Restic: Compatibilidad con IAM para cuentas de servicio en AWS

Creado en 23 abr. 2020  ·  3Comentarios  ·  Fuente: restic/restic

Salida de restic version

restic 0.9.6 compilado con go1.13.4 en linux/amd64

¿Qué debería hacer restic de manera diferente? ¿Qué funcionalidad crees que deberíamos añadir?

Restic debería admitir asumir el rol a través de WebIdentityTokenFile, que se agregó a minio (https://github.com/minio/minio-go/pull/1183). Al hacerlo, restic podría usar una cuenta de servicio que usa la anotación eks.amazonaws.com/role-arn de AWS para asociarle un rol. Esto sería un gran beneficio, ya que no sería necesario contar con credenciales de usuario que deben renovarse con regularidad.

¿Que estás tratando de hacer?

Me gustaría crear copias de seguridad de los PV en AWS que se almacenan en el depósito de S3, sin tener un usuario de IAM adicional que deba mantener.

¿Ristic te ayudó hoy? ¿Te hizo feliz de alguna manera?

La copia de seguridad con restic funciona muy bien, pero tener el usuario adicional genera muchos gastos generales para nosotros.

picture christian-vent
👍5

Comentario más útil

He levantado el PR #2733 para esto. En realidad, necesita minio-go 6.0.53 , ya que contiene una corrección adicional PR-1263 para corregir la URL de STS a https

picture ac-hibbert en 13 may. 2020
🎉3 👍3

Todos 3 comentarios

Esos cambios para ROLE en lugar de 'secretos' están esperando a Stash y Velero:

AWS/EKS: use AWS_ROLE_ARN con el token de AWS_WEB_IDENTITY_TOKEN_FILE para acceder al Repositorio (S3)
https://github.com/stashed/stash/issues/1101

roman-judin-dragon picture roman-judin-dragon en 12 may. 2020

Para admitir los cambios de API, parece que restic debe compilarse con minio-go 6.0.45 o posterior, que incluye https://github.com/minio/minio-go/pull/1183

https://github.com/minio/minio-go/releases/tag/v6.0.45
https://github.com/minio/minio-go/pull/1183

whereisaaron picture whereisaaron en 13 may. 2020

He levantado el PR #2733 para esto. En realidad, necesita minio-go 6.0.53 , ya que contiene una corrección adicional PR-1263 para corregir la URL de STS a https

ac-hibbert picture ac-hibbert en 13 may. 2020
🎉3 👍3
¿Fue útil esta página
0 / 5 - 0 calificaciones

Temas relacionados

viric picture viric  ·  5Comentarios
axllent picture axllent  ·  4Comentarios
cfbao picture cfbao  ·  3Comentarios
stevesbrain picture stevesbrain  ·  3Comentarios
jpic picture jpic  ·  3Comentarios