Memo/AmazonWebServices/S3

S3(Simple Storage Service)

S3(Simple Storage Service) †

Element Descriptions Version, Statement, Sid, Effect, Principal, Action, NotAction, Resource, NotResource, Condition, This section describ

Amazon S3における「フォルダ」という幻想をぶち壊し、その実体を明らかにする｜ Developers.IO
- s3は単純なkey=valueストア。keyに'/'があるとフォルダのように見せかけているだけ。

記事

↑

S3オブジェクトの所有権を強制する †

s3 objectはownerしかread/writeできない。アカウントBから、アカウントAのs3 bucketにアップロードすると、アカウントAのuserでread/writeできない状態になる。
s3 bucketの所有者にも読み書きを許可するにはobject毎にACL「bucket-owner-full-control」を付与する必要があった。
s3 bucketの設定で、objectの所有者をs3 bucketの所有者に強制できるようになった。
- 既にアップロード済みのobjectは変わらない

類似の問題
- CloudTrailのログを別アカウントから参照しようとするとエラーになる

Object Ownership が追加されたので、「Bucket owner preferred」を有効にしたほうが良い。ただし、既存のobjectには適用されない。
- Amazon S3 アップデート – セキュリティおよびアクセス制御のための 3 つの新しい機能 | Amazon Web Services ブログ

記事
- [アップデート] オブジェクト所有権でもう悩まない！S3 バケット所有者がアップロード時に自動的にオブジェクト所有権を引き継げるようになりました。 | Developers.IO
- Amazon S3 アップデート – セキュリティおよびアクセス制御のための 3 つの新しい機能 | Amazon Web Services ブログ

↑

正規ユーザーID/正規ID: †

Your AWS account identifiers - AWS General Reference
- s3のbucket ACLに使われる。「79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be」のような長いID

正規ユーザーIDの取得方法

aws s3api list-buckets --query Owner.ID --output text --profile example

↑

s3-tree: tree形式で表示 †

S3はkey=valueストアで、フォルダは無い。
AWS Consoleではkeyに '/' があると、フォルダっぽく表示しているだけ
tree形式で見たい場合は便利？ファイル数が多いと辛そう

s3-tree · PyPI

記事
- S3 バケットの中身を tree 形式で表示してくれる s3-tree を Amazon Linux 2 にインストールして使ってみた | Developers.IO

↑

マルチバイトのオブジェクト名 †

S3のオブジェクト名にマルチバイト文字を使うのは止めた方が良い。
macOSでアップロードすると、Windows/Linuxでは別のファイル名として扱われる。

Unicode正規化方法:

NFC
- Windows, Linux
NFD
- macOS

記事
- S3上のマルチバイトファイル名でハマった話｜ Developers.IO

↑

バージョニング: 履歴管理 †

バージョニングの使用 - Amazon Simple Storage Service
- lifecycleを設定して、○日経過した古い履歴は削除した方が良い。コストがかかる。

記事
- S3で誤って削除してしまったオブジェクトを過去VersionからAWS CLIで復旧 | Developers.IO
- バージョニングされたS3バケットのオブジェクトを削除してみる｜ Developers.IO

objectのバージョン一覧。削除されたオブジェクトは、DeleteMarkersが付くようだ。

IsLatest: 最新かどうか

PROFILE=example
BUCKET=bucket

aws s3api list-object-versions \
 --bucket $BUCKET \
 --profile $PROFILE

{
    "DeleteMarkers": [
        {
            "Owner": {
                "DisplayName": "hoge",
                "ID": "*****"
            },
            "IsLatest": true,
            "VersionId": "****",
            "Key": "example/example.txt",
            "LastModified": "2020-03-25T08:48:10.000Z"
        },

objectの復元。DeleteMarkersから消す = 復元のようだ。

PROFILE=example
BUCKET=bucket
VERID=****
KEY=example/example.txt

aws s3api delete-object \
 --bucket $BUCKET \
 --version-id $VERID \
 --key $KEY \
 --profile $PROFILE

↑

オンプレミス環境からのS3アクセス †

記事
- [AWS Transit Gateway] マネージドサービスだけでオンプレミスからS3にプライベートアクセスしたい！｜ Developers.IO

↑

料金削減 †

記事
- S3の利用料金を損してるかも？安心して利用するための設定をしましょう｜ Developers.IO

multipart-uploadsが残っている件数。巨大なファイルの転送が中断したりした場合、multipartの残骸が残りっぱなしになる。

AWS_PROFILE=example
AWS_REGION=ap-northeast-1
S3_BUCKET=example-bucket
aws s3api list-multipart-uploads --bucket $S3_BUCKET --profile $AWS_PROFILE --region $AWS_REGION --query 'length(Uploads)'

