を追加できるようになりました！ | Developers.IO
  • 特定の IAM ロールのみアクセスできる S3 バケットを実装する際に検討したあれこれ | Developers.IO
  • S3バケットアクセスがエラーになったときの対処 ｜ DevelopersIO
  • S3が暗号化されている実感がわかないので、復号できない場合の挙動を確かめてみた ｜ DevelopersIO
  • Amazon Web Services ブログ: Amazon S3のパフォーマンスをあげるコツ
  • サイトを Amazon S3 に移行しました - WebOS Goodies 静的サイトの例
  • Using IAM Policies - Amazon Simple Storage Service

---

s3 bucketやs3 objectが暗号化されている事を確認する †

• 暗号化によるデータの保護 - Amazon Simple Storage Service

  2023 年 1 月 5 日以降、Amazon S3 にアップロードされるすべての新しいオブジェクトは、追加費用なしで、パフォーマンスに影響を与えずに自動的に暗号化されます。

  • 2023/01/05以前のs3 objectは暗号化されない。
  • AWS S3の基盤がハッキングされたり、AWSの社員からでもs3 objectの中身が暗号化されている状態という事。

• s3 bucketの設定を確認。AES256で暗号化が有効

  bucket=mybucket
  profile=example
  
  aws s3api get-bucket-encryption --bucket $bucket --profile $profile
  {
      "ServerSideEncryptionConfiguration": {
          "Rules": [
              {
                  "ApplyServerSideEncryptionByDefault": {
                      "SSEAlgorithm": "AES256"
                  },
                  "BucketKeyEnabled": false
              }
          ]
      }
  }

• s3 objectの暗号化確認。aws s3 lsはオブジェクト数が多いと非常に遅い。s3apiを使う
  • デフォルトでは30件。1実行、最大1000件まで

    s3_prefix=path/to/key1
    
    aws s3api list-objects-v2 --bucket $bucket --prefix '${s3_prefix}' --profile $profile > results.json
    
    cat results.json | jq -r '.Contents[] | [.Key, .LastModified] | @tsv' \
    | sort -k2 \
    | while IFS=$'\t' read -r key lastmod; do
      encryption=$(aws s3api head-object --bucket "$bucket" --key "$key" --query 'ServerSideEncryption' --output text --profile $profile)
      echo -e "${key}\t${lastmod}\t${encryption:-None}"
    done

  • 結果

    key1     2022-01-01T00:01:02+03:00       None
    key2     2025-01-01T00:01:02+03:00       AES256

---

s3 inventory: 定期的にs3 object一覧を作成 †

• Amazon S3 インベントリ - Amazon Simple Storage Service
• daily, weeklyで、s3 object一覧を作成する。
• csv, orc, Parquet形式
• s3 batchの場合、CSV形式
• athenaで分析したい場合、Parquet形式
• 一つのinventoryに、一つのprefixしか指定できない。以下例のapp1だけ取り出したい場合、host1/app1, host2/app1の2つinventoryを作る必要がある。

  s3://example1/
    /host1
      /app1
    /host2
      /app1

記事:

• S3バケットのオブジェクト数やサイズを確認する前に知っておきたいこと（LISTリクエストとS3インベントリ） | Developers.IO
• 【新機能】S3 Inventoryを試してみた #reinvent | DevelopersIO

---

サーバーレスでyumリポジトリ構築 †

• 必要な要素
  • [S3 WebHosting] rpmファイルを公開
  • createrepoコマンドでrpm metaデータ生成。
  • [オプション] basic認証等も付けられる

• 記事
  • AWS Lambda + S3 を使ってyumレポジトリを作った
    • LambdaでECRのdockerコンテナを起動してcreaterepoを起動している
  • S3+Lambda+CloudFormationでサーバレスyumリポジトリ - so what
    • Lambdaからec2を起動して、createrepoを実行している

---

s3 objectにメタデータ(cache-control, content-type 他を付ける) †

• static web hosting時にcloudfrontで特定objectのみキャッシュを無効にしたい時など

• 記事
  • cp — AWS CLI 2.1.29 Command Reference
  • CloudFront が特定のファイルをキャッシュしないようにする

• メタデータのみを設定するAPIは無い

  aws s3 cp ./index.html s3://example-bucket/ \
   --metadata-directive "REPLACE" \
   --cache-control "no-cache,no-store" \
   --content-type "text/html" \
   --profile example \
   --region ap-northeast-1

• 確認

  aws s3api head-object --bucket example-bucket --key index.html \
   --profile example
  
  {
      "AcceptRanges": "bytes",
      "LastModified": "2021-03-04T08:35:57+00:00",
      "ContentLength": 38,
      "ETag": "\"48d3bc653f81c4377df8fc2304d2d515\"",
      "CacheControl": "no-cache,no-store",
      "ContentType": "text/html",
      "Metadata": {}
  }

---

大量のオブジェクトの削除 †

s3 bucketにobjectが100GBくらいあると消すのも時間がかかる。

• life cycle ruleを設定する。1日かかるが自動で消してくれる

• AWS console:
  • ページから離れたり、セッションが切れると止まる。

• awscli:
  • recursiveを付けても、1 objectづつ消すので遅い。目視で確認したい場合は有効かも。
  • rm — AWS CLI 1.18.185 Command Reference

