Questa pagina è stata tradotta dall'API Cloud Translation.

Controllo dell'accesso con IAM

In questa pagina viene descritto il controllo dell'accesso con Identity and Access Management (IAM) in Artifact Registry.

Le autorizzazioni predefinite per Artifact Registry riducono al minimo il lavoro di configurazione durante l'implementazione di una pipeline CI/CD. Puoi anche integrare Artifact Registry con strumenti CI/CD di terze parti e configurare le autorizzazioni e l'autenticazione necessarie per accedere ai repository.

Se utilizzi Artifact Analysis per lavorare con i metadati dei container, ad esempio le vulnerabilità rilevate nelle immagini, consulta la documentazione di Artifact Analysis per informazioni su come concedere l'accesso per visualizzare o gestire i metadati.

Prima di iniziare

Abilita Artifact Registry, tra cui l'abilitazione dell'API e l'installazione di Google Cloud CLI.
Se vuoi applicare autorizzazioni specifiche del repository, crea un repository Artifact Registry per i tuoi pacchetti.

Panoramica

Le autorizzazioni e i ruoli IAM determinano la tua capacità di creare, visualizzare, modificare o eliminare i dati in un repository Artifact Registry.

Un ruolo è una raccolta di autorizzazioni. Non puoi concedere direttamente le autorizzazioni a un'entità; devi concedere loro un ruolo. Se concedi un ruolo a un'entità, concedi all'entità tutte le autorizzazioni incluse nel ruolo. Puoi concedere più ruoli alla stessa entità.

Autorizzazioni predefinite di Google Cloud

Per impostazione predefinita, le seguenti autorizzazioni si applicano ai servizi CI/CD di Google Cloud nello stesso progetto di Artifact Registry:

Le autorizzazioni di Cloud Build includono quelle per caricare e scaricare gli artefatti.
Compute Engine, le versioni supportate di Google Kubernetes Engine e Cloud Run utilizzano l'account di servizio predefinito di Compute Engine, che dispone dell'accesso di sola lettura allo spazio di archiviazione.

Se tutti i tuoi servizi si trovano nello stesso progetto Google Cloud e le autorizzazioni predefinite soddisfano le tue esigenze, non è necessario configurare le autorizzazioni.

Devi configurare le autorizzazioni Artifact Registry per questi servizi se:

Vuoi utilizzare questi servizi per accedere ad Artifact Registry in un altro progetto. Nel progetto con Artifact Registry, concedi al pool di identità per i carichi di lavoro o all'account di servizio per ogni servizio il ruolo richiesto. In caso di connessione a Cloud Run, concedi all'agente di servizio Cloud Run il ruolo richiesto.
stai utilizzando una versione GKE che non ha il supporto integrato per il pull delle immagini da Artifact Registry. Consulta la sezione GKE per le istruzioni di configurazione.
Vuoi che l'account di servizio predefinito abbia accesso in lettura e scrittura ai repository. Per maggiori dettagli, leggi le seguenti informazioni:
- Compute Engine
- GKE
per gli ambienti di runtime utilizzi un account di servizio fornito dall'utente anziché l'account di servizio predefinito. Nel progetto con Artifact Registry, concedi al tuo account di servizio il ruolo richiesto.

Integrazione di terze parti

Per i client di terze parti, devi configurare sia le autorizzazioni che l'autenticazione.

Tradizionalmente, le applicazioni in esecuzione al di fuori di Google Cloud utilizzano chiavi degli account di servizio per accedere alle risorse di Google Cloud. Tuttavia, le chiavi degli account di servizio sono credenziali efficaci e possono rappresentare un rischio per la sicurezza se non vengono gestite correttamente.

La federazione delle identità per i carichi di lavoro consente di utilizzare Identity and Access Management per concedere ruoli IAM alle identità esterne, inclusa la possibilità di impersonare account di servizio. Questo approccio elimina il carico di manutenzione e sicurezza associato alle chiavi degli account di servizio.

