Битрикс для разработчиков
ClickHouse не тормозит
Чат экстремального погром...
Qt
symfony
Ansible
Unity Engine: вопрос - от...
Nuxt.js | Vue SSR
nginx_ru
Боты на Telegraf
Data Science Chat
Android Architecture
QA — русскоговорящее сооб...
DBA - русскоговорящее соо...
Tarantool
Unreal Engine
☁️ AWS_RU
Blender_ru: вопрос-ответ.
PostgreSQL + 1C + Linux
MongoDB Russian
Yandex Cloud - Официальны...
Git
Big Data Science :: AI / ...
pro.kafka
3ds Max
DevsHelper
1C
Вокруг да около Zigbee
Android Declarative
freebsd_ru
Atlassian Community - Rus...
Чат про Fusion 360 и 3D
ru_gitlab
OctoberCMS
Godot Engine (Russian)
MySQL
Yii Framework 2
Data Engineers
Чат Tableau
Cinema 4D
Software Design/Architect...
Evolution CMS
dbGeeks
Odoo talks & fun
pro.buildsystems
React: русскоязычное сооб...
opencv_ru
Webpack — русскоговорящее...
Yii Framework 3
QA juniors
RUSCADASEC community: Киб...
ru_hashicorp
catboost_ru
Grafana Loki
Kaggle
VictoriaMetrics_ru
Google Cloud Platform_ru
.NET Group
DevSecOps - русскоговорящ...
ScyllaDB
![Netbeans [RU]](https://image.telq.org/channel_avatar_1102508152_467588515831589735_mini.jpeg){kind=avatar}
Netbeans [RU]
Объясните пожалуйста как заставить aws s3 ls имея только AWS_ROLE_ARN и AWS_ROLE_SESSION_NAME
как то самостоятельно токен получить и авторизацию?
пытался сделать
AWS_ROLE_SESSION_NAME=test AWS_WEB_IDENTITY_TOKEN_FILE=/tmp/token AWS_ROLE_ARN=arn:aws:iam::XXXX:role/prod-XXXX-prod-clickhouse aws s3 ls bucket
получил
[Errno 2] No such file or directory: '/tmp/token'
без
AWS_WEB_IDENTITY_TOKEN_FILE=/tmp/token
access denied выдает
30 ответов
aws-vault
![Slach-[altinity]](https://image.telq.org/user_avatar_281412419_1208657136749488041_mini.jpeg){kind=avatar}
Slach
[altinity]
Автор вопроса
aws-vault
по моему это не отвечает на мой вопрос
Slach
[altinity]
Автор вопроса
aws sts
хочется именно задать переменные чтобы aws s3 работала без ручного вызова sts
хочется именно задать переменные чтобы aws s3 рабо...
Сработает но только ХХ часов потом опять придется все же что то вызвать
Slach
[altinity]
Автор вопроса
Сработает но только ХХ часов потом опять придется...
что сработает то? ок. переформулирую вопрос aws sts assume-role --role-arn XXX выдает credentials и session_token хочу сделать как то чтобы aws s3 в момент инициализации сама делала assume-role Без ручного вызова sts почему задание имея только AWS_ROLE_ARN и AWS_ROLE_SESSION_NAME не приводит к такому результату?
что сработает то? ок. переформулирую вопрос aws ...
Потому что aws s3 команда такого не умеет :)
https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html
Slach
[altinity]
Автор вопроса
https://docs.aws.amazon.com/cli/latest/userguide/c...
это я читал много раз
что сработает то? ок. переформулирую вопрос aws ...
команда запускается не внутри aws?
Slach
[altinity]
Автор вопроса
команда запускается не внутри aws?
внутри... aws s3 Запускается в контейнере в поде kubernetes из под AWS EKS
внутри... aws s3 Запускается в контейнере в поде k...
почему сразу роль не навешать через сервис аккаунт на под?
Slach
[altinity]
Автор вопроса
почему сразу роль не навешать через сервис аккаунт...
да, тоже так предлагаю...
Slach
[altinity]
Автор вопроса
почему сразу роль не навешать через сервис аккаунт...
спасибо большое всем!
не понял, а boto profiles разве не для этого созданы, чтобы автоматически делалось assume-role
Slach
[altinity]
Автор вопроса
не понял, а boto profiles разве не для этого созда...
я хочу профиль через переменные окружения задать... такое ощущение что переменные игнорируются потому что из EC2 получаются другие credentials по kubernetes serviceAccount
я хочу профиль через переменные окружения задать.....
вы делаете assume-role или assume-role-with-web-identity ?
Slach
[altinity]
Автор вопроса
вы делаете assume-role или assume-role-with-web-id...
вот ищу по коду как раз что именно там делается...
вот ищу по коду как раз что именно там делается...
если присутствует переменные AWS_WEB_IDENTITY_TOKEN_FILE, AWS_ROLE_ARN и AWS_ROLE_SESSION_NAME и есть файл, указанный в AWS_WEB_IDENTITY_TOKEN_FILE, то будет делаться assume-role-with-web-identity
Slach
[altinity]
Автор вопроса
если присутствует переменные AWS_WEB_IDENTITY_TOKE...
да это я понял, но файла нет...
да это я понял, но файла нет...
файл подкладывается самим EKS
Slach
[altinity]
Автор вопроса
файл подкладывается самим EKS
типа это токен который от serviceAccount выдается?
типа это токен который от serviceAccount выдается?
нет, это STS токен. Токен сервисаккаунты тут ни при чем
Slach
[altinity]
Автор вопроса
файл подкладывается самим EKS
а куда он тогда внутри Pod подкладывается?
а куда он тогда внутри Pod подкладывается?
в местоположение указанное в переменной AWS_WEB_IDENTITY_TOKEN_FILE. Если переменной нет, то значит и файла не будет
Slach
[altinity]
Автор вопроса
в местоположение указанное в переменной AWS_WEB_ID...
если переменная есть... то aws s3 говорит что файл не найден...
если переменная есть... то aws s3 говорит что файл...
в вашем примере вы указали какой-то левый файл. Логично что aws cli ругается. Нельзя просто взять и указать любой файл и надеяться что проканает
Slach
[altinity]
Автор вопроса
в вашем примере вы указали какой-то левый файл. Ло...
ну так я не знаю какой указывать у меня только есть AWS_ROLE_ARN идентификатор... а TOKEN_FILE Нету...
ну так я не знаю какой указывать у меня только ест...
https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html
Наверное, не хватает source_profile ~/.aws/config надо настроить как-то так
Похожие вопросы
Обсуждают сегодня