i-repo 2.14.0 → 2.16.0

package/dist/commands/deliver/orchestrator.js

@@ -44,6 +44,13 @@ function dryRunArgs(dryRun) {
 async function runSink(sink, archivePath, ctx, resolver) {
     const base = { id: sink.id, plugin: sink.plugin, kind: sink.kind, skipped: false, receipts: [] };
     const extraArgs = sink.args ?? [];
+    // per-sink secret env（#94）: deliver プロセスの env から名指しの変数だけを取り出し、
+    // この sink のプロセスにだけ注入する（argv 非掲載・他 sink へ漏れない）。
+    const extraEnv = resolveSecretEnv(sink.secretEnv);
+    // 転送した secret の**値**を receipt から伏せる（#94/#5）。プラグインが受領 secret を
+    // receipt へ echo しても、deliver-run/pluginReceipts に平文の鍵が残らないようにする。
+    const secretValues = Object.values(extraEnv ?? {});
+    const redact = (receipts) => redactSecretValues(receipts, secretValues);
     if (sink.kind === "stream") {
         const manifest = join(archivePath, "manifests", "reports.ndjson");
         let stdin = createReadStream(manifest);
@@ -51,33 +58,48 @@ async function runSink(sink, archivePath, ctx, resolver) {
             // resolver は orchestrator が bundle 着地後に組む（実パス or null）。
             stdin = stdin.pipe(createLocatorEnrich(resolver ?? (() => null)));
         }
-        const cap = await capturePlugin(sink.plugin, [...extraArgs], ctx, { stdin });
+        const cap = await capturePlugin(sink.plugin, [...extraArgs], ctx, { stdin, extraEnv });
         if (!cap)
             return { ...base, failure: `plugin "i-repo-${sink.plugin}" not found` };
-        return {
-            ...base,
-            code: cap.code,
-            receipts: cap.receipts,
-            ...(sinkFailure(cap.code, cap.receipts)),
-        };
+        const receipts = redact(cap.receipts);
+        return { ...base, code: cap.code, receipts, ...(sinkFailure(cap.code, receipts)) };
     }
     // bundle sink: archive dir を位置引数で渡す（stdin 無し）。
-    const cap = await capturePlugin(sink.plugin, [sink.subcommand, archivePath, ...extraArgs], ctx);
+    const cap = await capturePlugin(sink.plugin, [sink.subcommand, archivePath, ...extraArgs], ctx, { extraEnv });
     if (!cap)
         return { ...base, failure: `plugin "i-repo-${sink.plugin}" not found` };
+    const receipts = redact(cap.receipts);
     // bundle sink の receipt が焼いた canonical な store location（dest）/ storeKind を
     // sink へ載せる（#89）。DC が catalog の dataset identity・store.location に使うため、
     // **delivered（verify 成功）した sink のみ**に載せる — 失敗 sink の receipt も
     // dest を持つが、未着地の宛先を identity として広告すると DC が phantom dataset を作る。
-    const verifiedOk = receiptVerifiedOk(cap.receipts);
+    const verifiedOk = receiptVerifiedOk(receipts);
     return {
         ...base,
         code: cap.code,
-        receipts: cap.receipts,
-        ...(verifiedOk ? sinkDestFromReceipts(cap.receipts) : {}),
-        ...(sinkFailure(cap.code, cap.receipts)),
+        receipts,
+        ...(verifiedOk ? sinkDestFromReceipts(receipts) : {}),
+        ...(sinkFailure(cap.code, receipts)),
     };
 }
+/**
+ * 転送 secret の値を receipt 群から伏せる（部分一致も置換・#94）。
+ * 短い値は部分一致で**無関係なフィールド（canonical dest 等）を巻き込んで壊す**ため除外する
+ * （host が AWS_REGION 等を誤って secretEnv に入れた場合の collision を防ぐ）。実クラウド資格情報は
+ * 十分長い（AWS secret key=40・access key id=20・GCP creds=パス）ので閾値で取りこぼさない。
+ */
+const SECRET_REDACT_MIN_LEN = 8;
+function redactSecretValues(receipts, values) {
+    const secrets = values.filter((v) => typeof v === "string" && v.length >= SECRET_REDACT_MIN_LEN);
+    if (!secrets.length)
+        return receipts;
+    const scrub = (s) => secrets.reduce((acc, sec) => acc.split(sec).join("***"), s);
+    const walk = (x) => typeof x === "string" ? scrub(x)
+        : Array.isArray(x) ? x.map(walk)
+            : x && typeof x === "object" ? Object.fromEntries(Object.entries(x).map(([k, v]) => [k, walk(v)]))
+                : x;
+    return receipts.map((r) => walk(r));
+}
 /** push receipt が焼いた canonical `dest` / `storeKind` を拾う（#89・bundle sink）。 */
 function sinkDestFromReceipts(receipts) {
     const out = {};
@@ -99,6 +121,32 @@ function locatorSourceId(sink, bundleIds) {
         return sink.locatorFrom;
     return bundleIds.length === 1 ? bundleIds[0] : undefined;
 }
+/**
+ * sink.secretEnv（env 名リスト）を deliver プロセスの env から解決する（#94）。
+ * 値は host が deliver プロセスへ設定したもの。spec に値は持たせない（disk 非掲載）。
+ * 未設定の名前は黙って飛ばす（host が用意していない＝その sink は認証できず失敗するだけ）。
+ *
+ * 照合は **大文字小文字を無視**する（dispatch の env 取り扱い＝parsePassEnv が env 名を
+ * 大文字化して照合するのに合わせる）。POSIX env は本来 case-sensitive だが資格情報は慣習的に
+ * 大文字（AWS_* や GOOGLE_… 等）で、spec 著者の lowercase 取り違えが**無診断で認証失敗**するのを防ぐ。
+ * 転送は **実在 env キー名**で行う（SDK が読む正準名を保つ）。
+ */
+function resolveSecretEnv(names) {
+    if (!names || names.length === 0)
+        return undefined;
+    const index = new Map(); // UPPER(name) -> [realName, value]
+    for (const [k, v] of Object.entries(process.env)) {
+        if (typeof v === "string")
+            index.set(k.toUpperCase(), [k, v]);
+    }
+    const out = {};
+    for (const n of names) {
+        const hit = index.get(n.toUpperCase());
+        if (hit)
+            out[hit[0]] = hit[1];
+    }
+    return Object.keys(out).length ? out : undefined;
+}
 function sinkFailure(code, receipts) {
     if (code !== 0)
         return { failure: `exit ${code}` };

