Atualmente, o repositório do S3 depende das credenciais do perfil da instância do IAM ou explicitamente passadas nas credenciais de acesso/segredo no momento da criação do repositório.
Eu estava pensando em trabalhar em um recurso que permite que o módulo de repositório do S3 receba um parâmetro opcional role_name
que é um nome de função do IAM. Se role_name for passado, o plug-in usará o STS assume role para assumir o role-name passado e usará essas credenciais para gravar no S3.
O benefício é a capacidade dentro de um cluster de acesso controlado de conceder acesso a funções de usuário específicas para fazer backup de dados em seus próprios buckets do S3, que podem estar em uma conta da AWS completamente diferente da conta que está executando esse cluster no EC2
Faz sentido para mim. Você quer vir com um PR no branch master?
Sim, vou trabalhar em um PR para isso.
Fechando a favor de #16428
Comentários muito úteis
Sim, vou trabalhar em um PR para isso.