Utilizza la federazione delle identità per i carichi di lavoro:

Crea un pool federazione di Workload Identity.
Crea un provider federazione delle identità per i carichi di lavoro.
Concedi al pool di identità dei carichi di lavoro il ruolo Artifact Registry appropriato per consentire l'accesso al repository.
Configura il client di terze parti per l'autenticazione con Artifact Registry.
- Immagini container: Docker, Helm
- Pacchetti di linguaggio: Java, Node.js, Python, Go
- Pacchetti di sistema operativo: Debian, RPM
- Altro: modelli di pipeline di Kubeflow

Utilizza un account di servizio:

Crea un account di servizio per agire per conto della tua applicazione o scegli un account di servizio esistente da utilizzare per l'automazione CI/CD.
Concedi il ruolo Artifact Registry appropriato all'account di servizio per fornire l'accesso al repository.
Configura il client di terze parti per l'autenticazione con Artifact Registry.
- Immagini container: Docker, Helm
- Pacchetti di linguaggio: Java, Node.js, Python, Go
- Pacchetti di sistema operativo: Debian, RPM
- Altro: modelli di pipeline di Kubeflow

GitLab su Google Cloud

L'integrazione di GitLab su Google Cloud utilizza la Federazione delle identità per i carichi di lavoro per l'autorizzazione e l'autenticazione per i carichi di lavoro GitHub su Google Cloud, senza la necessità di account di servizio o chiavi degli account di servizio. Per maggiori informazioni su come viene utilizzata la federazione delle identità per i carichi di lavoro in questa partnership, consulta la panoramica dell'autenticazione.

Per configurare la federazione delle identità per i carichi di lavoro e i ruoli IAM necessari per GitLab su Google Cloud, vedi il tutorial GitLab Federazione delle identità per i carichi di lavoro di Google Cloud e criteri IAM.

Per connettere il tuo repository Artifact Registry, segui il tutorial GitLab Google Artifact Registry.

Ruoli e autorizzazioni

Ogni metodo dell'API Artifact Registry richiede che l'entità (account utente, gruppo o account di servizio) che effettua la richiesta disponga delle autorizzazioni necessarie per utilizzare la risorsa. Le autorizzazioni vengono assegnate alle entità impostando criteri che concedono all'entità un ruolo predefinito nella risorsa.

Puoi concedere ruoli nel progetto Google Cloud o nel repository Artifact Registry.

Ruoli predefiniti di Artifact Registry

IAM fornisce ruoli predefiniti che concedono l'accesso a risorse Google Cloud specifiche e impediscono l'accesso non autorizzato ad altre risorse.

Utilizza i seguenti ruoli predefiniti per i repository standard, virtuali e remoti nel dominio pkg.dev:

Ruolo	Descrizione
Lettore Artifact Registry (`roles/artifactregistry.reader`)	Visualizza e ottieni gli artefatti, visualizza i metadati del repository.
Writer Artifact Registry (`roles/artifactregistry.writer`)	Lettura e scrittura degli artefatti.
Amministratore repository Artifact Registry (`roles/artifactregistry.repoAdmin`)	Leggere, scrivere ed eliminare artefatti.
Amministratore Artifact Registry (`roles/artifactregistry.admin`)	Crea e gestisci repository e artefatti.

I seguenti ruoli predefiniti aggiuntivi includono le autorizzazioni per creare repository gcr.io per ospitare le immagini per il dominio gcr.io. I ruoli non includono le autorizzazioni per creare altri formati di repository in Artifact Registry sul dominio pkg.dev. Questi ruoli supportano la compatibilità con le versioni precedenti di Container Registry, poiché Container Registry utilizza il primo push di un'immagine container per creare ciascun registro multiregionale.

Ruolo	Descrizione
Writer Create-on-push Artifact Registry (`roles/artifactregistry.createOnPushWriter`)	Lettura e scrittura degli artefatti. Creare repository gcr.io.
Amministratore repository Create-on-push Artifact Registry (`roles/artifactregistry.createOnPushRepoAdmin`)	Leggere, scrivere ed eliminare artefatti. Creare repository gcr.io.

Per un elenco completo delle singole autorizzazioni in ciascun ruolo, consulta Ruoli Artifact Registry. Puoi anche utilizzare il comando gcloud iam roles describe per visualizzare un elenco di autorizzazioni in ciascun ruolo.

Ruoli IAM di base

I ruoli di base sono ruoli altamente permissivi esistenti prima dell'introduzione di IAM. Puoi utilizzare i ruoli di base per concedere alle entità un accesso ampio alle risorse Google Cloud.