package/dist/commands/deliver/spec.d.ts

@@ -13,6 +13,13 @@ export interface SinkSpec {
     /** locator をどの bundle sink から組むか（bundle が複数のとき必須）。 */
     locatorFrom?: string;
     skipIfDelivered?: boolean;
+    /**
+     * この sink のプロセスへ転送する env 変数名のリスト（#94）。値は deliver プロセスの
+     * env（host が設定）から取り、この sink だけに注入する（argv 非掲載・他 sink へ漏れない）。
+     * 無人クラウド認証（AWS_* や GOOGLE_APPLICATION_CREDENTIALS 等）を fan-out 経由で渡す用。
+     * プラグインの envVar 宣言に依存しない（任意の第三者プラグインで動く）。
+     */
+    secretEnv?: string[];
 }
 export interface ArchiveSpec {
     plugin: string;

package/dist/commands/deliver/spec.js

@@ -7,6 +7,9 @@
  */
 import { readFileSync } from "node:fs";
 import { ValidationError } from "../../core/errors.js";
+import { isForwardableSecretEnvName } from "../../plugins/dispatch.js";
+/** env 変数名として妥当か（POSIX 風・注入/取り違え防止）。 */
+const ENV_NAME_RE = /^[A-Za-z_][A-Za-z0-9_]*$/;
 function isObject(v) {
     return v !== null && typeof v === "object" && !Array.isArray(v);
 }
@@ -73,6 +76,17 @@ export function validateDeliverSpec(value) {
                 bundleIds.add(s.id);
             }
         }
+        if ("secretEnv" in s) {
+            if (!Array.isArray(s.secretEnv) || !s.secretEnv.every((n) => typeof n === "string" && ENV_NAME_RE.test(n))) {
+                p.push(`sinks[${i}].secretEnv must be an array of env var names ([A-Za-z_][A-Za-z0-9_]*)`);
+            }
+            else {
+                // contract 所有(IREPO_*)・ローダ/実行系乗っ取り(LD_*/DYLD_*/PATH/NODE_OPTIONS 等)は禁止。
+                const bad = s.secretEnv.filter((n) => !isForwardableSecretEnvName(n));
+                if (bad.length)
+                    p.push(`sinks[${i}].secretEnv must not include protected/dangerous names: ${bad.join(", ")}`);
+            }
+        }
     });
     // locatorFrom の整合（§9.4）: enrichLocator の stream sink が複数 bundle 下で
     // どの bundle を使うか曖昧にしない。順序依存の暗黙選択は禁止。

package/dist/plugins/capture.d.ts

@@ -10,6 +10,13 @@ export interface CaptureOptions {
     timeoutSec?: number;
     /** Run-level abort — on abort the child is SIGTERM'd (then SIGKILL after grace). */
     signal?: AbortSignal;
+    /**
+     * Extra env merged onto the allow-listed plugin env, AFTER buildPluginEnv
+     * (so it can re-add vars the allow-list would otherwise scrub). Used by
+     * `deliver` to forward per-sink secret env (gemba-deliver `secretEnv`, #94)
+     * into this sink's process only — never into argv, never to sibling sinks.
+     */
+    extraEnv?: Record<string, string>;
 }
 export interface CaptureResult {
     /** Exit code; signal deaths map to 128+n (SIGNUM), matching dispatchPlugin. */

package/dist/plugins/capture.js

@@ -15,7 +15,7 @@
  * identically whether invoked directly or under deliver.
  */
 import { spawn } from "node:child_process";
-import { buildPluginEnv, prepareSpawn, GRACE_MS, SIGNUM, } from "./dispatch.js";
+import { buildPluginEnv, isForwardableSecretEnvName, prepareSpawn, GRACE_MS, SIGNUM, } from "./dispatch.js";
 import { parseLines } from "./verify.js";
 /**
  * Run a plugin capturing its stdout. Returns null when no `i-repo-<name>`
@@ -32,6 +32,18 @@ export async function capturePlugin(name, args, ctx, opts = {}) {
     }
     const { spawnBin, spawnArgs, windowsVerbatim } = prep.plan;
     const env = buildPluginEnv(ctx);
+    // per-sink の追加 env（#94）。allow-list の後に重ねる＝この sink のプロセス限定で
+    // host 指定の secret env を復活させる（他 sink・argv には出ない）。ただし
+    // **buildPluginEnv の trust 境界は迂回させない**: 契約所有(IREPO_*)・ローダ/実行系
+    // 乗っ取り(LD_*/DYLD_*/PATH/NODE_OPTIONS 等)の名前は defense-in-depth で弾く。
+    if (opts.extraEnv) {
+        for (const [k, v] of Object.entries(opts.extraEnv)) {
+            if (isForwardableSecretEnvName(k))
+                env[k] = v;
+            else
+                process.stderr.write(`deliver: refusing to forward protected env "${k}" to a sink\n`);
+        }
+    }
     return await new Promise((resolve) => {
         const child = spawn(spawnBin, spawnArgs, {
             // stdout piped (we capture receipts); stderr inherited (progress flows to

package/dist/plugins/dispatch.d.ts

@@ -20,6 +20,7 @@ export interface PluginContext {
      */
     save?: string;
 }
+export declare function isForwardableSecretEnvName(name: string): boolean;
 /** Plugin names are restricted to a safe charset to prevent path escaping. */
 export declare function isValidPluginName(name: string): boolean;
 /**

