S3(Simple Storage Service) †

• Element Descriptions Version, Statement, Sid, Effect, Principal, Action, NotAction, Resource, NotResource, Condition, This section describ

• 記事
  • Amazon S3における「フォルダ」という幻想をぶち壊し、その実体を明らかにする ｜ Developers.IO
  • S3バケットアクセスがエラーになったときの対処 ｜ DevelopersIO
  • S3が暗号化されている実感がわかないので、復号できない場合の挙動を確かめてみた ｜ DevelopersIO
  • Amazon Web Services ブログ: Amazon S3のパフォーマンスをあげるコツ
  • サイトを Amazon S3 に移行しました - WebOS Goodies 静的サイトの例
  • Using IAM Policies - Amazon Simple Storage Service

---

オンプレミス環境からのS3アクセス †

• 記事
  • [AWS Transit Gateway] マネージドサービスだけでオンプレミスからS3にプライベートアクセスしたい！ ｜ Developers.IO

---

料金削減 †

• 記事
  • S3の利用料金を損してるかも？安心して利用するための設定をしましょう ｜ Developers.IO

• multipart-uploadsが残っている件数。巨大なファイルの転送が中断したりした場合、multipartの残骸が残りっぱなしになる。

  AWS_PROFILE=example
  AWS_REGION=ap-northeast-1
  S3_BUCEKT=example-bucket
  aws s3api list-multipart-uploads --bucket $S3_BUCEKT --profile $AWS_PROFILE --region $AWS_REGION --query 'length(Uploads)'

---

S3 Access Points: bucketに対して、アクセスポイント名でアクセスする †

https://[access_point_name]-[accountID].s3-accesspoint.[region].amazonaws.com

• 記事
  • [[re:Invent 2019] [小ネタ]「S3 Access Points」検証後のゴミ掃除 #reinvent ｜ Developers.IO](https://dev.classmethod.jp/cloud/aws/s3_accesspoint_after/)
  • [S3 Access Points]S3バケットのエンドポイントを作成しセキュリティレベルを分ける #reinvent ｜ Developers.IO
  • [S3 Access Points]S3バケットアクセスをVPC内に制限する #reinvent ｜ Developers.IO
  • Amazon S3 Access Points で共有データセットの管理が簡単に | Amazon Web Services ブログ

---

コスト削減 †

S3自体のコストはEC2と較べたら安いが、容量が貯まるとバカにできないくらいの金額になる。

• 記事
  • [レポート] STG240: Amazon S3のコストを最適化するためのガイドラインと設計パターン #reinvent ｜ Developers.IO

---

削除保護 †

• ポリシーでのアクセス許可の指定 - Amazon Simple Storage Service

• S3 bucekt policy: delete操作を一切禁止する。tag, policy, versionの削除操作もできない。

  {
      "Version": "2012-10-17",
      "Id": "Policy1574220010459",
      "Statement": [
          {
              "Sid": "DenyDeleteOperation",
              "Effect": "Deny",
              "Principal": "*",
              "Action": "s3:Delete*",
              "Resource": [
                  "arn:aws:s3:::my-bucket",
                  "arn:aws:s3:::my-bucket/*"
              ]
          }
      ]
  }

• DeleteBucket, DeleteObjectだけを禁止。tag, policy, versionの削除は出来る

  {
      "Version": "2012-10-17",
      "Id": "Policy1574220010459",
      "Statement": [
          {
              "Sid": "DenyDeleteBucket",
              "Effect": "Deny",
              "Principal": "*",
              "Action": [
                  "s3:DeleteBucket"
              ],
              "Resource": [
                  "arn:aws:s3:::my-bucket"
              ]
          },
          {
              "Sid": "DenyDeleteObject",
              "Effect": "Deny",
              "Principal": "*",
              "Action": [
                  "s3:DeleteObject"
              ],
              "Resource": [
                  "arn:aws:s3:::my-bucket/*"
              ]
          }
      ]
  }

• バージョニングの機能としてロック、MFA deleteがある

• 記事
  • S3オブジェクトのロック（なにをどうやっても改竄削除が不可）がリリースされました！ #reinvent ｜ Developers.IO
  • Amazon S3 MFA Deleteでファイル削除を保護する ｜ Developers.IO