• 記事
  • aws s3のファイル大量削除は、ライフサイクルルールでやりましょう！ - Database JUNKY

---

S3 Storage Lens: S3の利用状況の分析 †

• CloudWatchメトリクスでも、オブジェクト数やバケットサイズはあったが、2,3日に1回の頻度だった。

• 記事
  • Amazon S3 Storage Lensを使ってストレージコストを下げる5つの方法 | Amazon Web Services ブログ

• [新機能] S3 の利用状況が一目瞭然！しかも無料！「Amazon S3 Storage Lens」がリリースされました！ | Developers.IO

---

s3オブジェクトの変更・削除を禁止 †

• retention periods（保持期間設定）
• legal holds（法定保留）

• 記事
  • S3オブジェクトロックのリーガルホールドをCLIから設定する | Developers.IO
  • S3オブジェクトのロック（なにをどうやっても改竄削除が不可）がリリースされました！ #reinvent | Developers.IO

---

S3オブジェクトの所有権を強制する †

• s3 objectはownerしかread/writeできない。アカウントBから、アカウントAのs3 bucketにアップロードすると、アカウントAのuserでread/writeできない状態になる。
• s3 bucketの所有者にも読み書きを許可するにはobject毎に「--acl bucket-owner-full-control」を付与する必要がある。
• s3 bucketのownerと、s3 objectのownerが一致している場合、bucket policyで他AWSアカウントに対して許可を設定できる。

• 類似の問題
  • CloudTrailのログを別アカウントから参照しようとするとエラーになる

• 【アップデート】S3でACLを無効化できるようになりました #reinvent | DevelopersIO
• Object Ownership が追加された。
  • BucketOwnerEnforced: デフォルトになった。 ACLが無効化される。s3 object所有者=bucket所有者が強制される。この設定であれば、クロスアカウントでアクセスした時にトラブルにならない。
    • bucket policyは設定できる。
  • 既存のobjectには適用されない。

• BucketOwnerPreferred
  • bucket policyで「--acl bucket-owner-full-control」が無い時にエラーになるように拒否できる。bucket policy未設定だと、「--acl bucket-owner-full-control」が無くてもエラーにはならない。
  • 自動的に「--acl bucket-owner-full-control」が付与されるものではない。

• 記事
  • [アップデート] オブジェクト所有権でもう悩まない！S3 バケット所有者がアップロード時に自動的にオブジェクト所有権を引き継げるようになりました。 | Developers.IO
  • Amazon S3 アップデート – セキュリティおよびアクセス制御のための 3 つの新しい機能 | Amazon Web Services ブログ
  • 他のアカウントによってアップロードされた S3 オブジェクトから 403 エラーを解決する

---

正規ユーザーID/正規ID: †

• Your AWS account identifiers - AWS General Reference
  • s3のbucket ACLに使われる。「79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be」のような長いID
  • ELB/ALB/NLBのアクセスログ、CloudTrailのログ等、AWSサービス毎に 独自のOwer.ID を持っている。AWSアカウントのOwner.idではない。

• 正規ユーザーIDの取得方法

  aws s3api list-buckets --query Owner.ID --output text --profile example

• s3 bucket aclのOwner.IDに正規ユーザIDがあるので、どのアカウントが所有者か確認できる。

  aws s3api get-bucket-acl --bucket terraform-nichigas-stg --profile example
  {
      "Owner": {
          "DisplayName": "example12345",
          "ID": "79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be"
      },
      "Grants": [
          {
              "Grantee": {
                  "DisplayName": "example12345",
                  "ID": "79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be",
                  "Type": "CanonicalUser"
              },
              "Permission": "FULL_CONTROL"
          }
      ]
  }

---

s3-tree: tree形式で表示 †

• S3はkey=valueストアで、フォルダは無い。
• AWS Consoleではkeyに '/' があると、フォルダっぽく表示しているだけ
• tree形式で見たい場合は便利？ファイル数が多いと辛そう

• s3-tree · PyPI

• 記事
  • S3 バケットの中身を tree 形式で表示してくれる s3-tree を Amazon Linux 2 にインストールして使ってみた | Developers.IO

---

S3 Event Notification: S3にアップロードされたらLambdaを起動する等 †

• Amazon S3 イベント通知の設定 - Amazon Simple Storage Service
  • Lambdaの場合、s3とlambdaの設定だけで済む

• 記事
  • S3 Event Notificationを別アカウントのAWS Lambdaに送信する | Developers.IO

---

アクセスログ †

• 記事
  • CloudTrail S3オブジェクトレベルログ、S3サーバーアクセスログ、どちらを使えば良いか？違いをまとめてみた | Developers.IO

---

セキュリティ †

• 記事
  • Amazon S3の誤った公開に気づく! 通知の仕組み - ANDPAD Tech Blog
  • Amazon S3 セキュリティベストプラクティスの実践（権限管理のポリシー) – 後編 | Amazon Web Services ブログ
  • Amazon S3 セキュリティベストプラクティスの実践（権限管理のポリシー) – 前編 | Amazon Web Services ブログ

---

インターネットへ公開 †

• 記事
  • ALBからS3コンテンツを配信してみた | DevelopersIO
  • CloudFront のオリジンへ直接アクセスさせない方法まとめ – サーバーワークスエンジニアブログ
  • S3 に置いたコンテンツを CloudFront を利用 してインターネットに公開する方法まとめ ( B ) CloudFront のオリジンに Amazon S3 バケットの静的ウェブサイトホスティングエンドポイントを使用する方法 – サーバーワークスエンジニアブログ
  • S3 に置いたコンテンツを CloudFront を利用 してインターネットに公開する方法まとめ – サーバーワークスエンジニアブログ
  • S3 に置いたコンテンツを CloudFront を利用 してインターネットに公開する方法まとめ ( A )CloudFront のオリジンに Amazon S3 バケットを使用する方法 – サーバーワークスエンジニアブログ

