restic version
restic 0.9.6 compilado con go1.13.4 en linux/amd64
Restic debería admitir asumir el rol a través de WebIdentityTokenFile, que se agregó a minio (https://github.com/minio/minio-go/pull/1183). Al hacerlo, restic podría usar una cuenta de servicio que usa la anotación eks.amazonaws.com/role-arn de AWS para asociarle un rol. Esto sería un gran beneficio, ya que no sería necesario contar con credenciales de usuario que deben renovarse con regularidad.
Me gustaría crear copias de seguridad de los PV en AWS que se almacenan en el depósito de S3, sin tener un usuario de IAM adicional que deba mantener.
La copia de seguridad con restic funciona muy bien, pero tener el usuario adicional genera muchos gastos generales para nosotros.
Esos cambios para ROLE en lugar de 'secretos' están esperando a Stash y Velero:
AWS/EKS: use AWS_ROLE_ARN con el token de AWS_WEB_IDENTITY_TOKEN_FILE para acceder al Repositorio (S3)
https://github.com/stashed/stash/issues/1101
Para admitir los cambios de API, parece que restic
debe compilarse con minio-go 6.0.45 o posterior, que incluye https://github.com/minio/minio-go/pull/1183
https://github.com/minio/minio-go/releases/tag/v6.0.45
https://github.com/minio/minio-go/pull/1183
He levantado el PR #2733 para esto. En realidad, necesita minio-go 6.0.53 , ya que contiene una corrección adicional PR-1263 para corregir la URL de STS a https
Comentario más útil
He levantado el PR #2733 para esto. En realidad, necesita minio-go 6.0.53 , ya que contiene una corrección adicional PR-1263 para corregir la URL de STS a https