Se possibile, utilizza ruoli predefiniti per l'accesso ai repository, in modo che gli utenti e gli account di servizio dispongano solo delle autorizzazioni necessarie.

Per ulteriori informazioni sui ruoli di base, consulta Riferimento ai ruoli IAM di base e predefiniti.

Concessione di autorizzazioni

Concedi le autorizzazioni a livello di progetto se le stesse autorizzazioni si applicano a tutti i repository nel progetto. Se alcuni account richiedono livelli di accesso diversi, concedi i ruoli a livello di repository.

Se stai concedendo autorizzazioni su un repository virtuale, queste autorizzazioni si applicano a tutti i repository upstream disponibili tramite il repository virtuale, indipendentemente dalle autorizzazioni dei singoli repository.

Se concedi i ruoli utilizzando il comando gcloud, puoi specificare un'associazione di un singolo ruolo per un'entità o utilizzare un file di criteri per definire più associazioni.

Concessione di autorizzazioni a livello di progetto

Concedi un ruolo a livello di progetto se le stesse autorizzazioni si applicano a tutti i repository nel progetto.

Per aggiungere un account utente o di servizio a un progetto e concedere loro un ruolo Artifact Registry:

Console

Apri la pagina IAM nella console Google Cloud.
Apri la pagina IAM
Fai clic su Seleziona un progetto, scegli il progetto in cui è in esecuzione Artifact Registry e fai clic su Apri.
Fai clic su Aggiungi.
Inserisci un indirizzo email. Puoi aggiungere singoli utenti, account di servizio o gruppi Google come entità.
Seleziona un ruolo per l'entità. In conformità al principio di sicurezza del privilegio minimo, valuta la possibilità di concedere il privilegio minimo necessario per accedere alle risorse Artifact Registry richieste. Per informazioni su ruoli e autorizzazioni predefiniti di Artifact Registry, consulta Ruoli predefiniti di Artifact Registry.
Fai clic su Salva.

gcloud

Nella console Google Cloud, attiva Cloud Shell.

Attiva Cloud Shell

Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Per concedere un ruolo a una singola entità, esegui questo comando:
```
gcloud projects add-iam-policy-binding PROJECT \
   --member=PRINCPAL \
   --role=ROLE
```
dove
- PROJECT è l'ID del progetto in cui è in esecuzione Artifact Registry.
- PRINCIPAL è l'entità per cui aggiungere l'associazione. Utilizza il modulo user|group|serviceAccount:email o domain:domain.
  
  Esempi: user:test-user@gmail.com, group:admins@example.com, serviceAccount:test123@example.domain.com o domain:example.domain.com.
- ROLE è il ruolo che vuoi concedere.
Per ulteriori informazioni, consulta la documentazione add-iam-policy-binding.

Per concedere i ruoli utilizzando un file dei criteri, esegui questo comando:
```
gcloud projects set-iam-policy PROJECT /PATH/TO/policy.yaml
```
Dove
- PROJECT è l'ID del progetto o dell'identificatore completo per il progetto in cui è in esecuzione Artifact Registry.
- /PATH/TO/policy.yaml sono il percorso e il nome del file del criterio.
Nota: l'applicazione di un file di criteri a un progetto reimposta tutti i criteri IAM per quel progetto, quindi usa questa opzione con cautela.

Per ottenere il criterio attualmente configurato, esegui questo comando:
```
gcloud projects get-iam-policy PROJECT
```
Dove PROJECT è l'ID del progetto o l'identificatore completo del progetto.

Per ulteriori informazioni, consulta la documentazione set-iam-policy.

Concessione di autorizzazioni specifiche del repository

Concedi autorizzazioni a livello di repository quando vuoi che gli utenti o gli account di servizio abbiano livelli di accesso diversi per ogni repository nel progetto.

Console

Per concedere l'accesso a un repository specifico:

Apri la pagina Repository nella console Google Cloud.

