Help us understand the problem. What is going on with this article?

S3 Browserを使ってVPCエンドポイント経由でS3にアクセスする

More than 1 year has passed since last update.

やりたいこと

S3 Browser (http://s3browser.com) は S3をWindowsのエクスプローラーライクなGUIで管理する有償のクライアントソフトウェアです。
今回このツールを使って東京リージョンのプライベートサブネットからVPCエンドポイント経由で S3 Browserが使えないかなと思ってやってみました。
このイメージ。
s3-0.png

S3 Browserのアカウント設定

S3 Browserのアカウント設定は8種類ありますが、今回は東京リージョンのEC2から東京リージョンのS3バケットにアクセスしたかったので、選択肢としては5つでした。

  • Amazon S3 Storage
  • S3 Compatible Storage
  • Amazon S3 on EC2 via IAM Role
  • Amazon S3(Credentials from Environment Valiables)
  • Amazon S3(Credentials from AWS Config or Credential file)

s3-1.png

試したみた結果、アクセスできたのは S3 Compatible Storage かつ 署名バージョン2 を利用した場合のみでした。署名バージョン2 がサポートされていないリージョンは次とありましたので、東京リージョンだから通ったようです。署名バージョン4なぜかダメでした。

  • 米国東部 (オハイオ) リージョン
  • カナダ (中部) リージョン
  • アジアパシフィック (ムンバイ) リージョン
  • アジアパシフィック (ソウル) リージョン
  • 欧州 (フランクフルト) リージョン
  • 欧州 (ロンドン) リージョン
  • 中国 (北京) リージョン

参考) 署名バージョン 2 の署名プロセス
https://docs.aws.amazon.com/ja_jp/general/latest/gr/signature-version-2.html

設定のポイント

繰り返しになりますが、REST Endpointを s3.ap-northeast-1.amazonaws.com に、署名を署名バージョン2にすることです。なお、SSL/TLS は有効でも無効でもどちらでもOKでした。

s3-2-1.png

参考) AWS のリージョンとエンドポイント
https://docs.aws.amazon.com/ja_jp/general/latest/gr/rande.html#s3_region

結局、署名のバージョンも古いし、IAM Roleも使えないので微妙です...。
もちろん awscli は何の苦労もなくアクセスできますので、通常は awscli で良いのですが、ニッチな状況(例えば、社内からS3Browser→VPN→Squid@EC2→VCPEndpoint→S3へアクセスするといった)においては需要があるかもしれません :sweat_smile:

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away