Restic: Поддержка IAM для сервисных аккаунтов в AWS

Созданный на 23 апр. 2020 · 3Комментарии · Источник: restic/restic

Вывод `restic version`

restic 0.9.6 скомпилирован с go1.13.4 на linux/amd64

Что Restic должен делать по-другому? Какую функциональность, по вашему мнению, мы должны добавить?

Restic должен поддерживать получение роли через WebIdentityTokenFile, который был добавлен в minio (https://github.com/minio/minio-go/pull/1183). При этом restic сможет использовать учетную запись службы, которая использует аннотацию AWS eks.amazonaws.com/role-arn, чтобы прикрепить к ней роль. Это было бы большим преимуществом, поскольку не нужно было бы регулярно обновлять учетные данные пользователя.

Что ты пытаешься сделать?

Я хотел бы создавать резервные копии PV в AWS, которые хранятся в корзине S3, без дополнительного пользователя IAM, которого мне нужно поддерживать.

Рестик помог тебе сегодня? Это как-то вас порадовало?

Резервное копирование с помощью restic само по себе отлично работает, но наличие дополнительного пользователя создает для нас большие накладные расходы.

Источник

christian-vent

👍5

Самый полезный комментарий

Для этого я поднял PR #2733. На самом деле ему требуется minio-go 6.0.53 , поскольку он содержит дополнительное исправление PR-1263 для исправления URL-адреса STS на https.

ac-hibbert 13 мая 2020

🎉3 👍3

Все 3 Комментарий

Эти изменения для РОЛИ вместо «секретов» ждут Сташа и Велеро:

AWS/EKS: используйте AWS_ROLE_ARN с токеном из AWS_WEB_IDENTITY_TOKEN_FILE для доступа к репозиторию (S3)
https://github.com/stashed/stash/issues/1101

roman-judin-dragon 12 мая 2020

Похоже, что для поддержки изменений API restic необходимо собрать с помощью minio-go 6.0.45 или более поздней версии, включая https://github.com/minio/minio-go/pull/1183 .

https://github.com/minio/minio-go/releases/tag/v6.0.45
https://github.com/минио/минио-го/тянуть/1183