Apri la pagina Repository
Seleziona il repository appropriato.
Se il riquadro informazioni non è visualizzato, fai clic su Mostra riquadro informazioni nella barra dei menu.
Nella scheda Autorizzazioni, fai clic su Aggiungi entità.
Inserisci un indirizzo email. Puoi aggiungere singoli utenti, account di servizio o gruppi Google come entità.
Seleziona un ruolo per l'entità. In conformità al principio di sicurezza del privilegio minimo, valuta la possibilità di concedere il privilegio minimo necessario per accedere alle risorse Artifact Registry richieste. Per informazioni su ruoli e autorizzazioni predefiniti di Artifact Registry, consulta Ruoli predefiniti di Artifact Registry.
Fai clic su Salva.

gcloud

Nella console Google Cloud, attiva Cloud Shell.

Attiva Cloud Shell

Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Puoi impostare un set IAM di singole associazioni di criteri o utilizzare un file di criteri.

Per concedere un ruolo a una singola entità, esegui questo comando:
```
gcloud artifacts repositories add-iam-policy-binding REPOSITORY \
   --location=LOCATION \
   --member=PRINCIPAL \
   --role=ROLE
```
dove
- REPOSITORY è l'ID del repository.
- PRINCIPAL è l'entità per cui aggiungere l'associazione. Utilizza il modulo user|group|serviceAccount:email o domain:domain.
  
  Esempi: user:test-user@gmail.com, group:admins@example.com, serviceAccount:test123@example.domain.com o domain:example.domain.com.
- ROLE è il ruolo che vuoi concedere.
- LOCATION è la località a livello di una o più regioni del repository.
Ad esempio, per aggiungere un'associazione dei criteri IAM per il ruolo roles/artifactregistry.writer per l'utente write@gmail.com con il repository my-repo nella località --us-central1, esegui:
```
gcloud artifacts repositories add-iam-policy-binding my-repo \
--location=us-central1 --member=user:write@gmail.com --role=roles/artifactregistry.writer
```
Per concedere i ruoli utilizzando un file dei criteri, esegui questo comando:
```
gcloud artifacts repositories set-iam-policy REPOSITORY /PATH/TO/policy.yaml --location=LOCATION
```
Dove
- REPOSITORY è l'ID del repository.
- /PATH/TO/policy.yaml sono il percorso e il nome del file del criterio.
- LOCATION è la località a livello di una o più regioni del repository.
Ad esempio, per impostare il criterio IAM per il repository my-repo nella località --us-central1 con il criterio definito in policy.yaml, esegui:
```
gcloud artifacts repositories set-iam-policy my-repo policy.yaml --location=us-central1
```
Nota: l'applicazione di un file di criteri a un repository reimposta tutti i criteri IAM per quel repository, quindi usa questa opzione con prudenza.

Terraform

Utilizza la risorsa google_artifact_registry_repository_iam per configurare un criterio IAM. L'esempio seguente definisce un account di servizio con nome risorsa repo-account e gli concede l'accesso in lettura a un repository con nome risorsa my-repo.

Se non hai mai utilizzato Terraform per Google Cloud, consulta la pagina Get Started - Google Cloud (Inizia) - Google Cloud sul sito web di hashiCorp.

provider "google" {
    project = "PROJECT-ID"
}

resource "google_artifact_registry_repository" "my-repo"     {
  provider = google-beta

  location = "LOCATION"
  repository_id = "REPOSITORY"
  description = "DESCRIPTION"
  format = "FORMAT"
}

resource "google_service_account" "repo-account" {
  provider = google-beta

  account_id   = "ACCOUNT-ID"
  display_name = "Repository Service Account"
}

resource "google_artifact_registry_repository_iam_member" "repo-iam" {
  provider = google-beta

  location = google_artifact_registry_repository.my-repo.location
  repository = google_artifact_registry_repository.my-repo.name
  role   = "roles/artifactregistry.reader"
  member = "serviceAccount:${google_service_account.repo-account.email}"
}

ACCOUNT-ID è l'ID dell'account di servizio. È la parte del campo email dell'account di servizio prima del simbolo @.

Per ulteriori esempi, consulta la documentazione per la risorsa google_artifact_registry_repository_iam.

Configurazione dell'accesso pubblico a un repository

Se hai degli artefatti che vuoi rendere disponibili a chiunque su internet senza autenticazione, archiviali in un repository che rendi pubblico.