↑

S3 Access Points: bucketに対して、アクセスポイント名でアクセスする †

https://[access_point_name]-[accountID].s3-accesspoint.[region].amazonaws.com

記事
- [[re:Invent 2019] [小ネタ]「S3 Access Points」検証後のゴミ掃除 #reinvent ｜ Developers.IO](https://dev.classmethod.jp/cloud/aws/s3_accesspoint_after/)
- [S3 Access Points]S3バケットのエンドポイントを作成しセキュリティレベルを分ける #reinvent ｜ Developers.IO
- [S3 Access Points]S3バケットアクセスをVPC内に制限する #reinvent ｜ Developers.IO
- Amazon S3 Access Points で共有データセットの管理が簡単に | Amazon Web Services ブログ

↑

コスト削減 †

S3自体のコストはEC2と較べたら安いが、容量が貯まるとバカにできないくらいの金額になる。

記事
- S3バケットのオブジェクト数やサイズを確認する前に知っておきたいこと（LISTリクエストとS3インベントリ） | Developers.IO
- [レポート] STG240: Amazon S3のコストを最適化するためのガイドラインと設計パターン #reinvent ｜ Developers.IO

↑

削除保護 †

ポリシーでのアクセス許可の指定 - Amazon Simple Storage Service

S3 bucket policy: delete操作を一切禁止する。tag, policy, versionの削除操作もできない。

{
    "Version": "2012-10-17",
    "Id": "Policy1574220010459",
    "Statement": [
        {
            "Sid": "DenyDeleteOperation",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:Delete*",
            "Resource": [
                "arn:aws:s3:::my-bucket",
                "arn:aws:s3:::my-bucket/*"
            ]
        }
    ]
}

DeleteBucket, DeleteObjectだけを禁止。tag, policy, versionの削除は出来る

{
    "Version": "2012-10-17",
    "Id": "Policy1574220010459",
    "Statement": [
        {
            "Sid": "DenyDeleteBucket",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:DeleteBucket"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket"
            ]
        },
        {
            "Sid": "DenyDeleteObject",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:DeleteObject"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket/*"
            ]
        }
    ]
}

バージョニングの機能としてロック、MFA deleteがある

記事
- S3オブジェクトのロック（なにをどうやっても改竄削除が不可）がリリースされました！ #reinvent ｜ Developers.IO
- Amazon S3 MFA Deleteでファイル削除を保護する｜ Developers.IO

↑

バケット間レプリケーション †

レプリケーション - Amazon Simple Storage Service
- クロスリージョンレプリケーション
- 同一リージョンレプリケーション
- 既存オブジェクトはサポートから依頼する必要がある

記事

↑

マルチパートアップロード †

マルチパートアップロードの概要 - Amazon Simple Storage Service
- 1 オブジェクトのサイズ上限 5TB
- 1 PUTの上限 5GB. 100 MB 以上のアップロードはマルチパートアップロード推奨。

awscliのcp, syncは自動的にマルチパートアップロードが使われる。

Amazon S3 マルチパートアップロード CLI

途中で中断すると、転送中のファイルが残り、課金されるの注意。

# マルチパートアップロードの確認
aws s3api list-multipart-uploads --bucket example-bucket --profile example

# 明らかにInitiated古いファイルがあれば削除
aws s3api abort-multipart-upload \
--profile example \
--bucket example-bucket \
--key <object path> \
--upload-id <long id>

↑

特定IAM userのみに許可 †

記事
- S3初心者向け『例 1: バケット所有者がユーザーにバケットのアクセス許可を付与』をやってみた｜ DevelopersIO

↑

Bucket Policy †

記事

↑

リダイレクト †

記事
- Route 53 + CloudFront + S3でZoneApexへのHTTP/HTTPSリクエストをリダイレクトする｜ DevelopersIO

↑

S3 Batch Operations: 多数のオブジェクトを対象にバッチジョブの実行 †

バッチオペレーションの実行 - Amazon Simple Storage Service

記事
- 複数のS3のオブジェクトをまとめて一括処理！Amazon S3 Batch Operationsを試してみた｜ DevelopersIO

↑

サーバレスでブラウザからs3へのファイルアップロード †

ブラウザから Amazon S3 への写真のアップロード - AWS SDK for JavaScript

記事
- ブラウザ(JavaScript)からのAmazon S3へのアップロードの環境をCloudFormationでサクッと作ってみた。｜ DevelopersIO