---

バケット間レプリケーション †

• レプリケーション - Amazon Simple Storage Service
  • クロスリージョンレプリケーション
  • 同一リージョンレプリケーション

• 記事
  • S3 複製更新：複製 SLA、メトリック、およびイベント | Amazon Web Services ブログ
  • [アップデート] 同一リージョン内でS3バケットのレプリケーションが出来るようになりました！ ｜ DevelopersIO

---

マルチパートアップロード †

• マルチパートアップロードの概要 - Amazon Simple Storage Service
  • 1 オブジェクトのサイズ上限 5TB
  • 1 PUTの上限 5GB. 100 MB 以上のアップロードはマルチパートアップロード推奨。

• awscliのcp, syncは自動的にマルチパートアップロードが使われる。
  • Amazon S3 マルチパートアップロード CLI
  • 途中で中断すると、転送中のファイルが残り、課金されるの注意。

    # マルチパートアップロードの確認
    aws s3api list-multipart-uploads --bucket example-bucket --profile example
    
    # 明らかにInitiated古いファイルがあれば削除
    aws s3api abort-multipart-upload \
    --profile example \
    --bucket example-bucket \
    --key <object path> \
    --upload-id <long id>

特定IAM userのみに許可 †

• 記事
  • S3初心者向け『例 1: バケット所有者がユーザーにバケットのアクセス許可を付与』をやってみた ｜ DevelopersIO

---

Bucket Policy †

• 記事
  • S3のバケットポリシーでハマったので、S3へのアクセスを許可するPrincipalの設定を整理する ｜ DevelopersIO

• S3バケットポリシーの具体例で学ぶAWSのPolicyドキュメント ｜ DevelopersIO

---

リダイレクト †

• 記事
  • Route 53 + CloudFront + S3でZoneApexへのHTTP/HTTPSリクエストをリダイレクトする ｜ DevelopersIO

---

S3 Batch Operations: 多数のオブジェクトを対象にバッチジョブの実行 †

• バッチオペレーションの実行 - Amazon Simple Storage Service

• 記事
  • 複数のS3のオブジェクトをまとめて一括処理！Amazon S3 Batch Operationsを試してみた ｜ DevelopersIO

---

サーバレスでブラウザからs3へのファイルアップロード †

• ブラウザから Amazon S3 への写真のアップロード - AWS SDK for JavaScript

• 記事
  • ブラウザ(JavaScript)からのAmazon S3へのアップロードの環境をCloudFormationでサクッと作ってみた。 ｜ DevelopersIO

---

Presigned URL: 有効期限付URLの発行 †

• 記事
  • S3に直接アップロード可能なPre-Signed URLをLambdaで作ってみる ｜ DevelopersIO
  • [AWS]S3の期限付きURLを生成する[node] ｜ Developers.IO

---

2020-09-30日以降、パス形式での S3 APIリクエスト廃止 †

• 2020年10月1日以降に作成したs3 bucketが対象になった。
  • Amazon S3 path-style 廃止予定 – それから先の話 – | Amazon Web Services ブログ
  • 旧s3 bucketはパス形式でアクセスできる。
  • 新機能はパス形式には非対応。

• S3 Bucket名にドット、大文字、アンダースコア等が含まれている場合、httpでアクセスできなくなる。新規bucektへの移行が必要。
  • AWS Developer Forums: Amazon S3 will no longer support path-style API requests starting September 30th, 2020

• NG:

  http://s3.amazonaws.com/<bucket> # us-east-1のみ
  http://<region>.amazonaws.com/<bucket>　

• OK:

  http://<bucket>.s3.amazonaws.com
  http://<bucket>.s3-ap-northeast-1.amazonaws.com

• 記事
  • 2020年9月30日以前に作成済みの S3 バケットはパス形式廃止対象から除外されました ｜ DevelopersIO
  • 【注意喚起】 2020年9月30日以降、パス形式での S3 API リクエストは受け付けられなくなります。 ｜ DevelopersIO