---

Public Accessの検出/禁止 †

• 記事
  • ブロックパブリックアクセスをオンにした S3 バケットに CloudFront 経由でアクセスできなくなった時の対処方法 | Developers.IO
  • ブロックパブリックアクセスを有効にする前に問題ないか確認したい | Developers.IO

---

マルチバイトのオブジェクト名 †

S3のオブジェクト名にマルチバイト文字を使うのは止めた方が良い。
macOSでアップロードすると、Windows/Linuxでは別のファイル名として扱われる。

Unicode正規化方法:

• NFC
  • Windows, Linux
• NFD
  • macOS

• 記事
  • S3上のマルチバイトファイル名でハマった話 ｜ Developers.IO

---

バージョニング: 履歴管理 †

• バージョニングの使用 - Amazon Simple Storage Service
  • lifecycleを設定して、○日経過した古い履歴は削除した方が良い。コストがかかる。

• 記事
  • S3で誤って削除してしまったオブジェクトを過去VersionからAWS CLIで復旧 | Developers.IO
  • バージョニングされたS3バケットのオブジェクトを削除してみる ｜ Developers.IO

• objectのバージョン一覧。削除されたオブジェクトは、DeleteMarkersが付くようだ。
  • IsLatest: 最新かどうか

    PROFILE=example
    BUCKET=bucket
    
    aws s3api list-object-versions \
     --bucket $BUCKET \
     --profile $PROFILE
    
    {
        "DeleteMarkers": [
            {
                "Owner": {
                    "DisplayName": "hoge",
                    "ID": "*****"
                },
                "IsLatest": true,
                "VersionId": "****",
                "Key": "example/example.txt",
                "LastModified": "2020-03-25T08:48:10.000Z"
            },

• objectの復元。DeleteMarkersから消す = 復元のようだ。

  PROFILE=example
  BUCKET=bucket
  VERID=****
  KEY=example/example.txt
  
  aws s3api delete-object \
   --bucket $BUCKET \
   --version-id $VERID \
   --key $KEY \
   --profile $PROFILE

---

オンプレミス環境からのS3アクセス †

• 記事
  • [AWS Transit Gateway] マネージドサービスだけでオンプレミスからS3にプライベートアクセスしたい！ ｜ Developers.IO

---

料金削減 †

• 記事
  • 新機能- Intelligent TieringによるAmazon S3の自動的なコスト最適化 | Amazon Web Services ブログ
  • S3の利用料金を損してるかも？安心して利用するための設定をしましょう ｜ Developers.IO

• multipart-uploadsが残っている件数。巨大なファイルの転送が中断したりした場合、multipartの残骸が残りっぱなしになる。

  AWS_PROFILE=example
  AWS_REGION=ap-northeast-1
  S3_BUCKET=example-bucket
  aws s3api list-multipart-uploads --bucket $S3_BUCKET --profile $AWS_PROFILE --region $AWS_REGION --query 'length(Uploads)'

---

S3 Access Points: bucketに対して、アクセスポイント名でアクセスする †

https://[access_point_name]-[accountID].s3-accesspoint.[region].amazonaws.com

• 記事
  • [[re:Invent 2019] [小ネタ]「S3 Access Points」検証後のゴミ掃除 #reinvent ｜ Developers.IO](https://dev.classmethod.jp/cloud/aws/s3_accesspoint_after/)
  • [S3 Access Points]S3バケットのエンドポイントを作成しセキュリティレベルを分ける #reinvent ｜ Developers.IO
  • [S3 Access Points]S3バケットアクセスをVPC内に制限する #reinvent ｜ Developers.IO
  • Amazon S3 Access Points で共有データセットの管理が簡単に | Amazon Web Services ブログ

---

コスト削減 †

S3自体のコストはEC2と較べたら安いが、容量が貯まるとバカにできないくらいの金額になる。

• 記事
  • [アップデート] S3 Intelligent-TieringでArchive階層が追加されました！ | Developers.IO
  • [レポート] STG240: Amazon S3のコストを最適化するためのガイドラインと設計パターン #reinvent ｜ Developers.IO

---

削除保護 †

• ポリシーでのアクセス許可の指定 - Amazon Simple Storage Service

• S3 bucket policy: delete操作を一切禁止する。tag, policy, versionの削除操作もできない。

  {
      "Version": "2012-10-17",
      "Id": "Policy1574220010459",
      "Statement": [
          {
              "Sid": "DenyDeleteOperation",
              "Effect": "Deny",
              "Principal": "*",
              "Action": "s3:Delete*",
              "Resource": [
                  "arn:aws:s3:::my-bucket",
                  "arn:aws:s3:::my-bucket/*"
              ]
          }
      ]
  }

• DeleteBucket, DeleteObjectだけを禁止。tag, policy, versionの削除は出来る

  {
      "Version": "2012-10-17",
      "Id": "Policy1574220010459",
      "Statement": [
          {
              "Sid": "DenyDeleteBucket",
              "Effect": "Deny",
              "Principal": "*",
              "Action": [
                  "s3:DeleteBucket"
              ],
              "Resource": [
                  "arn:aws:s3:::my-bucket"
              ]
          },
          {
              "Sid": "DenyDeleteObject",
              "Effect": "Deny",
              "Principal": "*",
              "Action": [
                  "s3:DeleteObject"
              ],
              "Resource": [
                  "arn:aws:s3:::my-bucket/*"
              ]
          }
      ]
  }