↑

Presigned URL: 有効期限付URLの発行 †

記事

↑

2020-09-30日以降、パス形式での S3 APIリクエスト廃止 †

2020年10月1日以降に作成したs3 bucketが対象になった。
- Amazon S3 path-style 廃止予定 – それから先の話 – | Amazon Web Services ブログ
- 旧s3 bucketはパス形式でアクセスできる。
- 新機能はパス形式には非対応。

S3 Bucket名にドット、大文字、アンダースコア等が含まれている場合、httpでアクセスできなくなる。新規bucketへの移行が必要。
- AWS Developer Forums: Amazon S3 will no longer support path-style API requests starting September 30th, 2020

NG:

http://s3.amazonaws.com/<bucket> # us-east-1のみ
http://<region>.amazonaws.com/<bucket>

OK:

http://<bucket>.s3.amazonaws.com
http://<bucket>.s3-ap-northeast-1.amazonaws.com

記事
- 2020年9月30日以前に作成済みの S3 バケットはパス形式廃止対象から除外されました｜ DevelopersIO
- 【注意喚起】 2020年9月30日以降、パス形式での S3 API リクエストは受け付けられなくなります。｜ DevelopersIO

↑

S3 Select/Glacier Select: SQLでバケット上のCSV/JSON/Apache Parquet形式を集計 †

select-object-content — AWS CLI 1.16.132 Command Reference
- aws cli, AWS SDK, lambda等から利用可能。
- 似た機能にAthenaがあるが、限定された条件下ではAthenaより手軽に使える。
- gzip対応

Amazon S3 Select および Glacier Select の SQL リファレンスです。 - Amazon Simple Storage Service

記事

s3上にS3 selectの仕様を満たしたcsvをgzip圧縮して置いておく

s3://<bucket>/<prefix>/id=<id>/year=<year>/month=<month>/day=<day>/<id>.<host>.<timestamp>.csv.gz

awscliの場合
- AllowQuotedRecordDelimiter=True: カラムに改行が含まれている場合、Trueにしないとエラーが出る
- QuoteFields=ALWAYS: 出力時に必ずダブルクオートで囲む

s3-select.sh

main(){
    local prefix=${1:-}
    local id=${2:-}
    local year=${3:-}
    local month=${4:-}
    local day=${5:-}
    local sql=${6:-"select count(*) from s3object s"}

    if [ "$prefix" != "" ]; then
        prefix="${prefix}/"
    fi

    local keys=$(
    aws s3 ls \
    "s3://${S3_BUCKET}/${prefix}id=${id}/year=${year}/month=${month}/day=${day}/" \
    --profile $AWS_PROFILE \
    --output text \
    | awk '{print $4;}'
    )

    local tmpfile="${BASENAME}.$$.tmp"
    for key in $keys; do
        aws s3api select-object-content \
        --bucket "${S3_BUCKET}" \
        --key "${prefix}id=${id}/year=${year}/month=${month}/day=${day}/${key}" \
        --input-serialization 'CSV={FileHeaderInfo=USE,AllowQuotedRecordDelimiter=True},CompressionType=GZIP' \
        --output-serialization 'CSV={QuoteFields=ALWAYS}' \
        --expression "${sql}" \
        --expression-type SQL \
        "$tmpfile" \
        --profile $AWS_PROFILE \

        if [ -f "$tmpfile" ]; then
            cat "$tmpfile"
            rm "$tmpfile"
        fi
    done
}

↑

署名アルゴリズムv2の廃止と、v4への移行 †

リージョンによっては、v4しか既に受け付けない。Mumbai等
最新のAWS SDKは大丈夫だが、古いSDKや独自実装しているツール系が動かなくなるため更新が必要。

Amazon S3 アップデート — SigV2 の廃止時期、延期と変更 | Amazon Web Services ブログ
改訂されたプラン — 2020年6月24日以降に作成された新しいバケットは SigV2 署名付きリクエストはサポートされません。ただし、既存のバケットについて引き続き SigV2 がサポートされますが、我々はお客様が古いリクエスト署名方法から移行するよう働きかけます。