---

SELECT: SQLでバケット上のCSV/JSON/Apache Parquet形式を集計 †

• select-object-content — AWS CLI 1.16.132 Command Reference
  • aws cli, AWS SDK, lambda等から利用可能。
  • 似た機能にAthenaがあるが、限定された条件下ではAthenaより手軽に使える。
  • gzip対応

• Amazon S3 Select および Glacier Select の SQL リファレンスです。 - Amazon Simple Storage Service

• 記事
  • Amazon Athena: カラムナフォーマット『Parquet』でクエリを試してみた #reinvent ｜ DevelopersIO
  • [小ネタ] S3 SelectでCSVの列名に特殊文字が入っている場合 ｜ DevelopersIO
  • S3 SELECTのパターンとLambda実行時間を調べてみた（CSV、JSON、GZIP圧縮の有無） ｜ DevelopersIO
  • S3 Select の機能を awscli から使ってみた - tkaaad97’s diary

---

署名アルゴリズムv2の廃止と、v4への移行 †

• リージョンによっては、v4しか既に受け付けない。Mumbai等
• 最新のAWS SDKは大丈夫だが、古いSDKや独自実装しているツール系が動かなくなるため更新が必要。

• Amazon S3 アップデート — SigV2 の廃止時期、延期と変更 | Amazon Web Services ブログ

  改訂されたプラン — 2020年6月24日以降に作成された新しいバケットは SigV2 署名付きリクエストはサポートされません。ただし、既存のバケットについて引き続き SigV2 がサポートされますが、我々はお客様が古いリクエスト署名方法から移行するよう働きかけます。

• Amazon S3 における AWS 署名バージョン 2 の廃止

• 記事
  • S3への署名バージョン2を使用したアクセスをCloudTrail、CloudWatch Events、CloudWatch Logsでロギングしてみた ｜ DevelopersIO
  • S3署名バージョン2廃止で「コード変更」が必要な時の対応 ｜ DevelopersIO
  • S3署名バージョン2廃止を受け「どうしたものか…」と困っている方へ！まずは気になる対象を確認してみましょう。 ｜ DevelopersIO
  • 廃止予定のS3署名バージョン2によるアクセスを調査する方法まとめ ｜ DevelopersIO
  • 【Amazon S3を利用しているすべての人が安心して2019/06/24を迎えるために】CloudTrailとAthenaを用いたS3の署名バージョンの確認方法 ｜ DevelopersIO
  • S3のサーバアクセスログで署名バージョンの確認ができるようになりました ｜ DevelopersIO
  • 【超重要】対応しないと使えなくなるかも？！今、全S3ユーザがチェックすべき署名バージョン２の廃止について ｜ DevelopersIO
  • 署名バージョン4専用のS3エンドポイントを古いCLIで試してみた ｜ DevelopersIO
  • 廃止予定のS3署名バージョン2API利用をCloudWatchEventで検出してみた ｜ DevelopersIO

---

ストレージクラスとライフサイクル †

ログを保存するS3 bucketはそのままだと、保存容量が増え続けて、月額費用も上がり続けるためライフサイクルを設定したほうが良い。

• ストレージクラス - Amazon Simple Storage Service
• ライフサイクル設定の例 - Amazon Simple Storage Service

• 記事 新機能- Intelligent TieringによるAmazon S3の自動的なコスト最適化 | Amazon Web Services ブログ 30日以上利用、128KB以上のファイルの場合、ログの保存用に良いかも。
  • AWS CLIからS3ストレージクラスを操作する ｜ Developers.IO

• 例: ログ保存用のバケットのlifecycleの場合
  • AbortIncompleteMultipartUpload を7日に設定
  • 30日経過後、STANDARD_IA へ移動(オブジェクトサイズ128KB、最低利用30日)
  • 90日経過後、GLACIER へ移動(最低利用90日。再取得するには、3〜5時間かかる)
  • 365日経過後、削除