• バージョニングの機能としてロック、MFA deleteがある

• 記事
  • S3オブジェクトのロック（なにをどうやっても改竄削除が不可）がリリースされました！ #reinvent ｜ Developers.IO
  • Amazon S3 MFA Deleteでファイル削除を保護する ｜ Developers.IO

---

バケット間レプリケーション †

• レプリケーション - Amazon Simple Storage Service
  • クロスリージョンレプリケーション
  • 同一リージョンレプリケーション
  • 既存オブジェクトはサポートから依頼する必要がある

• 記事
  • S3 sync と S3 レプリケーションでオブジェクトコピーした時の S3 イベントの違いについて調べてみた | Developers.IO
  • いつの間に！？既存オブジェクトを S3 レプリケーション出来るようになっていた！ ｜ Developers.IO
  • S3 複製更新：複製 SLA、メトリック、およびイベント | Amazon Web Services ブログ
  • [アップデート] 同一リージョン内でS3バケットのレプリケーションが出来るようになりました！ ｜ DevelopersIO

---

マルチパートアップロード †

• マルチパートアップロードの概要 - Amazon Simple Storage Service
  • 1 オブジェクトのサイズ上限 5TB
  • 1 PUTの上限 5GB. 100 MB 以上のアップロードはマルチパートアップロード推奨。

• awscliのcp, syncは自動的にマルチパートアップロードが使われる。
  • Amazon S3 マルチパートアップロード CLI
  • 途中で中断すると、転送中のファイルが残り、課金されるの注意。

    # マルチパートアップロードの確認
    aws s3api list-multipart-uploads --bucket example-bucket --profile example
    
    # 明らかにInitiated古いファイルがあれば削除
    aws s3api abort-multipart-upload \
    --profile example \
    --bucket example-bucket \
    --key <object path> \
    --upload-id <long id>

特定IAM userのみに許可 †

• 記事
  • S3初心者向け『例 1: バケット所有者がユーザーにバケットのアクセス許可を付与』をやってみた ｜ DevelopersIO

---

Bucket Policy †

• 記事
  • ユーザーポリシーを使用したS3バケットへのアクセスコントロールを公式チュートリアルで理解する | Developers.IO
  • S3のバケットポリシーでハマったので、S3へのアクセスを許可するPrincipalの設定を整理する ｜ DevelopersIO
  • S3バケットポリシーの具体例で学ぶAWSのPolicyドキュメント ｜ DevelopersIO

---

MalformedPolicy: Invalid principal in policy †

• Amazon S3 の「Invalid principal in policy」エラーを解決する
  • principal, resourceどちらにエラーがあるかわからない。エラーメッセージは「principal」でも「resource」に問題がある事があった。

• 例1: example1 bucketのbucket policyに、example2 bucketを入れると「Invalid principal in policy」になる。対策：example2を消す。

        "Resource": [
          "arn:aws:s3:::example1/*",
          "arn:aws:s3:::example2/*"
        ],

---

リダイレクト †

• 記事
  • Route 53 + CloudFront + S3でZoneApexへのHTTP/HTTPSリクエストをリダイレクトする ｜ DevelopersIO

---

S3 Batch Operations: 多数のオブジェクトを対象にバッチジョブの実行 †

• バッチオペレーションの実行 - Amazon Simple Storage Service

• 別AWSアカウントへのコピーの場合、出力先s3 bucketの設定によって失敗する
  • BucketOwnerPreferred: コピー時の指定で、出力先AWSアカウントの正規ユーザーIDを指定すると、コピー後にコピー先AWSアカウントで見えるようになる。
  • BucketOwnerEnforced: ACLの設定変更が無効なので失敗する。bucket policyは設定できる

1. S3 inventoryで対象のobjectを絞ったmanifest, csvファイルを作る。prefixは指定できるが一つまでなので、複数のprefixがある場合は複数回実行。
2. S3 batch operation用のIAM roleを作り、src, dest, report用s3 bucketへのアクセスを許可する
3. S3 batch operationでs3 inventoryで作成したmanifest, csvファイルを指定して実孝
4. report用bucketに結果が残る

• 記事
  • S3 Batch Operations によるクロスアカウントファイルコピーにおけるエラーとその対応 | DevelopersIO
  • 複数のS3のオブジェクトをまとめて一括処理！Amazon S3 Batch Operationsを試してみた ｜ DevelopersIO

---

サーバレスでブラウザからs3へのファイルアップロード †

• ブラウザから Amazon S3 への写真のアップロード - AWS SDK for JavaScript

• 記事
  • ブラウザ(JavaScript)からのAmazon S3へのアップロードの環境をCloudFormationでサクッと作ってみた。 ｜ DevelopersIO

---

Presigned URL: 有効期限付URLの発行 †

• 記事
  • S3の署名付きURLでアップロードしたオブジェクトにメタデータをセットする方法 ｜ Developers.IO
  • S3に直接アップロード可能なPre-Signed URLをLambdaで作ってみる ｜ DevelopersIO
  • [AWS]S3の期限付きURLを生成する[node] ｜ Developers.IO

---

2020-09-30日以降、パス形式での S3 APIリクエスト廃止 †

• 2020年10月1日以降に作成したs3 bucketが対象になった。
  • Amazon S3 path-style 廃止予定 – それから先の話 – | Amazon Web Services ブログ
  • 旧s3 bucketはパス形式でアクセスできる。
  • 新機能はパス形式には非対応。

