Question: AWS S3へのアップロード設定にてIAMロールを使用したい

[kassytech01]

Question

AWSの推奨としては、アプリケーションから認証情報を使用する場合は、アクセスキーではなくIAMロールを使用することとされています。
その為、S3へのアップロードをIAMロールにて制御したいのですが、対応のご予定はございますでしょうか。

▼（参考）管理のベストプラクティス AWS アクセスキー
https://docs.aws.amazon.com/ja_jp/general/latest/gr/aws-access-keys-best-practices.html

経緯

これまで、v3.3.10を使用していましたが、以下のIssueを受け最新（v4.1.5）にアップデートし検証を実施しました。
#705 (comment)

• バージョンアップ後に新たにアップロードされたファイルは、全て GROWI バックエンドがプロキシする
  • URL 形式はファイルアップロード方式に依らず/attachment/${attachmentId}に統一

AWS設定のアクセスキーを指定した状態ではうまくアップロードできたのですが、それらを消した状態（IAMロールの使用を想定して）で試行したところアップロードできませんでした。

Environment

Host

item	version
OS	Amazon Linux
GROWI	4.1.5
node.js	14.9.0
npm	6.14.8
Using Docker	yes
Using growi-docker-compose	yes

(Accessing https://{GROWI_HOST}/admin helps you to fill in above versions)

Client

item	version
OS	Windows10
browser	Chrome 85.0.4183.102

How to reproduce? (再現手順)

検証した手順は以下の通りです。

1. 「AWS設定」にてアクセスキーを指定して実行

正常にアップロードできました。
URL形式も/attachment/${attachmentId}となりました。
参照も可能です。

2. 「AWS設定」にてアクセスキーを指定せずに実行

リージョンとS3バケット名のみ指定し、S3をフルオープン（バケットポリシーは未指定）、IAMロールにはAdministrator Access（全操作可能）を付与した状態で実施したところ、アップロードができませんでした。
具体的にはクリップボードにコピーした画像をCtrl+Vで画像貼り付けしましたが何もリクエストが発生しない状態です。
（問題ない場合はこれで正常にアップロードできました）
尚、既にアップロードされた画像（URL形式：/attachment/${attachmentId}）は、参照可能でした。

What is the expected result? (期待される動作)

• アクセスキーを使わずにIAMロールで画像のアップロードができること。

[yuki-takei]

@kassytech01

その為、S3へのアップロードをIAMロールにて制御したいのですが、対応のご予定はございますでしょうか。

すみません、具体的にどのような対応をとればいいのか、S3 と IAM ロールに関する調査を行っていないのではっきりとは回答できないのですが、必要なコスト次第かなという感覚です。

現状はアクセスキーがない(空の場合)だと、ファイルアップロードを受け持つサービス自体をセットアップしないような実装になっています。OS側の設定を行いさえすれば GROWI 側ではこれを外すだけでアクセスキーなしで S3 アップロードが成功するようであれば比較的ライトな修正になりますが、他に設定項目の追加等が必要ということですとちょっと着手タイミングはもっと後になるかなと思います。