package/dist/plugins/dispatch.js

@@ -18,6 +18,26 @@ import { fingerprintEndpoint } from "../config/endpoint-fingerprint.js";
 import { resolveSourceMachine } from "../config/provenance.js";
 /** Prefix every plugin executable must carry. */
 export const PLUGIN_PREFIX = "i-repo-";
+/**
+ * deliver の per-sink `secretEnv`（#94）で sink へ転送してよい env 名か。
+ * buildPluginEnv の trust 境界を secretEnv で迂回させないための denylist:
+ * - `IREPO_*`: 契約/来歴は CLI が権威的に設定する正本（spoof・clobber 禁止。IREPO_PASSWORD 含む）。
+ * - `LD_*` / `DYLD_*`: ELF/Mach-O ローダ注入（任意コード実行）。
+ * - `PATH`/`NODE_OPTIONS`/`BASH_ENV`/`ENV`/`IFS`/`SHELL`/`PYTHON*PATH` 等: 実行系の乗っ取りベクタ。
+ * 大文字小文字無視で判定（case で denylist をすり抜けさせない）。
+ */
+const SECRET_ENV_DENY_EXACT = new Set([
+    "PATH", "NODE_OPTIONS", "NODE_REPL_EXTERNAL_MODULE", "BASH_ENV", "ENV", "IFS",
+    "SHELL", "PYTHONPATH", "PYTHONSTARTUP", "PERL5LIB", "PERL5OPT", "RUBYOPT", "GEM_PATH",
+]);
+export function isForwardableSecretEnvName(name) {
+    const u = String(name).toUpperCase();
+    if (u.startsWith("IREPO_"))
+        return false;
+    if (u.startsWith("LD_") || u.startsWith("DYLD_"))
+        return false;
+    return !SECRET_ENV_DENY_EXACT.has(u);
+}
 const isWin = process.platform === "win32";
 /** Plugin names are restricted to a safe charset to prevent path escaping. */
 export function isValidPluginName(name) {

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "i-repo",
-  "version": "2.14.0",
+  "version": "2.16.0",
   "description": "Modern CLI for ConMas i-Reporter - Built for humans and AI",
   "type": "module",
   "bin": {

package/plugins/i-repo-archive

@@ -44,7 +44,7 @@ async function loadBuiltins() {
 }
 
 const PLUGIN = "i-repo-archive";
-const VERSION = "0.6.2";
+const VERSION = "0.6.3";
 const PLUGIN_API = "1";
 const defaultArchiveRoot = () => join(homedir(), ".i-repo", "archives");
 