Per configurare un repository per l'accesso pubblico di sola lettura, concedi il ruolo Lettore Artifact Registry all'entità allUsers. Consigliamo inoltre di limitare le quote per le richieste degli utenti in modo che un singolo utente non possa utilizzare la quota complessiva del progetto.

Console

Apri la pagina Repository nella console Google Cloud.

Apri la pagina Repository
Seleziona il repository appropriato.
Se il riquadro informazioni non è visualizzato, fai clic su Mostra riquadro informazioni nella barra dei menu.
Nella scheda Autorizzazioni, fai clic su Aggiungi entità.
Nel campo Nuove entità, inserisci allUsers.
Seleziona il ruolo Lettore Artifact Registry.
Imposta un limite per utente per le richieste API Artifact Registry per prevenire l'uso improprio da parte di utenti non autenticati. Per le istruzioni, consulta la sezione Limitazione dell'utilizzo.

gcloud

Nella console Google Cloud, attiva Cloud Shell.

Attiva Cloud Shell

Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.

Esegui questo comando:

gcloud artifacts repositories add-iam-policy-binding REPOSITORY \
--location=LOCATION --member=allUsers --role=ROLE

dove

REPOSITORY è l'ID del repository.
ROLE è il ruolo che vuoi concedere.
LOCATION è la località a livello di una o più regioni del repository.

Ad esempio, configura il repository my-repo nella località --us-central1 come pubblico, esegui:

gcloud artifacts repositories add-iam-policy-binding my-repo \
 --location=us-central1 --member=allUsers --role=roles/artifactregistry.reader

Imposta un limite per utente per le richieste API Artifact Registry per prevenire l'uso improprio da parte di utenti non autenticati. Per le istruzioni, consulta la sezione Limitazione dell'utilizzo.

Revoca delle autorizzazioni

Per revocare l'accesso a un repository, rimuovi l'entità dall'elenco delle entità autorizzate.

Per rimuovere l'accesso pubblico da un repository, rimuovi l'entità allUsers.

Console

Per revocare le autorizzazioni:

Apri la pagina Repository nella console Google Cloud.

Apri la pagina Repository
Seleziona il repository appropriato.
Se il riquadro informazioni non è visualizzato, fai clic su Mostra riquadro informazioni nella barra dei menu.
Nella scheda Autorizzazioni, espandi l'entità appropriata. Se rendi privato un repository pubblico, espandi l'entità allUsers.
Fai clic su Rimuovi entità per revocare l'accesso.

gcloud

Nella console Google Cloud, attiva Cloud Shell.

Attiva Cloud Shell

Nella parte inferiore della console Google Cloud viene avviata una sessione di Cloud Shell che mostra un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto attuale. L'inizializzazione della sessione può richiedere alcuni secondi.
Per revocare un ruolo a livello di progetto, esegui questo comando:
```
gcloud projects remove-iam-policy-binding PROJECT \
   --member=PRINCIPAL \
   --role=ROLE
```
- PROJECT è l'ID progetto.
- PRINCIPAL è l'entità per cui rimuovere l'associazione. Utilizza il modulo user|group|serviceAccount:email o domain:domain.
  
  Esempi: user:test-user@gmail.com, group:admins@example.com, serviceAccount:test123@example.domain.com o domain:example.domain.com.
- ROLE è il ruolo che vuoi revocare.
Per revocare un ruolo per un repository, esegui questo comando:
```
gcloud artifacts repositories remove-iam-policy-binding REPOSITORY
   --location=LOCATION \
   --member=PRINCIPAL \
   --role=ROLE
```
dove
- REPOSITORY è l'ID del repository.
- PRINCIPAL è l'entità per cui rimuovere l'associazione. Utilizza il modulo user|group|serviceAccount:email o domain:domain.
  
  Esempi: user:test-user@gmail.com, group:admins@example.com, serviceAccount:test123@example.domain.com o domain:example.domain.com.
  