• S3 Bucket名にドット、大文字、アンダースコア等が含まれている場合、httpでアクセスできなくなる。新規bucketへの移行が必要。
  • AWS Developer Forums: Amazon S3 will no longer support path-style API requests starting September 30th, 2020

• NG:

  http://s3.amazonaws.com/<bucket> # us-east-1のみ
  http://<region>.amazonaws.com/<bucket>　

• OK:

  http://<bucket>.s3.amazonaws.com
  http://<bucket>.s3-ap-northeast-1.amazonaws.com

• 記事
  • 2020年9月30日以前に作成済みの S3 バケットはパス形式廃止対象から除外されました ｜ DevelopersIO
  • 【注意喚起】 2020年9月30日以降、パス形式での S3 API リクエストは受け付けられなくなります。 ｜ DevelopersIO

---

S3 Select/Glacier Select: SQLでバケット上のCSV/JSON/Apache Parquet形式を集計 †

• select-object-content — AWS CLI 1.16.132 Command Reference
  • aws cli, AWS SDK, lambda等から利用可能。
  • 似た機能にAthenaがあるが、限定された条件下ではAthenaより手軽に使える。
  • gzip対応

• Amazon S3 Select および Glacier Select の SQL リファレンスです。 - Amazon Simple Storage Service

• 記事
  • S3 Selectを使う際は”s3:ListBucket”権限も付与したほうが良いですよ | Developers.IO
  • Amazon S3 Select を使用して、サーバーまたはデータベースなしでデータをクエリする | Amazon Web Services ブログ
  • Amazon Athena: カラムナフォーマット『Parquet』でクエリを試してみた #reinvent ｜ DevelopersIO
  • [小ネタ] S3 SelectでCSVの列名に特殊文字が入っている場合 ｜ DevelopersIO
  • S3 SELECTのパターンとLambda実行時間を調べてみた（CSV、JSON、GZIP圧縮の有無） ｜ DevelopersIO
  • S3 Select の機能を awscli から使ってみた - tkaaad97’s diary

• s3上にS3 selectの仕様を満たしたcsvをgzip圧縮して置いておく

  s3://<bucket>/<prefix>/id=<id>/year=<year>/month=<month>/day=<day>/<id>.<host>.<timestamp>.csv.gz

• awscliの場合
  • AllowQuotedRecordDelimiter=True: カラムに改行が含まれている場合、Trueにしないとエラーが出る
  • QuoteFields=ALWAYS: 出力時に必ずダブルクオートで囲む

• s3-select.sh

  main(){
      local prefix=${1:-}
      local id=${2:-}
      local year=${3:-}
      local month=${4:-}
      local day=${5:-}
      local sql=${6:-"select count(*) from s3object s"}
  
      if [ "$prefix" != "" ]; then
          prefix="${prefix}/"
      fi
  
      local keys=$(
      aws s3 ls \
      "s3://${S3_BUCKET}/${prefix}id=${id}/year=${year}/month=${month}/day=${day}/" \
      --profile $AWS_PROFILE \
      --output text \
      | awk '{print $4;}'
      )
  
      local tmpfile="${BASENAME}.$$.tmp"
      for key in $keys; do
          aws s3api select-object-content \
          --bucket "${S3_BUCKET}" \
          --key "${prefix}id=${id}/year=${year}/month=${month}/day=${day}/${key}" \
          --input-serialization 'CSV={FileHeaderInfo=USE,AllowQuotedRecordDelimiter=True},CompressionType=GZIP' \
          --output-serialization 'CSV={QuoteFields=ALWAYS}' \
          --expression "${sql}" \
          --expression-type SQL \
          "$tmpfile" \
          --profile $AWS_PROFILE \
  
          if [ -f "$tmpfile" ]; then
              cat "$tmpfile"
              rm "$tmpfile"
          fi
      done
  }

---

署名アルゴリズムv2の廃止と、v4への移行 †

• リージョンによっては、v4しか既に受け付けない。Mumbai等
• 最新のAWS SDKは大丈夫だが、古いSDKや独自実装しているツール系が動かなくなるため更新が必要。

• Amazon S3 アップデート — SigV2 の廃止時期、延期と変更 | Amazon Web Services ブログ

  改訂されたプラン — 2020年6月24日以降に作成された新しいバケットは SigV2 署名付きリクエストはサポートされません。ただし、既存のバケットについて引き続き SigV2 がサポートされますが、我々はお客様が古いリクエスト署名方法から移行するよう働きかけます。

• Amazon S3 における AWS 署名バージョン 2 の廃止

• 記事
  • S3への署名バージョン2を使用したアクセスをCloudTrail、CloudWatch Events、CloudWatch Logsでロギングしてみた ｜ DevelopersIO
  • S3署名バージョン2廃止で「コード変更」が必要な時の対応 ｜ DevelopersIO
  • S3署名バージョン2廃止を受け「どうしたものか…」と困っている方へ！まずは気になる対象を確認してみましょう。 ｜ DevelopersIO
  • 廃止予定のS3署名バージョン2によるアクセスを調査する方法まとめ ｜ DevelopersIO
  • 【Amazon S3を利用しているすべての人が安心して2019/06/24を迎えるために】CloudTrailとAthenaを用いたS3の署名バージョンの確認方法 ｜ DevelopersIO
  • S3のサーバアクセスログで署名バージョンの確認ができるようになりました ｜ DevelopersIO
  • 【超重要】対応しないと使えなくなるかも？！今、全S3ユーザがチェックすべき署名バージョン２の廃止について ｜ DevelopersIO
  • 署名バージョン4専用のS3エンドポイントを古いCLIで試してみた ｜ DevelopersIO
  • 廃止予定のS3署名バージョン2API利用をCloudWatchEventで検出してみた ｜ DevelopersIO

