ファイルストレージにS3を設定する際にアクセスキーID、シークレットアクセスキーを利用しない方法はありますか？

[yumiko1209]

Growiのファイルストレージに関してですが、アクセスキーID、シークレットアクセスキーを設定しないでS3と連携できる方法はありますでしょうか？
現在構築中のクラウド環境にGrowiを構築する予定なのですが、リスク管理の観点からアクセスキーID、シークレットアクセスキーを発行することが難しい状況です。そのため代替策としてIAMロールによる認証を試みたのですが、S3との連携ができずファイルがアップロードできません。
IAMロールによる認証に対応しているのか、もしくは他にS3との連携方法があるのかをご教示いただけますと幸いです。

また上記に関して現状対応方法がない場合、AWS SDKを利用しているのであればSDK側が優先順位に従ってクレデンシャルを取得する仕様(Setting credentials in Node.js - AWS SDK for JavaScript (amazon.com))であるため、クレデンシャルの取得をSDK側に移譲することでインスタンスのIAMロールを利用したアクセスは可能にならないでしょうか？
回答よろしくお願いいたします。

Environment

Host

item	version
OS	RHEL-8.6.0
Growi	6.1.4
node.js	18.16.0
npm	9.5.1
yarn	1.22.19
Using Docker	yes
Using [growi-docker-compose]	yes

Client

item	version
OS	Windows 11
browser	chrome 113.0.5672.127

実施済み事項

• 別AWS環境にてアクセスキーID、シークレットアクセスキー欄に情報を入力してファイルをアップロード
  ⇒アップロード可能、アップロード時にattachments.limit、attachments.addの2つのAPIが実行されていることを確認
• インスタンスにIAMロール付加、アクセスキーID、シークレットアクセスキー欄に何も入力しない状態でファイルをアップロード
  ⇒アップロード不可、APIの実行無し
• インスタンスにIAMロール付加、アクセスキーID欄に任意の値を入力した状態でファイルをアップロード
  ⇒アップロード不可、APIの実行無し

関連するissue

#2804

[yuki-takei]

#2804 は discussion に変換されたため、後続はこちらになります。#7739

質問に回答いたしますと、

アクセスキーID、シークレットアクセスキーを設定しないでS3と連携できる方法はありますでしょうか？

現状それ以外の方法はありません。

また上記に関して現状対応方法がない場合、AWS SDKを利用しているのであればSDK側が優先順位に従ってクレデンシャルを取得する仕様(Setting credentials in Node.js - AWS SDK for JavaScript (amazon.com))であるため、クレデンシャルの取得をSDK側に移譲することでインスタンスのIAMロールを利用したアクセスは可能にならないでしょうか？

情報ありがとうございます。ドキュメントを信じる限りそれでいけそうな気はします。
PR はウェルカムですが、現状本体開発チームは直近の改修予定にこちらを入れていません。以下のような PR をいただけるようであれば積極的に取り込みたいと思います。

1. GROWI が依存しているパッケージが "@aws-sdk/client-s3": "^3.58.0", なので、それを利用した環境下で IAM ロールの利用及び正常動作を確認できる
2. 上記がライブラリのバージョン差異により不可であれば、最新バージョンに上げた上で諸々の AWS S3 を扱う動作に支障がないことを確認できる