  Per revocare l'accesso pubblico al repository, specifica l'entità allUsers.
- ROLE è il ruolo che vuoi revocare.
Ad esempio, per rimuovere un'associazione di criteri per il ruolo roles/artifactregistry.writer per l'utente write@gmail.com con il repository my-repo nella località --us-central1, esegui:
```
gcloud artifacts repositories remove-iam-policy-binding my-repo \
   --location=us-central1 \
   --member=user:write@gmail.com \
   --role=roles/artifactregistry.writer
```
Per revocare l'accesso pubblico a my-repo nella località --us-central1, esegui:
```
gcloud artifacts repositories remove-iam-policy-binding my-repo \
   --location=us-central1 \
   --member=allUsers \
   --role=roles/artifactregistry.reader
```

Concessione dell'accesso condizionale con i tag

Gli amministratori di progetto possono creare tag per le risorse in Google Cloud e gestirli in Resource Manager. Quando colleghi un tag a un repository Artifact Registry, gli amministratori possono utilizzare il tag con condizioni IAM per concedere l'accesso condizionale al repository.

Non puoi associare tag a singoli elementi.

Per ulteriori informazioni, consulta la seguente documentazione:

Amministratori che configurano tag e controllo dell'accesso
- Creazione e gestione dei tag
- Tag e controllo dell'accesso.
Sviluppatori che collegano tag ai repository
- Tagging dei repository

Integrazione con i servizi Google Cloud

Per la maggior parte degli account di servizio Google Cloud, la configurazione dell'accesso a un registro richiede solo la concessione delle autorizzazioni IAM appropriate.

Autorizzazioni predefinite per i servizi Google Cloud

I servizi Google Cloud come Cloud Build o Google Kubernetes Engine utilizzano un account di servizio predefinito o un agente di servizio per interagire con le risorse all'interno dello stesso progetto.

Devi configurare o modificare le autorizzazioni personalmente se:

Il servizio Google Cloud si trova in un progetto diverso da Artifact Registry.
Le autorizzazioni predefinite non soddisfano le tue esigenze. Ad esempio, l'account di servizio predefinito di Compute Engine ha accesso di sola lettura all'archiviazione nello stesso progetto. Se vuoi eseguire il push di un'immagine da una VM ad Artifact Registry, puoi modificare le autorizzazioni per l'account di servizio della VM o utilizzare un account diverso con le autorizzazioni richieste.
utilizzi un account di servizio fornito dall'utente per interagire con Artifact Registry anziché con l'account di servizio predefinito.

I seguenti account di servizio in genere accedono ad Artifact Registry. L'indirizzo email per l'account di servizio include l'ID o il numero di progetto Google Cloud del progetto in cui è in esecuzione il servizio.

Servizio	Service account	Indirizzo email	Autorizzazioni
Ambiente flessibile di App Engine	Account di servizio App Engine	`PROJECT-ID`@appspot.gserviceaccount.com	Ruolo Editor, può leggere e scrivere nei repository
Compute Engine	Account di servizio predefinito Compute Engine	`PROJECT-NUMBER`-compute@developer.gserviceaccount.com	Ruolo Editor, limitato all'accesso di sola lettura ai repository
Cloud Build	Account di servizio Cloud Build	`PROJECT-NUMBER`@cloudbuild.gserviceaccount.com Nota: l'account di servizio predefinito di Cloud Build utilizzato per eseguire le build è in fase di modifica. Per ulteriori informazioni, consulta Modifica dell'account di servizio Cloud Build.	Le autorizzazioni predefinite includono l'accesso in lettura e scrittura ai repository e la possibilità di creare repository gcr.io.
Cloud Run	Agente di servizio Cloud Run L'agente di servizio per `run.googleapis.com`.	service-`PROJECT-NUMBER`@serverless-robot-prod.iam.gserviceaccount.com	Autorizzazioni di lettura, limitate all'accesso di sola lettura ai repository
GKE	Account di servizio predefinito Compute Engine L'account di servizio predefinito per i nodi.	`PROJECT-NUMBER`-compute@developer.gserviceaccount.com	Ruolo Editor, limitato all'accesso di sola lettura ai repository

Concessione dell'accesso alle istanze di Compute Engine

Le istanze VM che accedono ai repository devono avere le autorizzazioni Artifact Registry e l'ambito di accesso configurato.