@@ -179,6 +179,19 @@ if (arg0 === "--plugin-schema") {
       { name: "--cleanup", type: "boolean", subcommand: "push-s3", destructive: true,
         label: "Clean up local archive",
         description: "Delete the local archive directory after the upload is verified" },
+      // push-s3 無人認証（#92・push-azure と同作法）: 値は argv ではなく env で aws に渡す。
+      { name: "--access-key-id", type: "string", subcommand: "push-s3", envVar: "AWS_ACCESS_KEY_ID",
+        label: "AWS アクセスキーID（任意・無人用）",
+        description: "IAM アクセスキーID。値は環境変数 AWS_ACCESS_KEY_ID で aws に渡す（対話 aws sso login 不要で無人化）" },
+      { name: "--secret-access-key", type: "string", subcommand: "push-s3", secret: true, envVar: "AWS_SECRET_ACCESS_KEY",
+        label: "AWS シークレットアクセスキー（任意・無人用）",
+        description: "IAM シークレットアクセスキー。値は argv に出さず環境変数 AWS_SECRET_ACCESS_KEY で aws に渡す" },
+      { name: "--profile", type: "string", subcommand: "push-s3", envVar: "AWS_PROFILE",
+        label: "AWS プロファイル（任意）",
+        description: "named profile（~/.aws 構成）。値は環境変数 AWS_PROFILE で aws に渡す" },
+      { name: "--region", type: "string", subcommand: "push-s3", envVar: "AWS_REGION",
+        label: "AWS リージョン（任意）",
+        description: "リージョン。値は環境変数 AWS_REGION で aws に渡す" },
       // push-gcs
       { name: "--to", type: "string", required: true, subcommand: "push-gcs",
         label: "GCS destination", placeholder: "gs://bucket/prefix",
@@ -190,6 +203,10 @@ if (arg0 === "--plugin-schema") {
       { name: "--cleanup", type: "boolean", subcommand: "push-gcs", destructive: true,
         label: "Clean up local archive",
         description: "Delete the local archive directory after the upload is verified" },
+      // push-gcs 無人認証（#92）: SA 鍵 JSON の**パス**を env(GOOGLE_APPLICATION_CREDENTIALS)で gcloud に渡す。
+      { name: "--gcp-credentials", type: "string", subcommand: "push-gcs", envVar: "GOOGLE_APPLICATION_CREDENTIALS",
+        label: "GCP サービスアカウント鍵のパス（任意・無人用）",
+        description: "サービスアカウント鍵 JSON のファイルパス（鍵そのものではない）。env GOOGLE_APPLICATION_CREDENTIALS で受け、プラグインが gcloud CLI 用に CLOUDSDK_AUTH_CREDENTIAL_FILE_OVERRIDE へも複写して無人化（対話 gcloud auth login 不要）" },
       // push-azure
       { name: "--to", type: "string", required: true, subcommand: "push-azure",
         label: "Azure Blob destination", placeholder: "https://<account>.blob.core.windows.net/<container>/<prefix>",
@@ -222,8 +239,13 @@ if (arg0 === "--plugin-schema") {
       // pull-*（取り戻し・host 管理。GUI 配信フォームには出ない＝mode:read。Rust が固定引数で渡す）
       { name: "--from", type: "string", subcommand: "pull-s3", description: "取得元 s3://bucket/prefix（着地した bundle のルート）" },
       { name: "--out", type: "string", subcommand: "pull-s3", description: "取得先ローカルディレクトリ" },
+      { name: "--access-key-id", type: "string", subcommand: "pull-s3", envVar: "AWS_ACCESS_KEY_ID", description: "無人取り戻し用 IAM アクセスキーID（env AWS_ACCESS_KEY_ID）" },
