Restic: Unterstützen Sie IAM für Dienstkonten in AWS

Erstellt am 23. Apr. 2020 · 3Kommentare · Quelle: restic/restic

Ausgabe von `restic version`

restic 0.9.6 kompiliert mit go1.13.4 auf linux/amd64

Was sollte restic anders machen? Welche Funktionalität sollten wir Ihrer Meinung nach hinzufügen?

Restic sollte die Übernahme der Rolle über WebIdentityTokenFile unterstützen, das zu minio hinzugefügt wurde (https://github.com/minio/minio-go/pull/1183). Dadurch wäre restic in der Lage, ein Dienstkonto zu verwenden, das die Annotation eks.amazonaws.com/role-arn von AWS verwendet, um ihm eine Rolle zuzuordnen. Dies wäre ein großer Vorteil, da keine Benutzeranmeldeinformationen erforderlich wären, die regelmäßig gerollt werden müssen.

Was versuchst du zu machen?

Ich möchte Backups von PVs in AWS erstellen, die im S3-Bucket gespeichert sind, ohne einen zusätzlichen IAM-Benutzer zu haben, den ich pflegen muss.

Hat restic dir heute geholfen? Hat es dich irgendwie glücklich gemacht?

Das Backup mit restic it self funktioniert hervorragend, aber der zusätzliche Benutzer verursacht viel Overhead für uns.

Quelle

christian-vent

👍5

Hilfreichster Kommentar

Ich habe PR Nr. 2733 dafür erhoben. Es benötigt tatsächlich minio-go 6.0.53, da dieses den zusätzlichen Fix PR-1263 enthält, um die STS-URL auf https zu korrigieren

ac-hibbert am 13. Mai 2020

🎉3 👍3

Alle 3 Kommentare

Diese Änderungen für ROLE statt „Geheimnisse“ warten auf Stash und Velero:

AWS/EKS: Verwenden Sie AWS_ROLE_ARN mit dem Token von AWS_WEB_IDENTITY_TOKEN_FILE für den Zugriff auf das Repository (S3)
https://github.com/stashed/stash/issues/1101

roman-judin-dragon am 12. Mai 2020

Um die API-Änderungen zu unterstützen, muss anscheinend restic mit minio-go 6.0.45 oder höher erstellt werden, was https://github.com/minio/minio-go/pull/1183 enthält

https://github.com/minio/minio-go/releases/tag/v6.0.45
https://github.com/minio/minio-go/pull/1183

whereisaaron am 13. Mai 2020