S3(Simple Storage Service) †

• Element Descriptions Version, Statement, Sid, Effect, Principal, Action, NotAction, Resource, NotResource, Condition, This section describ

• 記事
  • [AWS]S3の期限付きURLを生成する[node] ｜ Developers.IO
  • Amazon Web Services ブログ: Amazon S3のパフォーマンスをあげるコツ
  • サイトを Amazon S3 に移行しました - WebOS Goodies 静的サイトの例
  • Using IAM Policies - Amazon Simple Storage Service

---

SELECT: SQLでバケット上のCSV/JSONを集計 †

select-object-content — AWS CLI 1.16.132 Command Reference, AWS SDK, lambda等から利用可能。
似た機能にAthenaがあるが、限定された条件下では手軽に使える。

• Amazon S3 Select および Glacier Select の SQL リファレンスです。 - Amazon Simple Storage Service

• 記事
  • [小ネタ] S3 SelectでCSVの列名に特殊文字が入っている場合 ｜ DevelopersIO
  • S3 SELECTのパターンとLambda実行時間を調べてみた（CSV、JSON、GZIP圧縮の有無） ｜ DevelopersIO
  • S3 Select の機能を awscli から使ってみた - tkaaad97’s diary

---

署名アルゴリズムv2の廃止と、v4への移行 †

• Amazon S3 における AWS 署名バージョン 2 の廃止

  Amazon S3 における署名バージョン 2 は廃止され、署名バージョン 2 の最終サポートは 2019 年 6 月 24 日に終了します。2019 年 6 月 24 日以降、Amazon S3 は署名バージョン 4 を使用して署名された API リクエストのみを受けつけます。

• リージョンによっては、v4しか既に受け付けない。Mumbai等
• 最新のAWS SDKは大丈夫だが、古いSDKや独自実装しているツール系が動かなくなるため更新が必要。

• 記事
  • S3署名バージョン2廃止で「コード変更」が必要な時の対応 ｜ DevelopersIO
  • S3署名バージョン2廃止を受け「どうしたものか…」と困っている方へ！まずは気になる対象を確認してみましょう。 ｜ DevelopersIO
  • 廃止予定のS3署名バージョン2によるアクセスを調査する方法まとめ ｜ DevelopersIO
  • 【Amazon S3を利用しているすべての人が安心して2019/06/24を迎えるために】CloudTrailとAthenaを用いたS3の署名バージョンの確認方法 ｜ DevelopersIO
  • S3のサーバアクセスログで署名バージョンの確認ができるようになりました ｜ DevelopersIO
  • 【超重要】対応しないと使えなくなるかも？！今、全S3ユーザがチェックすべき署名バージョン２の廃止について ｜ DevelopersIO
  • 署名バージョン4専用のS3エンドポイントを古いCLIで試してみた ｜ DevelopersIO
  • 廃止予定のS3署名バージョン2API利用をCloudWatchEventで検出してみた ｜ DevelopersIO

---

ストレージクラスとライフサイクル †

ログを保存するS3 bucketはそのままだと、保存容量が増え続けて、月額費用も上がり続けるためライフサイクルを設定したほうが良い。

• ストレージクラス - Amazon Simple Storage Service
• ライフサイクル設定の例 - Amazon Simple Storage Service

• 記事 新機能- Intelligent TieringによるAmazon S3の自動的なコスト最適化 | Amazon Web Services ブログ 30日以上利用、128KB以上のファイルの場合、ログの保存用に良いかも。
  • AWS CLIからS3ストレージクラスを操作する ｜ Developers.IO

• 例: ログ保存用のバケットのlifecycleの場合
  • AbortIncompleteMultipartUpload を7日に設定
  • 30日経過後、STANDARD_IA へ移動(オブジェクトサイズ128KB、最低利用30日)
  • 90日経過後、GLACIER へ移動(最低利用90日。再取得するには、3〜5時間かかる)
  • 365日経過後、削除

---

S3ベースでカスタムドメイン、SSL、IP制限 †

S3 Web hostingでは、SSLやIP制限は可能だが、カスタムドメインの設定ができない。
CloudFront経由だとカスタムドメイン設定が出来る。WAFでIP制限を行う。

• 記事
  • CloudFront + S3 での IP アドレスベースのアクセス制限を設定する静的なサイトを構築 - Qiita

1. Route53で名前解決
   • 例：https://my-s3-bucket.example.com/
2. CloudFront
   • WAFでIP制限
     • Allow: 許可IPリスト
     • Deny: all
   • ACMにSSL証明書をインポート
     • SSL: *.example.com
   • Aliasを設定
     • my-s3-bucket.example.com
3. S3で静的ファイル配信
   • s3://my-s3-bucket/
   • ACLはPrivateで、web hostingは使用しない。