---

ストレージクラスとライフサイクル †

ログを保存するS3 bucketはそのままだと、保存容量が増え続けて、月額費用も上がり続けるためライフサイクルを設定したほうが良い。

• ストレージクラス - Amazon Simple Storage Service
• ライフサイクル設定の例 - Amazon Simple Storage Service

• 記事
  • 期間制約を考慮したS3ストレージクラスのライフサイクル設定
  • [アップデート]Amazon S3 Glacier Flexible Retrieval でデータの復元時間が最大 85% 短縮されました | DevelopersIO
  • 6つのS3ストレージクラスの選択に迷った時みるチャートをつくってみた | DevelopersIO
  • S3 のライフサイクルポリシー以外で削除させないようにして経過を見守る – サーバーワークスエンジニアブログ
  • プレフィックス指定したS3ライフサイクルルールの動作を確認してみた | Developers.IO
  • 新機能- Intelligent TieringによるAmazon S3の自動的なコスト最適化 | Amazon Web Services ブログ 30日以上利用、128KB以上のファイルの場合、ログの保存用に良いかも。
  • AWS CLIからS3ストレージクラスを操作する ｜ Developers.IO

• 例: ログ保存用のバケットのlifecycleの場合
  • AbortIncompleteMultipartUpload を7日に設定
  • 30日経過後、STANDARD_IA へ移動(オブジェクトサイズ128KB、最低利用30日)
  • 90日経過後、GLACIER へ移動(最低利用90日。再取得するには、3〜5時間かかる)
  • 365日経過後、削除

---

S3+CloudFrontの静的サイトにアクセス制限を付ける †

ALB + S3: ALBで認証を付ける

• ALBからS3コンテンツを配信してみた | DevelopersIO

OIDC 準拠 IdP認証: ALBのユーザ認証 + Lambdaを使って、外部でユーザ認証を行う

• S3 + CloudFrontのサイトを署名付きCookieでアクセス制限する - Qiita
• Application Load Balancer を使用してユーザーを認証する - Elastic Load Balancing

CloudFrontで制限:

• 複数オブジェクトの場合は 署名付きCookie。ただ、Lambdaやcurl等のプログラムでcookieを設定する必要がある。
• CloudFrontの署名付きCookieでプライベートコンテンツの配信 | DevelopersIO
• 署名付き URL と署名付き Cookie を使用したプライベートコンテンツの提供 - Amazon CloudFront

IP制限:

• WAF + CloudFront + S3
• CloudFront + S3 での IP アドレスベースのアクセス制限を設定する静的なサイトを構築 - Qiita

Basic認証:

• user/passwordの管理が必要。Lambdaコードに埋め込むのは保守が大変なので避けたい。
• CloudFront + Lambda@Edge + SecretsManagerでBasic認証 | AWSやシステム・アプリ開発の最新情報｜クロスパワーブログ

cognitoでユーザ管理自体を行う:

• AWSを利用した会員サイトをサーバーレスで実装しました - Qiita

• その他

---

web hosting: 静的サイト †

S3単体でweb hostingできるが、https非対応等の制限がある。
CloudFrontやWAFと組みあわせで出来る事が広がる。

• Amazon S3 での静的ウェブサイトのホスティング - Amazon Simple Storage Service

  Amazon S3 ウェブサイトエンドポイントは HTTPS をサポートしていません。Amazon S3 バケットで HTTPS を使用する方法については、「CloudFront を使用して Amazon S3 バケットに HTTPS リクエストを提供するには、どうすればよいですか?」と「CloudFront と Amazon S3 オリジンとの通信で HTTPS を必須にする」を参照してください。

• S3単体
  • http対応

    http://<bucket name>.s3-website-<region name>.amazonaws.com/<file path>

  • AWSのSSL証明書を使ったhttpsアクセス。

    https://<bucket name>.s3-website-<region name>.amazonaws.com/<file path>

    • AWSのSSL証明書は「*.s3-website-<region name>.amazonaws.com」なので、S3 Bucket名に".", "_"等のドメイン名に使えない文字が入るとアクセスできない。
    • ウェブサイトエンドポイントはhttps非対応
  • カスタムドメイン
    • ドメインと同名のS3 Bucketが必要。www.example.com, example.com の場合は2つ。
  • IP制限
    • S3 bucket policyで設定

• S3 + CloudFront
  • https対応
  • カスタムドメイン

• S3 + CloudFront + WAF
  • https対応
  • カスタムドメイン
  • IP制限
    • WAFで設定

• 記事
  • [NEW] CloudFrontからS3への新たなアクセス制御方法としてOrigin Access Control (OAC)が発表されました！ | DevelopersIO
  • 【Terraform】CloudFront から S3 へのアクセス制御に Origin Access Control を利用する

• Amazon S3 + Amazon CloudFrontでWebサイトを構築する際にS3静的Webサイトホスティングを採用する理由 | Developers.IO
• Amazon S3 静的サイトホスティングに対して、ワイルドカードによる DNS レコードは使わないでください ｜ Developers.IO