+      { name: "--secret-access-key", type: "string", subcommand: "pull-s3", secret: true, envVar: "AWS_SECRET_ACCESS_KEY", description: "無人取り戻し用 IAM シークレットキー（env のみ・argv 非掲載）" },
+      { name: "--profile", type: "string", subcommand: "pull-s3", envVar: "AWS_PROFILE", description: "AWS named profile（env AWS_PROFILE）" },
+      { name: "--region", type: "string", subcommand: "pull-s3", envVar: "AWS_REGION", description: "AWS リージョン（env AWS_REGION）" },
       { name: "--from", type: "string", subcommand: "pull-gcs", description: "取得元 gs://bucket/prefix" },
       { name: "--out", type: "string", subcommand: "pull-gcs", description: "取得先ローカルディレクトリ" },
+      { name: "--gcp-credentials", type: "string", subcommand: "pull-gcs", envVar: "GOOGLE_APPLICATION_CREDENTIALS", description: "無人取り戻し用 SA 鍵 JSON のパス（env GOOGLE_APPLICATION_CREDENTIALS）" },
       { name: "--from", type: "string", subcommand: "pull-azure", description: "取得元 https://<account>.blob.core.windows.net/<container>/<prefix>" },
       { name: "--out", type: "string", subcommand: "pull-azure", description: "取得先ローカルディレクトリ" },
       { name: "--sas", type: "string", subcommand: "pull-azure", secret: true, envVar: "AZURE_STORAGE_SAS_TOKEN",
@@ -350,15 +372,23 @@ function usage() {
                --history --regist-from --regist-to --update-from --update-to
                -k/--system-key <n=v> (repeatable)
   ${PLUGIN} push-s3    <archive-dir> --to s3://bucket/prefix [--cleanup] [--dry-run]
+      [--access-key-id <id> --secret-access-key <key> | --profile <name>] [--region <r>]
   ${PLUGIN} push-gcs   <archive-dir> --to gs://bucket/prefix [--cleanup] [--dry-run]
+      [--gcp-credentials <service-account-key.json path>]
   ${PLUGIN} push-azure <archive-dir> --to https://<account>.blob.core.windows.net/<container>/<prefix>
       [--sas <token> | --connection-string <cs>] [--cleanup] [--dry-run]
   ${PLUGIN} push-local <archive-dir> --to <folder|network-share path> [--cleanup] [--dry-run]
       --cleanup                Delete the local archive after the upload is verified
       (gcs requires gcloud; azure requires az CLI. push-local needs no external CLI
        (Node fs copy) and accepts a plain folder or mounted network-share path.
-       secrets are read from --sas/--connection-string or AZURE_STORAGE_* env and
-       passed to az via env, never argv)`);
+       Unattended creds are read from the flags above OR env
+       (s3: AWS_ACCESS_KEY_ID/AWS_SECRET_ACCESS_KEY/AWS_PROFILE/AWS_REGION; gcs:
+       GOOGLE_APPLICATION_CREDENTIALS; azure: AZURE_STORAGE_*) and passed to the
+       cloud CLI via env, never argv — no interactive login needed.
+       Note: AWS keys are a pair (both required); --profile and IAM keys are mutually
+       exclusive. When run under \`i-repo\` (dispatch/deliver) the parent env is
+       allow-listed, so pass creds via these flags, host env-injection, or
+       \`i-repo config set pluginPassEnv "AWS_*,GOOGLE_APPLICATION_CREDENTIALS,AZURE_STORAGE_*"\`)`);
 }
 
