Memo/AmazonWebServices/S3

S3(Simple Storage Service)

S3(Simple Storage Service) †

Element Descriptions Version, Statement, Sid, Effect, Principal, Action, NotAction, Resource, NotResource, Condition, This section describ

記事

削除保護 †

ポリシーでのアクセス許可の指定 - Amazon Simple Storage Service

S3 bucekt policy: delete操作を一切禁止する。tag, policy, versionの削除操作もできない。

{
    "Version": "2012-10-17",
    "Id": "Policy1574220010459",
    "Statement": [
        {
            "Sid": "DenyDeleteOperation",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:Delete*",
            "Resource": [
                "arn:aws:s3:::my-bucket",
                "arn:aws:s3:::my-bucket/*"
            ]
        }
    ]
}

DeleteBucket, DeleteObjectだけを禁止。tag, policy, versionの削除は出来る

{
    "Version": "2012-10-17",
    "Id": "Policy1574220010459",
    "Statement": [
        {
            "Sid": "DenyDeleteBucket",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:DeleteBucket"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket"
            ]
        },
        {
            "Sid": "DenyDeleteObject",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket/*"
            ]
        }
    ]
}

バージョニングの機能としてロック、MFA deleteがある

記事
- S3オブジェクトのロック（なにをどうやっても改竄削除が不可）がリリースされました！ #reinvent ｜ Developers.IO
- Amazon S3 MFA Deleteでファイル削除を保護する｜ Developers.IO

↑

バケット間レプリケーション †

レプリケーション - Amazon Simple Storage Service
- クロスリージョンレプリケーション
- 同一リージョンレプリケーション

記事
- S3 複製更新：複製 SLA、メトリック、およびイベント | Amazon Web Services ブログ
- [アップデート] 同一リージョン内でS3バケットのレプリケーションが出来るようになりました！｜ DevelopersIO

↑

マルチパートアップロード †

マルチパートアップロードの概要 - Amazon Simple Storage Service
- 1 オブジェクトのサイズ上限 5TB
- 1 PUTの上限 5GB. 100 MB 以上のアップロードはマルチパートアップロード推奨。

awscliのcp, syncは自動的にマルチパートアップロードが使われる。

Amazon S3 マルチパートアップロード CLI

途中で中断すると、転送中のファイルが残り、課金されるの注意。

# マルチパートアップロードの確認
aws s3api list-multipart-uploads --bucket example-bucket --profile example

# 明らかにInitiated古いファイルがあれば削除
aws s3api abort-multipart-upload \
--profile example \
--bucket example-bucket \
--key <object path> \
--upload-id <long id>

↑

2020-09-30日以降、パス形式での S3 APIリクエスト廃止 †

2020年10月1日以降に作成したs3 bucketが対象になった。
- Amazon S3 path-style 廃止予定 – それから先の話 – | Amazon Web Services ブログ
- 旧s3 bucketはパス形式でアクセスできる。
- 新機能はパス形式には非対応。

S3 Bucket名にドット、大文字、アンダースコア等が含まれている場合、httpでアクセスできなくなる。新規bucektへの移行が必要。
- AWS Developer Forums: Amazon S3 will no longer support path-style API requests starting September 30th, 2020

NG:

http://s3.amazonaws.com/<bucket> # us-east-1のみ
http://<region>.amazonaws.com/<bucket>

OK:

http://<bucket>.s3.amazonaws.com
http://<bucket>.s3-ap-northeast-1.amazonaws.com

記事
- 2020年9月30日以前に作成済みの S3 バケットはパス形式廃止対象から除外されました｜ DevelopersIO
- 【注意喚起】 2020年9月30日以降、パス形式での S3 API リクエストは受け付けられなくなります。｜ DevelopersIO

↑

SELECT: SQLでバケット上のCSV/JSON/Apache Parquet形式を集計 †

select-object-content — AWS CLI 1.16.132 Command Reference
- aws cli, AWS SDK, lambda等から利用可能。
- 似た機能にAthenaがあるが、限定された条件下ではAthenaより手軽に使える。
- gzip対応

Amazon S3 Select および Glacier Select の SQL リファレンスです。 - Amazon Simple Storage Service