Amazon S3 における AWS 署名バージョン 2 の廃止

記事

↑

ストレージクラスとライフサイクル †

ログを保存するS3 bucketはそのままだと、保存容量が増え続けて、月額費用も上がり続けるためライフサイクルを設定したほうが良い。

記事
- S3 のライフサイクルポリシー以外で削除させないようにして経過を見守る – サーバーワークスエンジニアブログ
- プレフィックス指定したS3ライフサイクルルールの動作を確認してみた | Developers.IO
- 新機能- Intelligent TieringによるAmazon S3の自動的なコスト最適化 | Amazon Web Services ブログ 30日以上利用、128KB以上のファイルの場合、ログの保存用に良いかも。
- AWS CLIからS3ストレージクラスを操作する｜ Developers.IO

例: ログ保存用のバケットのlifecycleの場合
- AbortIncompleteMultipartUpload を7日に設定
- 30日経過後、STANDARD_IA へ移動(オブジェクトサイズ128KB、最低利用30日)
- 90日経過後、GLACIER へ移動(最低利用90日。再取得するには、3～5時間かかる)
- 365日経過後、削除

↑

web hosting: 静的サイト †

S3単体でweb hostingできるが、https非対応等の制限がある。
CloudFrontやWAFと組みあわせで出来る事が広がる。

Amazon S3 での静的ウェブサイトのホスティング - Amazon Simple Storage Service
Amazon S3 ウェブサイトエンドポイントは HTTPS をサポートしていません。Amazon S3 バケットで HTTPS を使用する方法については、「CloudFront を使用して Amazon S3 バケットに HTTPS リクエストを提供するには、どうすればよいですか?」と「CloudFront と Amazon S3 オリジンとの通信で HTTPS を必須にする」を参照してください。

S3単体
- http対応
```
http://<bucket name>.s3-website-<region name>.amazonaws.com/<file path>
```
- AWSのSSL証明書を使ったhttpsアクセス。
```
https://<bucket name>.s3-website-<region name>.amazonaws.com/<file path>
```
  - AWSのSSL証明書は「*.s3-website-<region name>.amazonaws.com」なので、S3 Bucket名に".", "_"等のドメイン名に使えない文字が入るとアクセスできない。
  - ウェブサイトエンドポイントはhttps非対応
- カスタムドメイン
  - ドメインと同名のS3 Bucketが必要。www.example.com, example.com の場合は2つ。
- IP制限
  - S3 bucket policyで設定

S3 + CloudFront
- https対応
- カスタムドメイン

S3 + CloudFront + WAF
- https対応
- カスタムドメイン
- IP制限
  - WAFで設定

記事
- Amazon S3 静的サイトホスティングに対して、ワイルドカードによる DNS レコードは使わないでください｜ Developers.IO
- CloudFront + S3 での IP アドレスベースのアクセス制限を設定する静的なサイトを構築 - Qiita

Route53で名前解決
- 例：https://my-s3-bucket.example.com/
CloudFront
- WAFでIP制限
  - Allow: 許可IPリスト
  - Deny: all
- ACMにSSL証明書をインポート
  - SSL: *.example.com
- Aliasを設定
  - my-s3-bucket.example.com
S3で静的ファイル配信
- s3://my-s3-bucket/
- ACLはPrivateで、web hostingは使用しない。

↑

S3対応クライアント †

AWS コマンドラインインターフェイス（CLI - AWS サービスの制御・管理）｜AWS 公式CLIなので全ての機能が使える。まずはコレで検証。

WinSCP:Download オープンソース。GUI。v5.13以降でS3に対応。言語ファイル追加で日本語UI対応
- 接続時にバケット名の指定ができないため、"s3:ListAllMyBuckets?"権限が必要。

Amazon S3 Storage Tools and Clients Linux。IAM Policy:"s3:GetObject?","s3:ListBucket?"
- cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: s3cmdでmultipartオプションを利用してs3へアップロード
- s3cmdを使うなら最新版(1.1.0-beta2 )を使いましょう。 - DQNEO起業日記
- syncのデフォルトではローカルから削除されても、リモートは削除しない
```
# ローカルが削除されたら、リモートも削除する場合
-s3cmd sync --delete-removed /path/to/ s3:/BUCKET/path/to/
```
- バケットサイズの表示はbyte単位だが"-H" で"k, M, G"等の人間が読みやすい表示になる
```
s3cmd -H du s3://com.example.test
33k      s3://com.example.test/
```

