iPhoneからS3を操作したい

動機

僕は毎月Googleフォトにお金を払ってiPhoneに保存している写真のバックアップを取っています。
普段クラウドエンジニアとしてS3を利用していて、料金が安いことを知っているのに、安直にGoogleフォトに課金するのはおかしい！S3を自分用のクラウドストレージとすれば安いのでは？何ならビジネスチャンスかと思い、iPhoneからS3に簡単にアップロードできる構成を構築してみました。

結論

正直今から作成する構成には良くないところがあり、下記の構成を再現するメリットがありません。
動機に記載した夢も潰えていて、運用に耐えうるものではないため、参考程度に見ることを推奨します。
詳細は結果の段落と感想の段落に記載があります。

今回の構成

用意するもの

・S3バケット
・S3接続用IAMユーザ
・S3接続用クライアントアプリ（サードパーティ製・有料）

作成の手順

1. IAMユーザを作成し、S3バケットに対する権限を付与する
2. 作成したユーザでアクセスキーを作成する
3. S3バケットを作成する
4. 作成したユーザからのみアクセス可能になるようバケットポリシーを作成する
5. iPhoneにS3接続用クライアントアプリを導入する
6. 作成したIAMユーザのアクセスキーを格納する
   

AWS環境の準備

IAMユーザの作成

1. 下記のポリシーを作成しておきます。名前等はお好みで問題ないです。

   注意
   本来はS3フルアクセスを付与する必要はないはずですが、
   面倒なのでここではフルアクセスを与えています。

   IAMPolicy.json

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "S3Access",
                "Effect": "Allow",
                "Action": "s3:*",
                "Resource": [
                    "arn:aws:s3:::作成するバケット名",
                    "arn:aws:s3:::作成するバケット名/*"
                ]
            }
        ]
    }
   

2. IAMユーザの作成
   1で作成したIAMポリシーをアタッチしたユーザを作成します。

3. IAMアクセスキーの作成
   2で作成したユーザのアクセスキーを作成します
   ここで作成したアクセスキーはのちに使用するので控えておきます。
   これでIAM関連の作業は終了になります。

S3バケットの作成

1. S3バケットを作成する（ほぼデフォルト）

2. バケットポリシーを設定する

   BucketPolicy.json

    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Deny",
                "NotPrincipal": {
                    "AWS": [
                        "arn:aws:iam::アカウントID:user/作成したユーザ名"
                    ]
                },
                "Action": "s3:*",
                "Resource": [
                    "arn:aws:s3:::作成したバケット名",
                    "arn:aws:s3:::作成したバケット名/*"
                ]
            }
        ]
    }
   

3. ブロックパブリックアクセスを設定する。
   今回はインターネットからのアクセスを許可するため、パブリックアクセスを許可する。

4. 

クライアント側環境の準備

クライアントアプリのインストール

1. 下記のアプリをインストールする。（執筆時は300円買い切り）
   https://apps.apple.com/jp/app/aws-s3-manager/id1352683230
2. クライアントアプリ内の設定を実施する。
   Access Key ID：作成したユーザのアクセスキーを設定
   Secret Key：作成したユーザのシークレットアクセスキーを設定
   Bucket：作成したバケット名を設定
   
3. Connectを押下するとバケット内に格納したファイルを確認することができ、付与した権限の操作が可能になる。

結果

思い描く構成は作成することができました。
ただし当初の目的であるGoogleフォトより安くクラウド環境にバックアップをするという目的は達成されたのでしょうか。

ざっくりAWSで調べてみたところ、200GB,データ転送量1GB,読み込み回数100,書き込み回数100の場合は796円/月でした。

対してGoogleフォトの場合は200GBで350円/月と半額以下の金額で済みます。
（何なら年払いだともっとお得）

つまり結果としては当初の目的を達成できず、何なら割高になるため実用性は何もないです

感想

正直今回の検証はあまりよろしくないところがいくつかありました。

1. 事前にS3の料金をしっかり調査していない
2. ユーザにS3フルアクセスを付与している（ベストプラクティスに沿わない）
3. 信頼できるか分からないサードパーティー製のアプリにアクセスキーを入力している

などなど、枚挙に暇がないですね。
バケットポリシーの書き方などは勉強になったので良しとしましょう。
この構成をこのまま実施するのではなく、大人しく既存のサービスを利用することをお勧めします。

参考