Mentre il livello di accesso di un account di servizio è determinato dai ruoli IAM concessi all'account di servizio, gli ambiti di accesso su un'istanza VM determinano gli ambiti OAuth predefiniti per le richieste effettuate tramite gcloud CLI e le librerie client sull'istanza. Di conseguenza, gli ambiti di accesso limitano potenzialmente ulteriormente l'accesso ai metodi API durante l'autenticazione con le credenziali predefinite dell'applicazione.

Compute Engine utilizza i seguenti valori predefiniti:

L'account di servizio predefinito di Compute Engine è l'identità per le istanze VM. L'indirizzo email dell'account di servizio ha il suffisso @developer.gserviceaccount.com.
L'account di servizio predefinito ha il ruolo IAM Editor di base, se non hai disattivato questo comportamento.
Le istanze che crei con l'account di servizio predefinito hanno gli ambiti di accesso predefiniti di Compute Engine, incluso l'accesso di sola lettura allo spazio di archiviazione. Sebbene il ruolo Editor conceda in genere l'accesso in scrittura, l'ambito di accesso allo spazio di archiviazione read-only limita il download degli artefatti all'account di servizio dell'istanza solo da qualsiasi repository nello stesso progetto.

Devi configurare l'ambito di accesso dell'account di servizio se:

L'account di servizio della VM deve accedere a un repository in un progetto diverso.
L'account di servizio VM deve eseguire azioni diverse dalla lettura degli artefatti dai repository. In genere questo applica strumenti di terze parti su una VM che devono eseguire il push delle immagini o eseguire i comandi gcloud di Artifact Registry.

Per configurare le autorizzazioni e impostare l'ambito di accesso:

Nel progetto con la tua istanza VM, trova il nome dell'account di servizio predefinito di Compute Engine. L'indirizzo email dell'account di servizio ha il suffisso @developer.gserviceaccount.com.
Nel progetto con il repository, concedi le autorizzazioni in modo che l'account di servizio possa accedere al repository.
Imposta l'ambito di accesso con l'opzione --scopes.
1. Arresta l'istanza VM. Consulta Arrestare un'istanza.
2. Imposta l'ambito di accesso con il comando seguente:
```
gcloud compute instances set-service-account INSTANCE --scopes=SCOPE
```
  Sostituisci SCOPE con il valore appropriato.
  - Per Docker sono supportate le seguenti opzioni:
    - storage-ro: concede l'autorizzazione di lettura solo per il pull delle immagini.
    - storage-rw - Concede l'autorizzazione di lettura e scrittura per il push o il pull delle immagini.
    - cloud-platform: visualizza e gestisci i dati, inclusi i metadati, in tutto il servizio Google Cloud.
  - Per gli altri formati, devi utilizzare l'ambito cloud-platform.
3. Riavvia l'istanza VM. Consulta Avvio di un'istanza arrestata.

Concessione dell'accesso ai cluster Google Kubernetes Engine

I cluster GKE e i pool di nodi possono eseguire il pull dei container senza alcuna configurazione aggiuntiva se sono soddisfatti tutti i seguenti requisiti:

GKE si trova nello stesso progetto di Artifact Registry
I nodi utilizzano l'account di servizio predefinito, l'account di servizio predefinito di Compute Engine
I nodi sono stati creati con accesso in lettura allo spazio di archiviazione da:
- Utilizzo degli ambiti di accesso predefiniti di Compute Engine.
- Concessione dell'ambito di accesso cloud-platform o di un altro ambito che include l'accesso in lettura allo spazio di archiviazione.
stai eseguendo una versione supportata di GKE

Se il tuo ambiente GKE non soddisfa questi requisiti, le istruzioni per concedere l'accesso variano a seconda che tu stia utilizzando l'account di servizio predefinito di Compute Engine o un account di servizio fornito dall'utente come identità per i nodi.

Account di servizio predefinito

I seguenti requisiti di configurazione si applicano all'account di servizio predefinito di Compute Engine:

Se GKE si trova in un progetto diverso da Artifact Registry, concedi le autorizzazioni richieste all'account di servizio.
Per eseguire il push delle immagini, interagire con repository per formati diversi dai container o eseguire comandi gcloud dal cluster, devi impostare gli ambiti di accesso per l'account di servizio quando crei il cluster o il pool di nodi.
Se non utilizzi una versione supportata di GKE, configura imagePullSecrets.