 // ── Tiny argv parser (no dependencies) ─────────────────────────────────────
@@ -475,8 +505,13 @@ function normalizeLocalDest(to) {
 function parsePushArgs(argv, backend) {
   const label = `push-${backend.store}`;
   const spec = { "--to": "value", "--prefix": "value", "--dry-run": "flag", "--cleanup": "flag" };
-  // Azure は認証 secret を受ける（値は argv に出さず env で az に渡す。buildPushEnv 参照）。
+  // 無人認証フラグ（#92）。secret 値は argv に出さず env でクラウド CLI に渡す（buildPushEnv 参照）。
   if (backend.store === "azure") { spec["--sas"] = "value"; spec["--connection-string"] = "value"; }
+  if (backend.store === "s3") {
+    spec["--access-key-id"] = "value"; spec["--secret-access-key"] = "value";
+    spec["--profile"] = "value"; spec["--region"] = "value";
+  }
+  if (backend.store === "gcs") { spec["--gcp-credentials"] = "value"; }
   const o = parseArgv(argv, spec, label);
   if (o._.length !== 1) throw new Error(`${label} requires exactly one <archive-dir> argument.`);
   // local は scheme 付き URL ではなくファイルパス（フォルダ/ネットワーク共有）。scheme 検査を外し、
@@ -499,6 +534,10 @@ function parsePushArgs(argv, backend) {
     out.sas = o.sas || process.env.AZURE_STORAGE_SAS_TOKEN || "";
     out.connectionString = o["connection-string"] || process.env.AZURE_STORAGE_CONNECTION_STRING || "";
   }
+  // s3/gcs 無人認証（#92）。フラグ指定時のみ拾う（未指定なら ambient/host 注入の env が
+  // buildPushEnv の {...process.env} で素通り＝envVar 宣言と整合）。
+  if (backend.store === "s3") Object.assign(out, s3CredsFromArgs(o, label));
+  if (backend.store === "gcs") out.gcpCredentials = o["gcp-credentials"] || "";
   return out;
 }
 