記事

↑

署名アルゴリズムv2の廃止と、v4への移行 †

リージョンによっては、v4しか既に受け付けない。Mumbai等
最新のAWS SDKは大丈夫だが、古いSDKや独自実装しているツール系が動かなくなるため更新が必要。

Amazon S3 アップデート — SigV2 の廃止時期、延期と変更 | Amazon Web Services ブログ
改訂されたプラン — 2020年6月24日以降に作成された新しいバケットは SigV2 署名付きリクエストはサポートされません。ただし、既存のバケットについて引き続き SigV2 がサポートされますが、我々はお客様が古いリクエスト署名方法から移行するよう働きかけます。

Amazon S3 における AWS 署名バージョン 2 の廃止

記事

↑

ストレージクラスとライフサイクル †

ログを保存するS3 bucketはそのままだと、保存容量が増え続けて、月額費用も上がり続けるためライフサイクルを設定したほうが良い。

記事新機能- Intelligent TieringによるAmazon S3の自動的なコスト最適化 | Amazon Web Services ブログ 30日以上利用、128KB以上のファイルの場合、ログの保存用に良いかも。
- AWS CLIからS3ストレージクラスを操作する｜ Developers.IO

例: ログ保存用のバケットのlifecycleの場合
- AbortIncompleteMultipartUpload を7日に設定
- 30日経過後、STANDARD_IA へ移動(オブジェクトサイズ128KB、最低利用30日)
- 90日経過後、GLACIER へ移動(最低利用90日。再取得するには、3～5時間かかる)
- 365日経過後、削除

↑

web hosting: 静的サイト †

S3単体でweb hostingできるが、https非対応等の制限がある。
CloudFrontやWAFと組みあわせで出来る事が広がる。

Amazon S3 での静的ウェブサイトのホスティング - Amazon Simple Storage Service
Amazon S3 ウェブサイトエンドポイントは HTTPS をサポートしていません。Amazon S3 バケットで HTTPS を使用する方法については、「CloudFront を使用して Amazon S3 バケットに HTTPS リクエストを提供するには、どうすればよいですか?」と「CloudFront と Amazon S3 オリジンとの通信で HTTPS を必須にする」を参照してください。

S3単体
- http対応
```
http://<bucket name>.s3-website-<region name>.amazonaws.com/<file path>
```
- AWSのSSL証明書を使ったhttpsアクセス。
```
https://<bucket name>.s3-website-<region name>.amazonaws.com/<file path>
```
  - AWSのSSL証明書は「*.s3-website-<region name>.amazonaws.com」なので、S3 Bucket名に".", "_"等のドメイン名に使えない文字が入るとアクセスできない。
  - ウェブサイトエンドポイントはhttps非対応
- カスタムドメイン
  - ドメインと同名のS3 Bucketが必要。www.example.com, example.com の場合は2つ。
- IP制限
  - S3 bucket policyで設定

S3 + CloudFront
- https対応
- カスタムドメイン

S3 + CloudFront + WAF
- https対応
- カスタムドメイン
- IP制限
  - WAFで設定

記事
- CloudFront + S3 での IP アドレスベースのアクセス制限を設定する静的なサイトを構築 - Qiita

Route53で名前解決
- 例：https://my-s3-bucket.example.com/
CloudFront
- WAFでIP制限
  - Allow: 許可IPリスト
  - Deny: all
- ACMにSSL証明書をインポート
  - SSL: *.example.com
- Aliasを設定
  - my-s3-bucket.example.com
S3で静的ファイル配信
- s3://my-s3-bucket/
- ACLはPrivateで、web hostingは使用しない。

↑

S3対応ツール †

AWS コマンドラインインターフェイス（CLI - AWS サービスの制御・管理）｜AWS 公式CLIなので全ての機能が使える。まずはコレで検証。

WinSCP:Download オープンソース。GUI。v5.13以降でS3に対応。言語ファイル追加で日本語UI対応
- 接続時にバケット名の指定ができないため、"s3:ListAllMyBuckets?"権限が必要。