1. Route53で名前解決
   • 例：https://my-s3-bucket.example.com/
2. CloudFront
   • WAFでIP制限
     • Allow: 許可IPリスト
     • Deny: all
   • ACMにSSL証明書をインポート
     • SSL: *.example.com
   • Aliasを設定
     • my-s3-bucket.example.com
3. S3で静的ファイル配信
   • s3://my-s3-bucket/
   • ACLはPrivateで、web hostingは使用しない。

---

S3対応クライアント †

• AWS コマンドラインインターフェイス（CLI - AWS サービスの制御・管理）｜AWS 公式CLIなので全ての機能が使える。まずはコレで検証。

• WinSCP:Download オープンソース。GUI。v5.13以降でS3に対応。言語ファイル追加で日本語UI対応
  • 接続時にバケット名の指定ができないため、"s3:ListAllMyBuckets"権限が必要。

• Amazon S3 Storage Tools and Clients Linux。IAM Policy:"s3:GetObject","s3:ListBucket"
  • cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: s3cmdでmultipartオプションを利用してs3へアップロード
  • s3cmdを使うなら最新版(1.1.0-beta2 )を使いましょう。 - DQNEO起業日記
  • syncのデフォルトではローカルから削除されても、リモートは削除しない

    # ローカルが削除されたら、リモートも削除する場合
    -s3cmd sync --delete-removed /path/to/ s3:/BUCKET/path/to/

  • バケットサイズの表示はbyte単位だが"-H" で"k, M, G"等の人間が読みやすい表示になる

    s3cmd -H du s3://com.example.test
    33k      s3://com.example.test/

• Cyberduck オープンソース。Windows/Mac対応。v5.4.4でパスを指定できるため"s3:ListAllMyBuckets"権限が不要になった。
  • CyberduckでS3にファイルをアップロードする時の注意点 – サーバーワークスエンジニアブログ アップロードされるファイルの権限がデフォルトでEveryoneもread可能になるので注意。
• Review of Amazon S3 Clients - Manage Your S3 Storage with a Visual Interface ツール比較
• S3Hub MacOSX用。フリー。IAM Policy:"s3:GetObject","s3:ListBucket"
• DragonDisk S3, Google Cloud Storage他対応。フリーウェア。Windows/MacOSX/Linux。"s3:ListAllMyBuckets"権限が必須。dgsyncツールで同期ができる。
  • cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: S3フロントエンドのDragonDiskの設定方法
  • Amazon S3のクライアント「DragonDisk」に付属の「dgsync」が便利な件 東京データネットワーク エンジニアブログ
• CloudBerry Explorer for Amazon S3 Windows対応。フリーウェア。S3とGlacier連携してRESTOREする機能はPro版ライセンス($39.99)が必要。IAM Policy:"s3:GetObject","s3:ListBucket"
• S3 Browser S3/CloudFront対応。Windowsクライアント。シェアウェア。2アカウントまで無料で使える。ETag他プロパティも見れる。IAM Policy:"s3:GetObject","s3:ListBucket"
• S3Fox Organizer(S3Fox) Firefoxプラグイン。フリーソフト。Firefox 3.5まで正常動作確認。更新されていないため、新しいFirefoxでは動作しない機能がある(ACL等)。IAM Policy:"s3:GetObject","s3:ListBucket"
  • 2012-08-03現在 Firefox 14.0.1で初回「Runtime Error」が出るが2回目はOK

• 制限
  • バケットの制約と制限 - Amazon Simple Storage Service 1アカウント100バケットまで。バケット名3〜63文字

---

Windowsでエクスプローラから参照 †

• S3 Drive | Map S3 Storage as a Local Drive | nsoftware
  • 2020-09現在、beta版。無償で試用可能。read限定。

• 記事
  • S3 Driveを使って、WindowsエクスプローラでS3ファイルを快適にドラッグ＆ドロップ！ | Developers.IO

---

linuxファイルシステムとしてマウント †

• Mountpoint for Amazon S3 – Generally Available and Ready for Production Workloads | AWS News Blog
  • AWS公式としてリリースされた

• 記事
  • Mountpoint for Amazon S3でS3バケットをマウントしたEC2インスタンスをSFTPサーバーとして動作させてみた | DevelopersIO

• [ストレスレスへ]S3操作の効率化を図るため、goofysでのマウント・アンマウント手続きを抑えてみた ｜ DevelopersIO
• s3fsよりも高速に使えるgoofysを試してみた ｜ Developers.IO

---

s3cmdで"ERROR: S3 error: The provided security credentials are not valid." †

• Cloudian使用時に発生する S3互換のストレージサービス

  s3cmd ls s3://bucket-name
  ERROR: S3 error: The provided security credentials are not valid.

• 解決

  echo "signature_v2 = True" >> ~/.s3cfg

---

s3cmdで"WARNING: Redirected to..." †

• エラー

  s3cmd ls s3://com.example.www/
  WARNING: Redirected to: com.example.www.s3-us-west-2.amazonaws.com

• 修正

  vim ~/.s3cfg
  ----
  bucket_location = us-west-2
  host_base = s3-us-west-2.amazonaws.com
  host_bucket = %(bucket)s.s3-us-west-2.amazonaws.com
  simpledb_host = sdb.us-west-2.amazonaws.com
  ----

---

S3のSSL証明書エラーの回避 †

• 記事
  • cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: AWS SDK for PHPのS3関係のメソッドで証明書関係のエラー対策

• S3のSSL証明書は'*.s3.amazonaws.com'のため、バケット名に「.」が含まれると証明書エラーになる

  cURL error: SSL: certificate subject name '*.s3.amazonaws.com' does not match target host name 'com.example.www.s3.amazonaws.com'