@@ -666,6 +705,26 @@ function joinUri(prefix, child) {
 }
 
 // secret（SAS / 接続文字列）は argv に載せず az が読む環境変数で渡す（AGENTS.md / 本番化方針）。
+/**
+ * s3 無人認証フラグを検証して取り出す（#92）。IAM キーは**対**でのみ意味を持つ
+ * （AWS は片方だけだと "Partial credentials" で失敗し、明示キーは profile/ambient より
+ * 優先されるため）。キーと --profile の併用も aws では profile が黙殺されるので拒否する
+ * （usage は排他表記）。フラグ無指定時は ambient/host 注入の env が素通り。
+ */
+function s3CredsFromArgs(o, label) {
+  const accessKeyId = o["access-key-id"] || "";
+  const secretAccessKey = o["secret-access-key"] || "";
+  const profile = o.profile || "";
+  const region = o.region || "";
+  if (Boolean(accessKeyId) !== Boolean(secretAccessKey)) {
+    throw new Error(`${label}: --access-key-id and --secret-access-key must be provided together.`);
+  }
+  if ((accessKeyId || secretAccessKey) && profile) {
+    throw new Error(`${label}: use either IAM keys (--access-key-id/--secret-access-key) or --profile, not both.`);
+  }
+  return { accessKeyId, secretAccessKey, profile, region };
+}
+
 function buildPushEnv(options) {
   const env = { ...process.env };
   if (options.connectionString) env.AZURE_STORAGE_CONNECTION_STRING = options.connectionString;
@@ -674,6 +733,21 @@ function buildPushEnv(options) {
   // RBAC-only / listKeys 無効アカウントで失敗するため・Codex #76 P2）。s3/gcs は options.azure
   // 未設定なので素通り。
   else if (options.azure) env.AZURE_STORAGE_AUTH_MODE = "login";
+  // s3 無人認証（#92）: フラグ指定時に env を上書き。未指定なら ambient/host 注入が素通り。
+  if (options.accessKeyId) env.AWS_ACCESS_KEY_ID = options.accessKeyId;
+  if (options.secretAccessKey) env.AWS_SECRET_ACCESS_KEY = options.secretAccessKey;
+  if (options.profile) env.AWS_PROFILE = options.profile;
+  // AWS_REGION（CLI v2）と AWS_DEFAULT_REGION（v1/botocore 系）の双方を立てる。
+  if (options.region) { env.AWS_REGION = options.region; env.AWS_DEFAULT_REGION = options.region; }
+  // gcs 無人認証（#92）: SA 鍵パスを env で渡す（対話 login 不要）。
+  // GOOGLE_APPLICATION_CREDENTIALS は ADC/クライアントライブラリ用で、**gcloud CLI 自体は
+  // 読まない**（gcloud は CLOUDSDK_AUTH_CREDENTIAL_FILE_OVERRIDE を読む・Codex #93 P1）。
+  // 両方を立てて gcloud storage と client-lib の双方をカバーする。フラグが無くても
+  // ambient/host 注入の GOOGLE_APPLICATION_CREDENTIALS があれば gcloud 用に複写する。
+  if (options.gcpCredentials) env.GOOGLE_APPLICATION_CREDENTIALS = options.gcpCredentials;
+  if (env.GOOGLE_APPLICATION_CREDENTIALS && !env.CLOUDSDK_AUTH_CREDENTIAL_FILE_OVERRIDE) {
+    env.CLOUDSDK_AUTH_CREDENTIAL_FILE_OVERRIDE = env.GOOGLE_APPLICATION_CREDENTIALS;
+  }
   return env;
 }
 