Amazon S3 Storage Tools and Clients Linux。IAM Policy:"s3:GetObject?","s3:ListBucket?"
- cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: s3cmdでmultipartオプションを利用してs3へアップロード
- s3cmdを使うなら最新版(1.1.0-beta2 )を使いましょう。 - DQNEO起業日記
- syncのデフォルトではローカルから削除されても、リモートは削除しない
```
# ローカルが削除されたら、リモートも削除する場合
-s3cmd sync --delete-removed /path/to/ s3:/BUCKET/path/to/
```
- バケットサイズの表示はbyte単位だが"-H" で"k, M, G"等の人間が読みやすい表示になる
```
s3cmd -H du s3://com.example.test
33k      s3://com.example.test/
```

Cyberduck オープンソース。Windows/Mac対応。v5.4.4でパスを指定できるため"s3:ListAllMyBuckets?"権限が不要になった。
- CyberduckでS3にファイルをアップロードする時の注意点 – サーバーワークスエンジニアブログアップロードされるファイルの権限がデフォルトでEveryoneもread可能になるので注意。
Review of Amazon S3 Clients - Manage Your S3 Storage with a Visual Interface ツール比較
S3Hub MacOSX用。フリー。IAM Policy:"s3:GetObject?","s3:ListBucket?"
DragonDisk S3, Google Cloud Storage他対応。フリーウェア。Windows/MacOSX/Linux。"s3:ListAllMyBuckets?"権限が必須。dgsyncツールで同期ができる。
- cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: S3フロントエンドのDragonDiskの設定方法
- Amazon S3のクライアント「DragonDisk」に付属の「dgsync」が便利な件東京データネットワークエンジニアブログ
CloudBerry Explorer for Amazon S3 Windows対応。フリーウェア。S3とGlacier連携してRESTOREする機能はPro版ライセンス($39.99)が必要。IAM Policy:"s3:GetObject?","s3:ListBucket?"
S3 Browser S3/CloudFront?対応。Windowsクライアント。シェアウェア。2アカウントまで無料で使える。ETag他プロパティも見れる。IAM Policy:"s3:GetObject?","s3:ListBucket?"
S3Fox Organizer(S3Fox) Firefoxプラグイン。フリーソフト。Firefox 3.5まで正常動作確認。更新されていないため、新しいFirefoxでは動作しない機能がある(ACL等)。IAM Policy:"s3:GetObject?","s3:ListBucket?"
- 2012-08-03現在 Firefox 14.0.1で初回「Runtime Error」が出るが2回目はOK

制限
- バケットの制約と制限 - Amazon Simple Storage Service 1アカウント100バケットまで。バケット名3～63文字

↑

linuxファイルシステムとしてマウント †

記事
- [ストレスレスへ]S3操作の効率化を図るため、goofysでのマウント・アンマウント手続きを抑えてみた｜ DevelopersIO
- s3fsよりも高速に使えるgoofysを試してみた｜ Developers.IO

↑

S3でyumリポジトリ構築 †

必要な要素
- [S3 WebHosting] rpmファイルを公開
- createrepoコマンドでrpm metaデータ生成。EC2で行う？
- [オプション] basic認証等も付けられる

記事
- S3+Lambda+CloudFormationでサーバレスyumリポジトリ - so what

↑

s3cmdで"ERROR: S3 error: The provided security credentials are not valid." †

Cloudian使用時に発生する S3互換のストレージサービス

s3cmd ls s3://bucekt-name
ERROR: S3 error: The provided security credentials are not valid.

解決
```
echo "signature_v2 = True" >> ~/.s3cfg
```

↑

s3cmdで"WARNING: Redirected to..." †

エラー

s3cmd ls s3://com.example.www/
WARNING: Redirected to: com.example.www.s3-us-west-2.amazonaws.com

修正

vim ~/.s3cfg
----
bucket_location = us-west-2
host_base = s3-us-west-2.amazonaws.com
host_bucket = %(bucket)s.s3-us-west-2.amazonaws.com
simpledb_host = sdb.us-west-2.amazonaws.com
----

↑

S3のSSL証明書エラーの回避 †

記事
- cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: AWS SDK for PHPのS3関係のメソッドで証明書関係のエラー対策

S3のSSL証明書は'*.s3.amazonaws.com'のため、バケット名に「.」が含まれると証明書エラーになる

cURL error: SSL: certificate subject name '*.s3.amazonaws.com' does not match target host name 'com.example.www.s3.amazonaws.com'