---

web hosting: 静的サイト †

S3単体でweb hostingできるが、https非対応等の制限がある。
CloudFrontやWAFと組みあわせで出来る事が広がる。

• Amazon S3 での静的ウェブサイトのホスティング - Amazon Simple Storage Service

  Amazon S3 ウェブサイトエンドポイントは HTTPS をサポートしていません。Amazon S3 バケットで HTTPS を使用する方法については、「CloudFront を使用して Amazon S3 バケットに HTTPS リクエストを提供するには、どうすればよいですか?」と「CloudFront と Amazon S3 オリジンとの通信で HTTPS を必須にする」を参照してください。

• S3単体
  • http対応

    http://<bucket name>.s3-website-<region name>.amazonaws.com/<file path>

  • AWSのSSL証明書を使ったhttpsアクセス。

    https://<bucket name>.s3-website-<region name>.amazonaws.com/<file path>

    • AWSのSSL証明書は「*.s3-website-<region name>.amazonaws.com」なので、S3 Bucket名に".", "_"等のドメイン名に使えない文字が入るとアクセスできない。
    • ウェブサイトエンドポイントはhttps非対応
  • カスタムドメイン
    • ドメインと同名のS3 Bucketが必要。www.example.com, example.com の場合は2つ。
  • IP制限
    • S3 bucket policyで設定

• S3 + CloudFront
  • https対応
  • カスタムドメイン

• S3 + CloudFront + WAF
  • https対応
  • カスタムドメイン
  • IP制限
    • WAFで設定

• 記事
  • Amazon S3 静的サイトホスティングに対して、ワイルドカードによる DNS レコードは使わないでください ｜ Developers.IO
  • CloudFront + S3 での IP アドレスベースのアクセス制限を設定する静的なサイトを構築 - Qiita

1. Route53で名前解決
   • 例：https://my-s3-bucket.example.com/
2. CloudFront
   • WAFでIP制限
     • Allow: 許可IPリスト
     • Deny: all
   • ACMにSSL証明書をインポート
     • SSL: *.example.com
   • Aliasを設定
     • my-s3-bucket.example.com
3. S3で静的ファイル配信
   • s3://my-s3-bucket/
   • ACLはPrivateで、web hostingは使用しない。

---

S3対応ツール †

• AWS コマンドラインインターフェイス（CLI - AWS サービスの制御・管理）｜AWS 公式CLIなので全ての機能が使える。まずはコレで検証。

• WinSCP:Download オープンソース。GUI。v5.13以降でS3に対応。言語ファイル追加で日本語UI対応
  • 接続時にバケット名の指定ができないため、"s3:ListAllMyBuckets?"権限が必要。

• Amazon S3 Storage Tools and Clients Linux。IAM Policy:"s3:GetObject?","s3:ListBucket?"
  • cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: s3cmdでmultipartオプションを利用してs3へアップロード
  • s3cmdを使うなら最新版(1.1.0-beta2 )を使いましょう。 - DQNEO起業日記
  • syncのデフォルトではローカルから削除されても、リモートは削除しない

    # ローカルが削除されたら、リモートも削除する場合
    -s3cmd sync --delete-removed /path/to/ s3:/BUCKET/path/to/

  • バケットサイズの表示はbyte単位だが"-H" で"k, M, G"等の人間が読みやすい表示になる

    s3cmd -H du s3://com.example.test
    33k      s3://com.example.test/

• Cyberduck オープンソース。Windows/Mac対応。v5.4.4でパスを指定できるため"s3:ListAllMyBuckets?"権限が不要になった。
  • CyberduckでS3にファイルをアップロードする時の注意点 – サーバーワークスエンジニアブログ アップロードされるファイルの権限がデフォルトでEveryoneもread可能になるので注意。
• Review of Amazon S3 Clients - Manage Your S3 Storage with a Visual Interface ツール比較
• S3Hub MacOSX用。フリー。IAM Policy:"s3:GetObject?","s3:ListBucket?"
• DragonDisk S3, Google Cloud Storage他対応。フリーウェア。Windows/MacOSX/Linux。"s3:ListAllMyBuckets?"権限が必須。dgsyncツールで同期ができる。
  • cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: S3フロントエンドのDragonDiskの設定方法
  • Amazon S3のクライアント「DragonDisk」に付属の「dgsync」が便利な件 東京データネットワーク エンジニアブログ
• CloudBerry Explorer for Amazon S3 Windows対応。フリーウェア。S3とGlacier連携してRESTOREする機能はPro版ライセンス($39.99)が必要。IAM Policy:"s3:GetObject?","s3:ListBucket?"
• S3 Browser S3/CloudFront?対応。Windowsクライアント。シェアウェア。2アカウントまで無料で使える。ETag他プロパティも見れる。IAM Policy:"s3:GetObject?","s3:ListBucket?"
• S3Fox Organizer(S3Fox) Firefoxプラグイン。フリーソフト。Firefox 3.5まで正常動作確認。更新されていないため、新しいFirefoxでは動作しない機能がある(ACL等)。IAM Policy:"s3:GetObject?","s3:ListBucket?"
  • 2012-08-03現在 Firefox 14.0.1で初回「Runtime Error」が出るが2回目はOK

