S3(Simple Storage Service) †
- Element Descriptions Version, Statement, Sid, Effect, Principal, Action, NotAction, Resource, NotResource, Condition, This section describ
リダイレクト †
S3 Batch Operations: 多数のオブジェクトを対象にバッチジョブの実行 †
サーバレスでブラウザからs3へのファイルアップロード †
Presigned URL: 有効期限付URLの発行 †
2020-09-30日以降、パス形式での S3 APIリクエスト廃止 †
- 2020年10月1日以降に作成したs3 bucketが対象になった。
- S3 Bucket名にドット、大文字、アンダースコア等が含まれている場合、httpでアクセスできなくなる。新規bucektへの移行が必要。
SELECT: SQLでバケット上のCSV/JSONを集計 †
select-object-content — AWS CLI 1.16.132 Command Reference, AWS SDK, lambda等から利用可能。
似た機能にAthenaがあるが、限定された条件下では手軽に使える。
署名アルゴリズムv2の廃止と、v4への移行 †
- リージョンによっては、v4しか既に受け付けない。Mumbai等
- 最新のAWS SDKは大丈夫だが、古いSDKや独自実装しているツール系が動かなくなるため更新が必要。
ストレージクラスとライフサイクル †
ログを保存するS3 bucketはそのままだと、保存容量が増え続けて、月額費用も上がり続けるためライフサイクルを設定したほうが良い。
- 例: ログ保存用のバケットのlifecycleの場合
- AbortIncompleteMultipartUpload を7日に設定
- 30日経過後、STANDARD_IA へ移動(オブジェクトサイズ128KB、最低利用30日)
- 90日経過後、GLACIER へ移動(最低利用90日。再取得するには、3〜5時間かかる)
- 365日経過後、削除
web hosting: 静的サイト †
S3単体でweb hostingできるが、https非対応等の制限がある。
CloudFrontやWAFと組みあわせで出来る事が広がる。
- Route53で名前解決
- CloudFront
- WAFでIP制限
- ACMにSSL証明書をインポート
- Aliasを設定
- S3で静的ファイル配信
- s3://my-s3-bucket/
- ACLはPrivateで、web hostingは使用しない。
S3対応ツール †
- WinSCP:Download オープンソース。GUI。v5.13以降でS3に対応。言語ファイル追加で日本語UI対応
- 接続時にバケット名の指定ができないため、"s3:ListAllMyBuckets?"権限が必要。
linuxファイルシステムとしてマウント †
S3でyumリポジトリ構築 †
- 必要な要素
- [S3 WebHosting] rpmファイルを公開
- createrepoコマンドでrpm metaデータ生成。EC2で行う?
- [オプション] basic認証等も付けられる
s3cmdで"ERROR: S3 error: The provided security credentials are not valid." †
s3cmdで"WARNING: Redirected to..." †
S3のSSL証明書エラーの回避 †
バケット毎にオブジェクトの有効期限(自動削除) †
- バケット毎に100個までルールを追加できる
- prefix: 削除対象のバケット名を除いたフルパスの前方一致を指定。ワイルドカードや正規表現は指定できない。指定しなければ全オブジェクトが対象
- 同じパスを含むprefixは指定できない。例:「logs/」「logs/2013」
- 一定期間をすぎたオブジェクトをGlacierに移動もできる
- 対象バケットを選択して右クリック > Properties > Lifecycle
- Add rule
- Enabled: チェック
- Name: delete logs(適当)
- Prefix: group01/logs/
- Time Period Format: Days from the creation date (オブジェクトの生成日) または Effective from date(任意の日)
- Expiration: 7 days (7日すぎたら削除)
- Save
- 確認
- Manegement Console: message.log の Propertiesに「Expiry Date: Thu Dec 06 09:00:00 GMT+900 2012」
- ObjectをGET/HEADしたときのHTTP Headers に「x-amz-expiration: expiry-date="Thu, 06 Dec 2012 00:00:00 GMT", rule-id="delete logs"」
別アカウントに許可する †
- 以前はS3FoxでEdit ACL > Share > With UserID でAWSアカウントID(数字の羅列)を入力すれば良かったがエラー「Undefined」になる(2012-11-14現在)
ただし、一度ManegementConsoleで設定すればRead/Write個別に設定できる
- user1でAWS Manegement Consoleにログイン
- S3 > com.example.user1 > properties
- Permissions Tab > Edit bucket policy
{
"Id": "Policy0000000000000",
"Statement": [
{
"Sid": "Stmt1000000000000",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::123456789012:user/iam-user-name"
]
},
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::com.com.example.user1",
"arn:aws:s3:::com.com.example.user1/*"
]
}
]
}
- Save
- 以下ではListBucketは成功するが、GetObjectが成功せず
- Add more permissions に「user2@example.com」を入力
- Grantee: user2@example.com / List,Upload/Delete 等にチェック
- Save
s3://bucket/iam-user/ 以下だけを許可する †
特定バケットのみ許可 †
- 記事
- com.example.test バケットだけアクセス許可。ディレクトリとその配下の2つを指定
{
"Statement": [
{
"Effect": "Allow",
"Action": "s3:*",
"Resource":[
"arn:aws:s3:::com.example.test",
"arn:aws:s3:::com.example.test/*",
]
}
]
}
- さらに "hoge/*" 以下だけ許可。以下の書き方では"hoge"にはマッチしない。StringLikeは"s3:ListBucket"他特定メソッドにだけ使える
{
"Statement": [
{
"Sid": "Stmt0000000000001",
"Action": [
"s3:ListBucket"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::com.example.test",
"arn:aws:s3:::com.example.test/*"
],
"Condition": {
"StringLike": {
"s3:prefix": [ "hoge/*"]
}
}
},
{
"Sid": "Stmt0000000000002",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::com.example.test/hoge/*"
]
},
]
}
|
|
![[PukiWiki]](image/owl.png "[PukiWiki]")
