ライブラリ側の設定

リポジトリに登録するために、ライブラリのリポジトリ設定、publish用のpluginの設定、アップロードされるS3の設定が必要になります。

ライブラリのリポジトリ設定

ここではpluginにmaven-publishを使っていますが、他のpluginでも設定はできるはずなので別のpluginを使う場合は読み替えてください

apply plugin: 'maven-publish'

publishing {
    repositories {
        maven {
            url "s3://someS3Bucket/maven2"
            credentials(AwsCredentials) {
                accessKey "someKey"
                secretKey "someSecret"
            }
        }
    }
    publications {
        maven(MavenPublication) {
            groupId = GROUP_ID
            artifactId = ARTIFACT_ID
            version = VERSION
            // ライブラリの依存をpomに反映
            pom.withXml {
                def dependenciesNode = asNode().appendNode('dependencies')
                configurations.compile.allDependencies.each { dependency ->
                    def dependencyNode = dependenciesNode.appendNode('dependency')
                    dependencyNode.appendNode('groupId', dependency.group)
                    dependencyNode.appendNode('artifactId', dependency.name)
                    dependencyNode.appendNode('version', dependency.version)
                }
            }

            // aarは直接指定
            artifact source: file("${project.buildDir}/outputs/aar/example-release.aar")
            // javadoc付きjarや、source付きjarを指定する必要があればartifactとして追記
        }
    }
}

AWSの設定

AWSにもいくつかの設定が必要になります

バケットの作成

当然ながらS3のバケットがなければファイルを置くことができないので作成します。
この時に静的ウェブサイトホスティングを有効にしておきます。
すでに存在しているバケットを利用する場合は必要ありません

バケットにアクセスするためのIAMポリシーを作成する

ライブラリユーザー用の読み込み専用のポリシーとアップロード可能なポリシーの2つを作成します。

ライブラリユーザー用ポリシー

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::someS3Bucket/*",
                "arn:aws:s3:::someS3Bucket"
            ]
        }
    ]
}

アップロード可能ユーザー用ポリシー

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::someS3Bucket/*",
                "arn:aws:s3:::someS3Bucket"
            ]
        }
    ]
}

IAMユーザーを作成

ライブラリを利用するユーザーとライブラリを作成するユーザーの2つのユーザーを作成します
access_keyとsecretはこの後使うので必ず控えておきます。
先程作成したポリシーをそれぞれにアタッチします

IAMのユーザーからアクセス権限-アクセス権限の追加で設定したIAMポリシーをアタッチする
このタイミングでAWS CLIなどを利用してバケットへのアクセスが正常にできること(権限がない場合はアクセスができないことも)を確認しておくことをおすすめします

ライブラリを使う側の設定

ライブラリを使う側は下記の設定のみで、aarを参照することが可能になります

repositories {
    maven {
        url "s3://someS3Bucket/maven2"
        credentials(AwsCredentials) {
            accessKey "someKey" // read-only-key
            secretKey "someSecret"
        }
    }
}
dependencies {
    compile "com.example:lib:1.0.0"
}

ライブラリを使う側のsourceリポジトリにaccess keyを埋め込むことでユーザー管理をしなくてもライブラリを使う権限を持っている人はライブラリを参照できることになります。

事故防止のためのtips

ライブラリ側のリポジトリの設定を

repositories {
    maven {
        url "s3://someS3Bucket/maven2"
        credentials(AwsCredentials) {
            accessKey "someKey"
            secretKey "someSecret"
        }
    }
}

とすると上で書いていますが、開発者が誤って手元のバイナリをpublishしないためにurlやaccessKey,secretKeyは直接埋め込まないで、gradle.propertiesにread-onlyなキーを記述し、その上でリリース作業はCIサーバー上からのみ行うようにすることをおすすめします。
なので、記述としては以下のようになると思います
gradle.properties

YOUR_REPOSITORY_URL=s3://someS3Bucket/maven2
REPOSITORY_ACCESS_KEY=someKey
REPOSITORY_SECRET_KEY=someSecret

repositories {
    maven {
        url YOUR_REPOSITORY_URL
        credentials(AwsCredentials) {
            accessKey REPOSITORY_ACCESS_KEY
            secretKey REPOSITORY_SECRET_KEY
        }
    }
}

read-onlyなキーにすることで、手元から誤ってリリースしてしまうことがなくなります。
CIサービスからのリリースを想定しているので、上記設定をした上でCIサーバに環境変数として

ORG_GRADLE_PROJECT_REPOSITORY_ACCESS_KEY=someKey
ORG_GRADLE_PROJECT_REPOSITORY_SECRET_KEY=someSecret

を設定すると、環境変数で設定した値が優先的に選択されるので、リポジトリへのリリースをすることができます。
gradleの変数の優先順位はgradleの公式ドキュメントの14章と20章を読むといいと思います

おわりに

まだ運用を始めたばかりですが、今のところは特に問題もなく運用できています。
アクセスコントロールをAWSに任せられるのは楽でいいですね。

S3でprivateなmavenリポジトリを管理する