Mountpoint for Amazon S3 中 GitHub Actions 凭证过期问题的分析与解决

问题背景

在持续集成环境中使用 Mountpoint for Amazon S3 进行长时间基准测试时，开发团队遇到了一个与 AWS 凭证相关的问题。当基准测试运行时间超过1小时后，系统开始抛出ExpiredToken错误，导致测试中断。

技术分析

这个问题源于 GitHub Actions 中使用 OpenID Connect (OIDC) 进行 AWS 身份验证的机制。具体来说：

1. 凭证获取机制：GitHub Actions 通过 OIDC 向 AWS STS 请求短期凭证，这些凭证默认有效期为1小时。

2. Mountpoint 行为：Mountpoint 使用这些静态环境凭证进行 S3 访问，但不会自动刷新这些凭证。

3. 基准测试特点：某些基准测试（如大规模目录读取测试）可能需要运行超过1小时，导致凭证在测试中途过期。

解决方案

经过团队讨论，确定了以下解决方案：

1. 延长会话持续时间：AWS STS 的 AssumeRole API 允许将会话持续时间延长至最多12小时。通过配置role-duration-seconds参数，可以将默认的1小时会话延长至更长时间（如6小时）。

2. 明确预期行为：团队确认 Mountpoint 对静态环境凭证的处理是符合预期的行为，与 AWS CLI 处理短期凭证的方式一致。Mountpoint 不会自动刷新这些静态凭证，这是设计上的选择。

实施效果

通过调整会话持续时间参数，基准测试现在可以顺利完成而不会遇到凭证过期问题。这一改动已在相关代码提交中实现，有效解决了长时间运行测试的中断问题。

技术启示

这个问题为我们提供了几个重要的技术启示：

1. CI/CD 环境中的凭证管理：在使用云服务进行自动化测试时，必须充分考虑凭证的生命周期与测试执行时间的匹配。

2. 工具行为理解：深入理解工具（如 Mountpoint）如何处理凭证对于设计可靠的测试方案至关重要。

3. AWS 凭证最佳实践：合理配置凭证参数（如会话持续时间）是确保长时间运行任务成功的关键因素。

这一问题的解决不仅改善了 Mountpoint for Amazon S3 的测试可靠性，也为类似场景下的凭证管理提供了有价值的参考。