• 制限
  • バケットの制約と制限 - Amazon Simple Storage Service 1アカウント100バケットまで。バケット名3〜63文字

---

linuxファイルシステムとしてマウント †

• 記事
  • [ストレスレスへ]S3操作の効率化を図るため、goofysでのマウント・アンマウント手続きを抑えてみた ｜ DevelopersIO
  • s3fsよりも高速に使えるgoofysを試してみた ｜ Developers.IO

---

S3でyumリポジトリ構築 †

• 必要な要素
  • [S3 WebHosting] rpmファイルを公開
  • createrepoコマンドでrpm metaデータ生成。EC2で行う？
  • [オプション] basic認証等も付けられる

• 記事
  • S3+Lambda+CloudFormationでサーバレスyumリポジトリ - so what

---

s3cmdで"ERROR: S3 error: The provided security credentials are not valid." †

• Cloudian使用時に発生する S3互換のストレージサービス

  s3cmd ls s3://bucekt-name
  ERROR: S3 error: The provided security credentials are not valid.

• 解決

  echo "signature_v2 = True" >> ~/.s3cfg

---

s3cmdで"WARNING: Redirected to..." †

• エラー

  s3cmd ls s3://com.example.www/
  WARNING: Redirected to: com.example.www.s3-us-west-2.amazonaws.com

• 修正

  vim ~/.s3cfg
  ----
  bucket_location = us-west-2
  host_base = s3-us-west-2.amazonaws.com
  host_bucket = %(bucket)s.s3-us-west-2.amazonaws.com
  simpledb_host = sdb.us-west-2.amazonaws.com
  ----

---

S3のSSL証明書エラーの回避 †

• 記事
  • cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: AWS SDK for PHPのS3関係のメソッドで証明書関係のエラー対策

• S3のSSL証明書は'*.s3.amazonaws.com'のため、バケット名に「.」が含まれると証明書エラーになる

  cURL error: SSL: certificate subject name '*.s3.amazonaws.com' does not match target host name 'com.example.www.s3.amazonaws.com'

• 回避方法
  • S3バケット名に"."を使わない。バケットの制約と制限 - Amazon Simple Storage Service
  • SSLを使わず、httpで通信すれば解消する

    $s3->use_ssl = false; // SSLを使わない

  • メソッドによっては、cURLのオプションでSSL証明書のチェックをしない

    $ret = $s3->list_buckets ( array(
        "curlopts" => array(CURLOPT_SSL_VERIFYPEER => false),
    ) );

---

バケット毎にオブジェクトの有効期限(自動削除) †

• 記事
  • Amazon Web Services ブログ: 【AWS発表】 Amazon S3の有効期限機能の発表
  • memorycraft: S3ってなんじゃ？（オブジェクトの自動削除の設定）
  • Amazon S3でオブジェクトの有効期限を設定できるようになりました ｜ Developers.IO

• バケット毎に100個までルールを追加できる
• prefix: 削除対象のバケット名を除いたフルパスの前方一致を指定。ワイルドカードや正規表現は指定できない。指定しなければ全オブジェクトが対象
  • 同じパスを含むprefixは指定できない。例：「logs/」「logs/2013」
• 一定期間をすぎたオブジェクトをGlacierに移動もできる

