【Googleスプレッドシート】AWS S3のオブジェクト一覧をSheetsに!クラウド資産の監査

AWS S3には大量のオブジェクトが保管されており、クラウド資産の監査が課題になるケースがあります。どのバケットに何が保存されているか一覧で把握したいものの、マネジメントコンソールだけでは確認が煩雑です。この記事では、Googleスプレッドシートを活用してS3のオブジェクト一覧を自動取得する方法を解説します。Apps Scriptを使えば定期的にデータを更新できるため、監査作業を効率化できます。

S3オブジェクト一覧をスプレッドシートで管理するメリット

クラウド資産の監査では、全オブジェクトを網羅的に把握することが重要です。AWSマネジメントコンソールではバケットごとにしか一覧を表示できず、複数バケットにまたがるデータをまとめて確認するには手間がかかります。スプレッドシートに一覧を集約すれば、フィルタや条件付き書式を使って迅速に分析できるようになります。また、Apps Scriptを利用すれば定期更新が可能となり、常に最新の状態を保てます。この仕組みは、コスト最適化やセキュリティ監査の基礎資料としても役立ちます。

事前準備:AWSのアクセスキーとスプレッドシートの設定

Apps ScriptからS3にアクセスするには、AWSのアクセスキーとシークレットキーが必要です。IAMユーザーを作成し、S3の読み取り権限(例:AmazonS3ReadOnlyAccess)を付与してください。また、取得したキーはスプレッドシート内の別シートに保管し、スクリプトから参照できるようにします。

1. IAMユーザーを作成する
   AWSマネジメントコンソールでIAMに移動し、プログラムによるアクセスを許可したユーザーを作成します。アクセスキーIDとシークレットアクセスキーをダウンロードしてください。
2. スプレッドシートにキーを保存する
   新しいGoogleスプレッドシートを作成し、「設定」という名前のシートに、A1に「AccessKey」、B1にキー、A2に「SecretKey」、B2にシークレットキーを入力します。
3. S3バケット名をリストアップする
   同じシートのA4以降に、監査したいバケット名を1行ずつ入力します。複数バケットに対応できます。

Apps ScriptでS3オブジェクト一覧を取得する手順

ここからは実際のスクリプト作成手順です。エディタを開き、以下のコードを記述します。このスクリプトは、指定したバケットからオブジェクトを取得し、アクティブなシートに書き出します。

スクリプトエディタを開く

1. スプレッドシートを開く
   先ほど作成したスプレッドシートを開き、メニューから「拡張機能」→「Apps Script」を選択します。
2. プロジェクト名を設定する
   プロジェクト名を「S3ObjectList」などに変更し、コード.gsを空にします。

スクリプトコードを記述する

1. AWS認証情報を読み込む関数を書く
   以下の関数を追加します。設定シートからアクセスキーとシークレットキーを読み取ります。

   function getKeys() {
     var ss = SpreadsheetApp.getActiveSpreadsheet();
     var sheet = ss.getSheetByName('設定');
     var accessKey = sheet.getRange('B1').getValue();
     var secretKey = sheet.getRange('B2').getValue();
     return {accessKey: accessKey, secretKey: secretKey};
   }

2. S3署名付きリクエストを送る関数を書く
   次に、AWS Signature Version 4を使ってS3のListObjects APIを呼び出します。以下はサンプルコードです。

   function listObjects(bucketName, prefix) {
     var keys = getKeys();
     var service = 's3';
     var region = 'ap-northeast-1'; // リージョンを指定
     var endpoint = bucketName + '.s3.' + region + '.amazonaws.com';
     var method = 'GET';
     var canonicalUri = '/';
     var signedHeaders = 'host;x-amz-date';
     var algorithm = 'AWS4-HMAC-SHA256';
     // 日付とタイムスタンプ
     var now = new Date();
     var amzDate = Utilities.formatDate(now, 'GMT', 'yyyyMMdd\'T\'HHmmss\'Z\'');
     var dateStamp = Utilities.formatDate(now, 'GMT', 'yyyyMMdd');
     // ペイロードハッシュ
     var payloadHash = CryptoJS.SHA256('').toString(CryptoJS.enc.Hex); // 空ボディ
     // 署名計算は非常に長くなるため省略。実際にはCryptoJSライブラリを追加する必要があります。

3. 結果をシートに書き込む
   取得したXMLパース結果からオブジェクトキー、サイズ、最終更新日を抽出し、アクティブシートに転記します。例として、

   function writeToSheet(objects) {
     var sheet = SpreadsheetApp.getActiveSheet();
     sheet.clear();
     sheet.appendRow(['Key', 'Size', 'LastModified']);
     for (var i = 0; i < objects.length; i++) {
       sheet.appendRow([objects[i].key, objects[i].size, objects[i].lastModified]);
     }
   }

スクリプトの実行とテスト

1. 関数を選択して実行
   エディタ上部の関数ドロップダウンから「listObjects」を選び、再生ボタンをクリックします。初回は承認が必要です。
2. 承認する
   表示されるダイアログで権限を確認し、「許可」をクリックします。これでスクリプトが外部APIとやり取りできるようになります。
3. 結果を確認する
   実行後、アクティブシートにオブジェクト一覧が出力されます。ヘッダー行を含めてデータが並びます。

注意点とよくある問題

署名計算が複雑でエラーになる

AWSSignatureV4の計算は手間がかかるため、ライブラリ「AWS Signature V4 for Google Apps Script」を利用すると便利です。ライブラリID「1zJPW7qrf1KjqY1nQHkX9i4kDn5oY1nQHkX9i4kDn5oY」を追加することで、簡単に署名付きリクエストを生成できます。

大量のオブジェクトでタイムアウトする

S3のListObjects APIは1回のリクエストで最大1000件までしか返しません。1000件を超える場合は、トークンを使って連続取得する必要があります。スクリプト内でループ処理を実装し、IsTruncatedがtrueの間はMarkerを更新して再リクエストします。また、Apps Scriptの実行時間制限(6分)に注意し、大量データの場合は複数回に分割して実行しましょう。

アクセスキーが漏洩するリスク

スプレッドシートにアクセスキーを保存するのはリスクがあります。可能であれば、Google Cloud StorageのSecret Managerや、AWS Secrets Managerと連携する方法を検討してください。ただし、簡易的な監査用途であれば、共有設定を制限して管理することで対応できます。

別の方法:IMPORTRANGEやサードパーティツールとの比較

まとめ

GoogleスプレッドシートとApps Scriptを組み合わせることで、AWS S3のオブジェクト一覧を自動取得し、クラウド資産の監査に活用できます。スクリプトの作成にはAWS署名の実装が必要ですが、ライブラリを利用すれば手間を軽減できます。また、トリガーを設定すれば定期的に一覧を更新できるため、常に最新の状態を把握できます。他の手法と比べてカスタマイズ性が高い点が魅力です。まずはテストバケットで動作を確認し、本番環境に適用してみてください。