Cyberduck オープンソース。Windows/Mac対応。v5.4.4でパスを指定できるため"s3:ListAllMyBuckets?"権限が不要になった。
- CyberduckでS3にファイルをアップロードする時の注意点 – サーバーワークスエンジニアブログアップロードされるファイルの権限がデフォルトでEveryoneもread可能になるので注意。
Review of Amazon S3 Clients - Manage Your S3 Storage with a Visual Interface ツール比較
S3Hub MacOSX用。フリー。IAM Policy:"s3:GetObject?","s3:ListBucket?"
DragonDisk S3, Google Cloud Storage他対応。フリーウェア。Windows/MacOSX/Linux。"s3:ListAllMyBuckets?"権限が必須。dgsyncツールで同期ができる。
- cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: S3フロントエンドのDragonDiskの設定方法
- Amazon S3のクライアント「DragonDisk」に付属の「dgsync」が便利な件東京データネットワークエンジニアブログ
CloudBerry Explorer for Amazon S3 Windows対応。フリーウェア。S3とGlacier連携してRESTOREする機能はPro版ライセンス($39.99)が必要。IAM Policy:"s3:GetObject?","s3:ListBucket?"
S3 Browser S3/CloudFront?対応。Windowsクライアント。シェアウェア。2アカウントまで無料で使える。ETag他プロパティも見れる。IAM Policy:"s3:GetObject?","s3:ListBucket?"
S3Fox Organizer(S3Fox) Firefoxプラグイン。フリーソフト。Firefox 3.5まで正常動作確認。更新されていないため、新しいFirefoxでは動作しない機能がある(ACL等)。IAM Policy:"s3:GetObject?","s3:ListBucket?"
- 2012-08-03現在 Firefox 14.0.1で初回「Runtime Error」が出るが2回目はOK

制限
- バケットの制約と制限 - Amazon Simple Storage Service 1アカウント100バケットまで。バケット名3～63文字

↑

Windowsでエクスプローラから参照 †

S3 Drive | Map S3 Storage as a Local Drive | nsoftware
- 2020-09現在、beta版。無償で試用可能。read限定。

記事
- S3 Driveを使って、WindowsエクスプローラでS3ファイルを快適にドラッグ＆ドロップ！ | Developers.IO

↑

linuxファイルシステムとしてマウント †

記事
- [ストレスレスへ]S3操作の効率化を図るため、goofysでのマウント・アンマウント手続きを抑えてみた｜ DevelopersIO
- s3fsよりも高速に使えるgoofysを試してみた｜ Developers.IO

↑

S3でyumリポジトリ構築 †

必要な要素
- [S3 WebHosting] rpmファイルを公開
- createrepoコマンドでrpm metaデータ生成。EC2で行う？
- [オプション] basic認証等も付けられる

記事
- S3+Lambda+CloudFormationでサーバレスyumリポジトリ - so what

↑

s3cmdで"ERROR: S3 error: The provided security credentials are not valid." †

Cloudian使用時に発生する S3互換のストレージサービス

s3cmd ls s3://bucket-name
ERROR: S3 error: The provided security credentials are not valid.

解決
```
echo "signature_v2 = True" >> ~/.s3cfg
```

↑

s3cmdで"WARNING: Redirected to..." †

エラー

s3cmd ls s3://com.example.www/
WARNING: Redirected to: com.example.www.s3-us-west-2.amazonaws.com

修正

vim ~/.s3cfg
----
bucket_location = us-west-2
host_base = s3-us-west-2.amazonaws.com
host_bucket = %(bucket)s.s3-us-west-2.amazonaws.com
simpledb_host = sdb.us-west-2.amazonaws.com
----

↑

S3のSSL証明書エラーの回避 †

記事
- cloudpackブログ - cloudpack（クラウドパック）Amazon EC2などクラウドの導入設計、運用・保守サービス: AWS SDK for PHPのS3関係のメソッドで証明書関係のエラー対策

S3のSSL証明書は'*.s3.amazonaws.com'のため、バケット名に「.」が含まれると証明書エラーになる

cURL error: SSL: certificate subject name '*.s3.amazonaws.com' does not match target host name 'com.example.www.s3.amazonaws.com'