• 例：com.example.wwwバケットの「group01/logs」以下を対象に、作成日から7日経過したオブジェクトを消したい

  \---com.example.www
      \---group01
          \---logs
              \---2013
                  \---01
                      +---01
                      |   +---server01
                      |   |       message.log
                      |   |       
                      |   \---server02
                      |           message.log
                      |           
                      \---02
                          +---server01
                          |       message.log
                          |       
                          \---server02
                                  message.log

1. 対象バケットを選択して右クリック > Properties > Lifecycle
2. Add rule
   • Enabled: チェック
   • Name: delete logs(適当)
   • Prefix: group01/logs/
   • Time Period Format: Days from the creation date (オブジェクトの生成日) または Effective from date(任意の日)
   • Expiration: 7 days (7日すぎたら削除)
3. Save
4. 確認
   • Manegement Console: message.log の Propertiesに「Expiry Date: Thu Dec 06 09:00:00 GMT+900 2012」
   • ObjectをGET/HEADしたときのHTTP Headers に「x-amz-expiration: expiry-date="Thu, 06 Dec 2012 00:00:00 GMT", rule-id="delete logs"」

---

別アカウントに許可する †

• 以前はS3FoxでEdit ACL > Share > With UserID でAWSアカウントID(数字の羅列)を入力すれば良かったがエラー「Undefined」になる(2012-11-14現在)
  ただし、一度ManegementConsoleで設定すればRead/Write個別に設定できる

• AWSアカウント user1@example.com の com.example.user1 バケットを AWSアカウント user2@example.com(AWSアカウント番号：123456789012) と共有する例

1. user1でAWS Manegement Consoleにログイン
2. S3 > com.example.user1 > properties
3. Permissions Tab > Edit bucket policy

   {
     "Id": "Policy0000000000000",
     "Statement": [
       {
         "Sid": "Stmt1000000000000",
         "Effect": "Allow",
         "Principal": {
           "AWS": [
             "arn:aws:iam::123456789012:user/iam-user-name"
           ]
         },
         "Action": [
           "s3:GetObject",
           "s3:ListBucket"
         ],
         "Resource": [
           "arn:aws:s3:::com.com.example.user1",
           "arn:aws:s3:::com.com.example.user1/*"
         ]
       }
     ]
   }

4. Save

• 以下ではListBucketは成功するが、GetObjectが成功せず

1. Add more permissions に「user2@example.com」を入力
2. Grantee: user2@example.com / List,Upload/Delete 等にチェック
3. Save

---

s3://bucket/iam-user/ 以下だけを許可する †

• 記事
  • IAMユーザーにS3のそのIAMユーザー名ディレクトリのみアクセスを許可したい – サーバーワークスエンジニアブログ

---

特定バケットのみ許可 †

• 記事
  • 「S3コンソールのバケットリストで許可したバケットのみ表示させたい」ときの代替案 ｜ Developers.IO
  • 特定S3バケットに対してのみアクセスを許可したい – サーバーワークスエンジニアブログ
• com.example.test バケットだけアクセス許可。ディレクトリとその配下の2つを指定

  {
    "Statement": [
      {
        "Effect": "Allow",
        "Action": "s3:*",
        "Resource":[
          "arn:aws:s3:::com.example.test",
          "arn:aws:s3:::com.example.test/*",
        ]
      }
    ]
  }

• さらに "hoge/*" 以下だけ許可。以下の書き方では"hoge"にはマッチしない。StringLikeは"s3:ListBucket"他特定メソッドにだけ使える

  {
    "Statement": [
      {
        "Sid": "Stmt0000000000001",
        "Action": [
          "s3:ListBucket"
        ],
        "Effect": "Allow",
        "Resource": [
          "arn:aws:s3:::com.example.test",
          "arn:aws:s3:::com.example.test/*"
        ],
        "Condition": {
          "StringLike": {
            "s3:prefix": [ "hoge/*"]
          }
        }
      },
      {
        "Sid": "Stmt0000000000002",
        "Action": [
          "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
          "arn:aws:s3:::com.example.test/hoge/*"
        ]
      },
    ]
  }