回避方法
- S3バケット名に"."を使わない。バケットの制約と制限 - Amazon Simple Storage Service
- SSLを使わず、httpで通信すれば解消する
```
$s3->use_ssl = false; // SSLを使わない
```
- メソッドによっては、cURLのオプションでSSL証明書のチェックをしない
```
$ret = $s3->list_buckets ( array(
    "curlopts" => array(CURLOPT_SSL_VERIFYPEER => false),
) );
```

↑

バケット毎にオブジェクトの有効期限(自動削除) †

記事

バケット毎に100個までルールを追加できる
prefix: 削除対象のバケット名を除いたフルパスの前方一致を指定。ワイルドカードや正規表現は指定できない。指定しなければ全オブジェクトが対象
- 同じパスを含むprefixは指定できない。例：「logs/」「logs/2013」
一定期間をすぎたオブジェクトをGlacierに移動もできる

例：com.example.wwwバケットの「group01/logs」以下を対象に、作成日から7日経過したオブジェクトを消したい

\---com.example.www
    \---group01
        \---logs
            \---2013
                \---01
                    +---01
                    |   +---server01
                    |   |       message.log
                    |   |       
                    |   \---server02
                    |           message.log
                    |           
                    \---02
                        +---server01
                        |       message.log
                        |       
                        \---server02
                                message.log

対象バケットを選択して右クリック > Properties > Lifecycle
Add rule
- Enabled: チェック
- Name: delete logs(適当)
- Prefix: group01/logs/
- Time Period Format: Days from the creation date (オブジェクトの生成日) または Effective from date(任意の日)
- Expiration: 7 days (7日すぎたら削除)
Save
確認
- Manegement Console: message.log の Propertiesに「Expiry Date: Thu Dec 06 09:00:00 GMT+900 2012」
- ObjectをGET/HEADしたときのHTTP Headers に「x-amz-expiration: expiry-date="Thu, 06 Dec 2012 00:00:00 GMT", rule-id="delete logs"」

↑

別アカウントに許可する †

以前はS3FoxでEdit ACL > Share > With UserID でAWSアカウントID(数字の羅列)を入力すれば良かったがエラー「Undefined」になる(2012-11-14現在)
ただし、一度ManegementConsoleで設定すればRead/Write個別に設定できる

AWSアカウント user1@example.com の com.example.user1 バケットを AWSアカウント user2@example.com(AWSアカウント番号：123456789012) と共有する例

user1でAWS Manegement Consoleにログイン
S3 > com.example.user1 > properties

Permissions Tab > Edit bucket policy

{
  "Id": "Policy0000000000000",
  "Statement": [
    {
      "Sid": "Stmt1000000000000",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::123456789012:user/iam-user-name"
        ]
      },
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::com.com.example.user1",
        "arn:aws:s3:::com.com.example.user1/*"
      ]
    }
  ]
}

Save

以下ではListBucketは成功するが、GetObjectが成功せず

Add more permissions に「user2@example.com」を入力
Grantee: user2@example.com / List,Upload/Delete 等にチェック
Save

↑

s3://bucket/iam-user/ 以下だけを許可する †

記事
- IAMユーザーにS3のそのIAMユーザー名ディレクトリのみアクセスを許可したい – サーバーワークスエンジニアブログ

↑

特定バケットのみ許可 †

記事
- 特定S3バケットに対してのみアクセスを許可したい – サーバーワークスエンジニアブログ

com.example.test バケットだけアクセス許可。ディレクトリとその配下の2つを指定

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource":[
        "arn:aws:s3:::com.example.test",
        "arn:aws:s3:::com.example.test/*",
      ]
    }
  ]
}

さらに "hoge/*" 以下だけ許可。以下の書き方では"hoge"にはマッチしない。StringLikeは"s3:ListBucket"他特定メソッドにだけ使える

{
  "Statement": [
    {
      "Sid": "Stmt0000000000001",
      "Action": [
        "s3:ListBucket"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::com.example.test",
        "arn:aws:s3:::com.example.test/*"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [ "hoge/*"]
        }
      }
    },
    {
      "Sid": "Stmt0000000000002",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::com.example.test/hoge/*"
      ]
    },
  ]
}