okHttp3でクライアントを立て、限定公開のS3の画像URLをPicassoでロードしたい

Postmanで送ったAWS Signature付きのリクエスト通り(Postmanだと表示される)に、ヘッダーを追加してokHttpでクライアントを立て、認証制限のついたAWS S3(アプリ内からだけアクセスしたい)の画像URLをPicassoでロードできるかテストしているのですが、

なんどやっても、**403 forbiddenで、SignatureDoesNotMatch**となってしまいます。

AWS Signatureの計算方法、またはどこかクリティカルな間違い、もしわかる方がいればご教授いただきたいです。

バケット名、キーなどは間違っておりません。

okHttpクライアント

java
1    public static OkHttpClient getOkHttpClient() {
2
3        final String AWS_ACCESS_KEY_ID = "XXXXXXXXXXXX";
4
5        final String AWS_SECRET_ACCESS_KEY = "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX";
6
7        try {
8
9            signature = encode(getSignatureKey(AWS_SECRET_ACCESS_KEY, DateUtil.getNowDateTimeUtc("yyyyMMdd"), "ap-northeast-1", "s3"));
10
11
12        } catch (Exception e) {
13
14            e.printStackTrace();
15
16        }
17
18        if (client == null) {
19
20            client = new OkHttpClient.Builder()
21                    .addInterceptor(new Interceptor() {
22                        @Override
23                        public Response intercept(Chain chain) throws IOException {
24                            Request newRequest = chain.request().newBuilder()
25                                    .addHeader("Content-Type", "application/x-www-form-urlencoded")
26                                    .addHeader("Host", "XXXX.s3-ap-northeast-1.amazonaws.com")
27                                    .addHeader("X-Amz-Content-Sha256", "XXXXXXXXXXXXXXXXXXXXX")
28                                    .addHeader("X-Amz-Date", DateUtil.getNowDateTimeUtc("yyyyMMdd'T'HHmmss'Z'"))
29                                    .addHeader("Authorization", "AWS4-HMAC-SHA256 Credential=" + AWS_ACCESS_KEY_ID + "/" + DateUtil.getNowDateTimeUtc("yyyyMMdd") + "/ap-northeast-1/s3/aws4_request," +
30                                            " SignedHeaders=content-type;host;x-amz-content-sha256;x-amz-date, Signature=" + signature)
31                                    .build();
32                            return chain.proceed(newRequest);
33                        }
34                    })
35                    .build();
36        }
37
38        return client;
39    }

SHA256byte[]変換

java:
1
2
3    static byte[] HmacSHA256(String data, byte[] key) throws Exception {
4        String algorithm = "HmacSHA256";
5        Mac mac = Mac.getInstance(algorithm);
6        mac.init(new SecretKeySpec(key, algorithm));
7        return mac.doFinal(data.getBytes("UTF-8"));
8    }
9
10    static byte[] getSignatureKey(String key, String dateStamp, String regionName, String serviceName) throws Exception {
11        byte[] kSecret = ("AWS4" + key).getBytes("UTF-8");
12        byte[] kDate = HmacSHA256(dateStamp, kSecret);
13        byte[] kRegion = HmacSHA256(regionName, kDate);
14        byte[] kService = HmacSHA256(serviceName, kRegion);
15        byte[] kSigning = HmacSHA256("aws4_request", kService);
16        return kSigning;
17    }
18
19    static String encode(byte[] array) {
20        StringBuilder sb = new StringBuilder();
21        for (byte d : array) {
22            sb.append(String.format("%02x", d));
23        }
24        String str = sb.toString();
25        return str;
26    }

Picasso

    public static Picasso setClientPicasso(Context context) {
        Picasso picasso = new Picasso.Builder(context)
                .listener(new Picasso.Listener() {
                    @Override
                    public void onImageLoadFailed(Picasso picasso, Uri uri, Exception exception) {

                        exception.printStackTrace();

                    }
                })
                .downloader(new OkHttp3Downloader( MainApplication.getOkHttpClient() )).build();


        return picasso;
    }


    public static void convertIntoIcon(Context context, String uri, ImageView iconView) {

        setClientPicasso(context)
                .load(uri)
                .resize(200,200)
                .centerCrop()
                .transform(new CropCircleTransformation())
                .into(iconView);
    }