@@ -876,7 +950,13 @@ async function pushArchiveBundle(options, backend) {
 function parsePullArgs(argv, backend) {
   const label = `pull-${backend.store}`;
   const spec = { "--from": "value", "--out": "value" };
+  // 無人認証（#92・push と対称）: pull も対話ログイン無しで取り戻せる。
   if (backend.store === "azure") { spec["--sas"] = "value"; spec["--connection-string"] = "value"; }
+  if (backend.store === "s3") {
+    spec["--access-key-id"] = "value"; spec["--secret-access-key"] = "value";
+    spec["--profile"] = "value"; spec["--region"] = "value";
+  }
+  if (backend.store === "gcs") { spec["--gcp-credentials"] = "value"; }
   const o = parseArgv(argv, spec, label);
   if (!o.from) throw new Error(`${label} requires --from ${backend.scheme || "<source>"}…`);
   if (!o.out) throw new Error(`${label} requires --out <local-dir>.`);
@@ -895,6 +975,8 @@ function parsePullArgs(argv, backend) {
     out.sas = o.sas || process.env.AZURE_STORAGE_SAS_TOKEN || "";
     out.connectionString = o["connection-string"] || process.env.AZURE_STORAGE_CONNECTION_STRING || "";
   }
+  if (backend.store === "s3") Object.assign(out, s3CredsFromArgs(o, label));
+  if (backend.store === "gcs") out.gcpCredentials = o["gcp-credentials"] || "";
   return out;
 }
 

package/spec/gemba-adc/deliver.schema.json

@@ -107,6 +107,11 @@
           "description": "true かつ id が alreadyDelivered に含まれるとき、spawn せず skipped(delivered:true) として集約する。",
           "type": "boolean",
           "default": false
+        },
+        "secretEnv": {
+          "description": "この sink のプロセスへ転送する env 変数名のリスト（§9.9・#94）。値は deliver プロセスの env（host が設定）から取り、この sink だけに注入する（argv 非掲載・他 sink へ漏れない）。fan-out 経由の無人クラウド認証用。プラグインの envVar 宣言に依存しない。",
+          "type": "array",
+          "items": { "type": "string", "pattern": "^[A-Za-z_][A-Za-z0-9_]*$" }
         }
       },
       "allOf": [

package/spec/gemba-adc/spec.md

@@ -737,6 +737,16 @@ L3 カタログの単一書き手は GEMBA OS（§4.2）。`deliver` は **catal
 - bundle sink の `--cleanup`（destructive）はハブを壊すため、`deliver` は**全 sink 成功時に最後に実行**するか、`--archive-keep` を推奨して警告する（黙ってハブを消して他 sink を取りこぼさない）。
 - 既定は run-to-completion（全 sink を走らせ切り、再送集合を完全にする）。run-level の AbortSignal で最初の hard 失敗時に兄弟を中止する選択肢は持つが既定オフ。
 
+### 9.9 per-sink `secretEnv`（無人クラウド認証の host 主導注入・#94）
+
+fan-out（`deliver`）経由で sink を起動するとき、dispatch の env allow-list（system＋`IREPO_*`＋`pluginPassEnv`）が `AWS_*`/`GOOGLE_APPLICATION_CREDENTIALS`/`AZURE_STORAGE_*` 等を scrub するため、無人クラウド認証の資格情報が sink に届かない。これを **host 主導**で埋める。
+
+- spec の各 sink に **`secretEnv: [<env 名>, …]`**（その sink へ転送する env 変数の**名前**リスト）。**値は `deliver` プロセスの env**（host=DC が設定）から取り、**その sink のプロセスにだけ**注入する。
+- secret は **env のみ**で渡し **argv には出さない**。**他 sink・他プラグインには漏れない**（allow-list をグローバルに広げない）。spec ファイルに値は持たせない（名前だけ）。
+- **プラグインの `envVar` 宣言には依存しない**＝任意の第三者プラグイン（`i-repo-kintone` 等）が宣言なしで動く。プラグイン側 `envVar` は GUI の入力欄ヒント用。
+- env 名は `^[A-Za-z_][A-Za-z0-9_]*$`。deliver プロセスに無い名前は黙って飛ばす（host 未設定＝その sink は認証できず失敗するだけ）。
+- 例: `{ "id":"s3-main","plugin":"archive","subcommand":"push-s3","secretEnv":["AWS_ACCESS_KEY_ID","AWS_SECRET_ACCESS_KEY"] }`（archive 0.6.3 の push-s3 が env から IAM キーを読む・#92）。
+
 ---
 
 ## 付録A: ウォークスルー（CLI 直叩き経路）