---

S3対応ツール †

• AWS コマンドラインインターフェイス（CLI - AWS サービスの制御・管理）｜AWS 公式CLIなので全ての機能が使える。まずはコレで検証。

• WinSCP:Download オープンソース。GUI。v5.13以降でS3に対応。言語ファイル追加で日本語UI対応
  • 接続時にバケット名の指定ができないため、"s3:ListAllMyBuckets?"権限が必要。

• Amazon S3 Storage Tools and Clients Linux。IAM Policy:"s3:GetObject?","s3:ListBucket?"
  • cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: s3cmdでmultipartオプションを利用してs3へアップロード
  • s3cmdを使うなら最新版(1.1.0-beta2 )を使いましょう。 - DQNEO起業日記
  • syncのデフォルトではローカルから削除されても、リモートは削除しない

    # ローカルが削除されたら、リモートも削除する場合
    -s3cmd sync --delete-removed /path/to/ s3:/BUCKET/path/to/

  • バケットサイズの表示はbyte単位だが"-H" で"k, M, G"等の人間が読みやすい表示になる

    s3cmd -H du s3://com.example.test
    33k      s3://com.example.test/

• Cyberduck オープンソース。Windows/Mac対応。v5.4.4でパスを指定できるため"s3:ListAllMyBuckets?"権限が不要になった。
  • CyberduckでS3にファイルをアップロードする時の注意点 – サーバーワークスエンジニアブログ アップロードされるファイルの権限がデフォルトでEveryoneもread可能になるので注意。
• Review of Amazon S3 Clients - Manage Your S3 Storage with a Visual Interface ツール比較
• S3Hub MacOSX用。フリー。IAM Policy:"s3:GetObject?","s3:ListBucket?"
• DragonDisk S3, Google Cloud Storage他対応。フリーウェア。Windows/MacOSX/Linux。"s3:ListAllMyBuckets?"権限が必須。dgsyncツールで同期ができる。
  • cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: S3フロントエンドのDragonDiskの設定方法
  • Amazon S3のクライアント「DragonDisk」に付属の「dgsync」が便利な件 東京データネットワーク エンジニアブログ
• CloudBerry Explorer for Amazon S3 Windows対応。フリーウェア。S3とGlacier連携してRESTOREする機能はPro版ライセンス($39.99)が必要。IAM Policy:"s3:GetObject?","s3:ListBucket?"
• S3 Browser S3/CloudFront?対応。Windowsクライアント。シェアウェア。2アカウントまで無料で使える。ETag他プロパティも見れる。IAM Policy:"s3:GetObject?","s3:ListBucket?"
• S3Fox Organizer(S3Fox) Firefoxプラグイン。フリーソフト。Firefox 3.5まで正常動作確認。更新されていないため、新しいFirefoxでは動作しない機能がある(ACL等)。IAM Policy:"s3:GetObject?","s3:ListBucket?"
  • 2012-08-03現在 Firefox 14.0.1で初回「Runtime Error」が出るが2回目はOK

• 制限
  • バケットの制約と制限 - Amazon Simple Storage Service 1アカウント100バケットまで。バケット名3〜63文字

---

linuxファイルシステムとしてマウント †

• 記事
  • s3fsよりも高速に使えるgoofysを試してみた ｜ Developers.IO

---

S3でyumリポジトリ構築 †

• 必要な要素
  • [S3 WebHosting] rpmファイルを公開
  • createrepoコマンドでrpm metaデータ生成。EC2で行う？
  • [オプション] basic認証等も付けられる

• 記事
  • S3+Lambda+CloudFormationでサーバレスyumリポジトリ - so what

---

s3cmdで"ERROR: S3 error: The provided security credentials are not valid." †

• Cloudian使用時に発生する S3互換のストレージサービス

  s3cmd ls s3://bucekt-name
  ERROR: S3 error: The provided security credentials are not valid.

• 解決

  echo "signature_v2 = True" >> ~/.s3cfg

---

s3cmdで"WARNING: Redirected to..." †

• エラー

  s3cmd ls s3://com.example.www/
  WARNING: Redirected to: com.example.www.s3-us-west-2.amazonaws.com

• 修正

  vim ~/.s3cfg
  ----
  bucket_location = us-west-2
  host_base = s3-us-west-2.amazonaws.com
  host_bucket = %(bucket)s.s3-us-west-2.amazonaws.com
  simpledb_host = sdb.us-west-2.amazonaws.com
  ----

---

S3のSSL証明書エラーの回避 †

• 記事
  • cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: AWS SDK for PHPのS3関係のメソッドで証明書関係のエラー対策

• S3のSSL証明書は'*.s3.amazonaws.com'のため、バケット名に「.」が含まれると証明書エラーになる

  cURL error: SSL: certificate subject name '*.s3.amazonaws.com' does not match target host name 'com.example.www.s3.amazonaws.com'

• 回避方法
  • S3バケット名に"."を使わない。バケットの制約と制限 - Amazon Simple Storage Service
  • SSLを使わず、httpで通信すれば解消する