回避方法
- S3バケット名に"."を使わない。バケットの制約と制限 - Amazon Simple Storage Service
- SSLを使わず、httpで通信すれば解消する
```
$s3->use_ssl = false; // SSLを使わない
```
- メソッドによっては、cURLのオプションでSSL証明書のチェックをしない
```
$ret = $s3->list_buckets ( array(
    "curlopts" => array(CURLOPT_SSL_VERIFYPEER => false),
) );
```

↑

バケット毎にオブジェクトの有効期限(自動削除) †

記事

バケット毎に100個までルールを追加できる
prefix: 削除対象のバケット名を除いたフルパスの前方一致を指定。ワイルドカードや正規表現は指定できない。指定しなければ全オブジェクトが対象
- 同じパスを含むprefixは指定できない。例：「logs/」「logs/2013」
一定期間をすぎたオブジェクトをGlacierに移動もできる

例：com.example.wwwバケットの「group01/logs」以下を対象に、作成日から7日経過したオブジェクトを消したい

\---com.example.www
    \---group01
        \---logs
            \---2013
                \---01
                    +---01
                    |   +---server01
                    |   |       message.log
                    |   |       
                    |   \---server02
                    |           message.log
                    |           
                    \---02
                        +---server01
                        |       message.log
                        |       
                        \---server02
                                message.log

対象バケットを選択して右クリック > Properties > Lifecycle
Add rule
- Enabled: チェック
- Name: delete logs(適当)
- Prefix: group01/logs/
- Time Period Format: Days from the creation date (オブジェクトの生成日) または Effective from date(任意の日)
- Expiration: 7 days (7日すぎたら削除)
Save
確認
- Manegement Console: message.log の Propertiesに「Expiry Date: Thu Dec 06 09:00:00 GMT+900 2012」
- ObjectをGET/HEADしたときのHTTP Headers に「x-amz-expiration: expiry-date="Thu, 06 Dec 2012 00:00:00 GMT", rule-id="delete logs"」

↑

別アカウントに許可する †

以前はS3FoxでEdit ACL > Share > With UserID でAWSアカウントID(数字の羅列)を入力すれば良かったがエラー「Undefined」になる(2012-11-14現在)
ただし、一度ManegementConsoleで設定すればRead/Write個別に設定できる

AWSアカウント user1@example.com の com.example.user1 バケットを AWSアカウント user2@example.com(AWSアカウント番号：123456789012) と共有する例

user1でAWS Manegement Consoleにログイン
S3 > com.example.user1 > properties

Permissions Tab > Edit bucket policy

{
  "Id": "Policy0000000000000",
  "Statement": [
    {
      "Sid": "Stmt1000000000000",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::123456789012:user/iam-user-name"
        ]
      },
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::com.com.example.user1",
        "arn:aws:s3:::com.com.example.user1/*"
      ]
    }
  ]
}

Save

以下ではListBucketは成功するが、GetObjectが成功せず

Add more permissions に「user2@example.com」を入力
Grantee: user2@example.com / List,Upload/Delete 等にチェック
Save

↑

s3://bucket/iam-user/ 以下だけを許可する †

記事
- IAMユーザーにS3のそのIAMユーザー名ディレクトリのみアクセスを許可したい – サーバーワークスエンジニアブログ

↑

特定バケットのみ許可 †

記事
- 「S3コンソールのバケットリストで許可したバケットのみ表示させたい」ときの代替案｜ Developers.IO
- 特定S3バケットに対してのみアクセスを許可したい – サーバーワークスエンジニアブログ

com.example.test バケットだけアクセス許可。ディレクトリとその配下の2つを指定

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "s3:*",
      "Resource":[
        "arn:aws:s3:::com.example.test",
        "arn:aws:s3:::com.example.test/*",
      ]
    }
  ]
}

さらに "hoge/*" 以下だけ許可。以下の書き方では"hoge"にはマッチしない。StringLikeは"s3:ListBucket"他特定メソッドにだけ使える

{
  "Statement": [
    {
      "Sid": "Stmt0000000000001",
      "Action": [
        "s3:ListBucket"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::com.example.test",
        "arn:aws:s3:::com.example.test/*"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [ "hoge/*"]
        }
      }
    },
    {
      "Sid": "Stmt0000000000002",
      "Action": [
        "s3:GetObject"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:s3:::com.example.test/hoge/*"
      ]
    },
  ]
}