• 回避方法
  • S3バケット名に"."を使わない。バケットの制約と制限 - Amazon Simple Storage Service
  • SSLを使わず、httpで通信すれば解消する

    $s3->use_ssl = false; // SSLを使わない

  • メソッドによっては、cURLのオプションでSSL証明書のチェックをしない

    $ret = $s3->list_buckets ( array(
        "curlopts" => array(CURLOPT_SSL_VERIFYPEER => false),
    ) );

---

バケット毎にオブジェクトの有効期限(自動削除) †

• 記事
  • Amazon Web Services ブログ: 【AWS発表】 Amazon S3の有効期限機能の発表
  • memorycraft: S3ってなんじゃ？（オブジェクトの自動削除の設定）
  • Amazon S3でオブジェクトの有効期限を設定できるようになりました ｜ Developers.IO

• バケット毎に100個までルールを追加できる
• prefix: 削除対象のバケット名を除いたフルパスの前方一致を指定。ワイルドカードや正規表現は指定できない。指定しなければ全オブジェクトが対象
  • 同じパスを含むprefixは指定できない。例：「logs/」「logs/2013」
• 一定期間をすぎたオブジェクトをGlacierに移動もできる

• 例：com.example.wwwバケットの「group01/logs」以下を対象に、作成日から7日経過したオブジェクトを消したい

  \---com.example.www
      \---group01
          \---logs
              \---2013
                  \---01
                      +---01
                      |   +---server01
                      |   |       message.log
                      |   |       
                      |   \---server02
                      |           message.log
                      |           
                      \---02
                          +---server01
                          |       message.log
                          |       
                          \---server02
                                  message.log

1. 対象バケットを選択して右クリック > Properties > Lifecycle
2. Add rule
   • Enabled: チェック
   • Name: delete logs(適当)
   • Prefix: group01/logs/
   • Time Period Format: Days from the creation date (オブジェクトの生成日) または Effective from date(任意の日)
   • Expiration: 7 days (7日すぎたら削除)
3. Save
4. 確認
   • Manegement Console: message.log の Propertiesに「Expiry Date: Thu Dec 06 09:00:00 GMT+900 2012」
   • ObjectをGET/HEADしたときのHTTP Headers に「x-amz-expiration: expiry-date="Thu, 06 Dec 2012 00:00:00 GMT", rule-id="delete logs"」

---

別アカウントに許可する †

• 以前はS3FoxでEdit ACL > Share > With UserID でAWSアカウントID(数字の羅列)を入力すれば良かったがエラー「Undefined」になる(2012-11-14現在)
  ただし、一度ManegementConsoleで設定すればRead/Write個別に設定できる

• AWSアカウント user1@example.com の com.example.user1 バケットを AWSアカウント user2@example.com(AWSアカウント番号：123456789012) と共有する例

1. user1でAWS Manegement Consoleにログイン
2. S3 > com.example.user1 > properties
3. Permissions Tab > Edit bucket policy

   {
     "Id": "Policy0000000000000",
     "Statement": [
       {
         "Sid": "Stmt1000000000000",
         "Effect": "Allow",
         "Principal": {
           "AWS": [
             "arn:aws:iam::123456789012:user/iam-user-name"
           ]
         },
         "Action": [
           "s3:GetObject",
           "s3:ListBucket"
         ],
         "Resource": [
           "arn:aws:s3:::com.com.example.user1",
           "arn:aws:s3:::com.com.example.user1/*"
         ]
       }
     ]
   }

4. Save

• 以下ではListBucketは成功するが、GetObjectが成功せず

1. Add more permissions に「user2@example.com」を入力
2. Grantee: user2@example.com / List,Upload/Delete 等にチェック
3. Save

---

s3://bucket/iam-user/ 以下だけを許可する †

• 記事
  • IAMユーザーにS3のそのIAMユーザー名ディレクトリのみアクセスを許可したい – サーバーワークスエンジニアブログ

---

特定バケットのみ許可 †

• 記事
  • 「S3コンソールのバケットリストで許可したバケットのみ表示させたい」ときの代替案 ｜ Developers.IO
  • 特定S3バケットに対してのみアクセスを許可したい – サーバーワークスエンジニアブログ
• com.example.test バケットだけアクセス許可。ディレクトリとその配下の2つを指定

  {
    "Statement": [
      {
        "Effect": "Allow",
        "Action": "s3:*",
        "Resource":[
          "arn:aws:s3:::com.example.test",
          "arn:aws:s3:::com.example.test/*",
        ]
      }
    ]
  }

• さらに "hoge/*" 以下だけ許可。以下の書き方では"hoge"にはマッチしない。StringLikeは"s3:ListBucket"他特定メソッドにだけ使える

  {
    "Statement": [
      {
        "Sid": "Stmt0000000000001",
        "Action": [
          "s3:ListBucket"
        ],
        "Effect": "Allow",
        "Resource": [
          "arn:aws:s3:::com.example.test",
          "arn:aws:s3:::com.example.test/*"
        ],
        "Condition": {
          "StringLike": {
            "s3:prefix": [ "hoge/*"]
          }
        }
      },
      {
        "Sid": "Stmt0000000000002",
        "Action": [
          "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
          "arn:aws:s3:::com.example.test/hoge/*"
        ]
      },
    ]
  }

Software

• 自作ソフト
• wiki自作プラグイン
• 利用規定
• ランキング
• 雑誌等掲載履歴

Programming

Game

雑記

連絡先

---

• MenuBar
• RightBar
• :admin
  

人気の10件

最新の10件

---