    $s3->use_ssl = false; // SSLを使わない

  • メソッドによっては、cURLのオプションでSSL証明書のチェックをしない

    $ret = $s3->list_buckets ( array(
        "curlopts" => array(CURLOPT_SSL_VERIFYPEER => false),
    ) );

---

バケット毎にオブジェクトの有効期限(自動削除) †

• 記事
  • Amazon Web Services ブログ: 【AWS発表】 Amazon S3の有効期限機能の発表
  • memorycraft: S3ってなんじゃ？（オブジェクトの自動削除の設定）
  • Amazon S3でオブジェクトの有効期限を設定できるようになりました ｜ Developers.IO

• バケット毎に100個までルールを追加できる
• prefix: 削除対象のバケット名を除いたフルパスの前方一致を指定。ワイルドカードや正規表現は指定できない。指定しなければ全オブジェクトが対象
  • 同じパスを含むprefixは指定できない。例：「logs/」「logs/2013」
• 一定期間をすぎたオブジェクトをGlacierに移動もできる

• 例：com.example.wwwバケットの「group01/logs」以下を対象に、作成日から7日経過したオブジェクトを消したい

  \---com.example.www
      \---group01
          \---logs
              \---2013
                  \---01
                      +---01
                      |   +---server01
                      |   |       message.log
                      |   |       
                      |   \---server02
                      |           message.log
                      |           
                      \---02
                          +---server01
                          |       message.log
                          |       
                          \---server02
                                  message.log

1. 対象バケットを選択して右クリック > Properties > Lifecycle
2. Add rule
   • Enabled: チェック
   • Name: delete logs(適当)
   • Prefix: group01/logs/
   • Time Period Format: Days from the creation date (オブジェクトの生成日) または Effective from date(任意の日)
   • Expiration: 7 days (7日すぎたら削除)
3. Save
4. 確認
   • Manegement Console: message.log の Propertiesに「Expiry Date: Thu Dec 06 09:00:00 GMT+900 2012」
   • ObjectをGET/HEADしたときのHTTP Headers に「x-amz-expiration: expiry-date="Thu, 06 Dec 2012 00:00:00 GMT", rule-id="delete logs"」

---

別アカウントに許可する †

• 以前はS3FoxでEdit ACL > Share > With UserID でAWSアカウントID(数字の羅列)を入力すれば良かったがエラー「Undefined」になる(2012-11-14現在)
  ただし、一度ManegementConsoleで設定すればRead/Write個別に設定できる

• AWSアカウント user1@example.com の com.example.user1 バケットを AWSアカウント user2@example.com(AWSアカウント番号：123456789012) と共有する例

1. user1でAWS Manegement Consoleにログイン
2. S3 > com.example.user1 > properties
3. Permissions Tab > Edit bucket policy

   {
     "Id": "Policy0000000000000",
     "Statement": [
       {
         "Sid": "Stmt1000000000000",
         "Effect": "Allow",
         "Principal": {
           "AWS": [
             "arn:aws:iam::123456789012:user/iam-user-name"
           ]
         },
         "Action": [
           "s3:GetObject",
           "s3:ListBucket"
         ],
         "Resource": [
           "arn:aws:s3:::com.com.example.user1",
           "arn:aws:s3:::com.com.example.user1/*"
         ]
       }
     ]
   }

4. Save

• 以下ではListBucketは成功するが、GetObjectが成功せず

1. Add more permissions に「user2@example.com」を入力
2. Grantee: user2@example.com / List,Upload/Delete 等にチェック
3. Save

---

特定バケットのみ許可 †

• 記事
  • 特定S3バケットに対してのみアクセスを許可したい – サーバーワークスエンジニアブログ
• com.example.test バケットだけアクセス許可。ディレクトリとその配下の2つを指定

  {
    "Statement": [
      {
        "Effect": "Allow",
        "Action": "s3:*",
        "Resource":[
          "arn:aws:s3:::com.example.test",
          "arn:aws:s3:::com.example.test/*",
        ]
      }
    ]
  }

• さらに "hoge/*" 以下だけ許可。以下の書き方では"hoge"にはマッチしない。StringLikeは"s3:ListBucket"他特定メソッドにだけ使える

  {
    "Statement": [
      {
        "Sid": "Stmt0000000000001",
        "Action": [
          "s3:ListBucket"
        ],
        "Effect": "Allow",
        "Resource": [
          "arn:aws:s3:::com.example.test",
          "arn:aws:s3:::com.example.test/*"
        ],
        "Condition": {
          "StringLike": {
            "s3:prefix": [ "hoge/*"]
          }
        }
      },
      {
        "Sid": "Stmt0000000000002",
        "Action": [
          "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
          "arn:aws:s3:::com.example.test/hoge/*"
        ]
      },
    ]
  }