Account di servizio fornito dall'utente

Se vuoi utilizzare un account di servizio fornito dall'utente come identità per un cluster, devi:

Concedi le autorizzazioni necessarie all'account di servizio dal progetto Google Cloud in cui è in esecuzione Artifact Registry.
Per impostazione predefinita, la creazione di un cluster o di un pool di nodi con un account di servizio fornito dall'utente concede l'ambito di accesso cloud-platform.

Se utilizzi il flag --scopes con il comando gcloud container clusters create o gcloud container node-pools create, devi includere gli ambiti di accesso appropriati da usare con Artifact Registry.

Impostazione degli ambiti di accesso

Gli ambiti di accesso sono il metodo legacy per specificare l'autorizzazione per le VM di Compute Engine. Per eseguire il pull delle immagini dai repository Artifact Registry, i nodi GKE devono avere l'ambito di accesso di sola lettura allo spazio di archiviazione o un altro ambito di accesso allo spazio di archiviazione che includa l'accesso in lettura allo spazio di archiviazione.

Puoi impostare gli ambiti di accesso solo quando crei un cluster o un pool di nodi. Non puoi modificare gli ambiti di accesso sui nodi esistenti.

Se utilizzi l'account di servizio predefinito di Compute Engine, GKE crea nodi con gli ambiti di accesso predefiniti di Compute Engine, che includono l'accesso di sola lettura all'archiviazione.
Se utilizzi un account di servizio fornito dall'utente, GKE crea nodi con l'ambito cloud-platform, richiesto per la maggior parte dei servizi Google Cloud.

Per specificare gli ambiti di accesso durante la creazione di un cluster, esegui questo comando:

gcloud container clusters create NAME --scopes=SCOPES

Per specificare gli ambiti di accesso durante la creazione di un pool di nodi, esegui questo comando:

gcloud container node-pools create NAME --scopes=SCOPES

Sostituisci i seguenti valori:

NAME è il nome del cluster o del pool di nodi.
SCOPES è un elenco separato da virgole di ambiti di accesso da concedere.
- Per accedere ai repository Docker, utilizza uno dei seguenti ambiti:
- storage-ro - Concede l'autorizzazione di sola lettura per il pull delle immagini.
- storage-rw - Concede l'autorizzazione di lettura e scrittura per il push o il pull delle immagini.
- cloud-platform: visualizza e gestisci i dati, inclusi i metadati, in tutto il servizio Google Cloud.
- Per accedere ad altri repository, devi utilizzare l'ambito cloud-platform.
Per un elenco completo degli ambiti, consulta la documentazione per gcloud container clusters create o gcloud container node-pools create.

Per ulteriori informazioni sugli ambiti che puoi impostare quando crei un nuovo cluster, consulta la documentazione per il comando gcloud container clusters create.

Configurazione di un imagePullSecret

Per configurare un imagePullSecret:

Nel progetto con GKE, trova l'account di servizio predefinito di Compute Engine. L'indirizzo email dell'account ha il suffisso @developer.gserviceaccount.com.
Scarica la chiave dell'account di servizio per l'account di servizio.

Nota: Le chiavi dell'account di servizio comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle chiavi degli account di servizio quando è possibile. Se devi eseguire l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e delle altre operazioni descritte nelle Best practice per la gestione delle chiavi degli account di servizio. Se non ti è consentito creare una chiave dell'account di servizio, la creazione delle chiavi dell'account di servizio potrebbe essere disabilitata per la tua organizzazione. Per maggiori informazioni, consulta Gestire le risorse dell'organizzazione sicure per impostazione predefinita.
Nel progetto con il repository, verifica di aver concesso le autorizzazioni al repository.
Nel progetto con il tuo cluster, crea un secret imagePullSecret denominato artifact-registry con la chiave dell'account di servizio.
```
kubectl create secret docker-registry artifact-registry \
--docker-server=https://LOCATION-docker.pkg.dev \
--docker-email=SERVICE-ACCOUNT-EMAIL \
--docker-username=_json_key \
--docker-password="$(cat KEY-FILE)"
```
Dove
- LOCATION è la località a livello di una o più regioni del repository.
- SERVICE-ACCOUNT-EMAIL è l'indirizzo email dell'account di servizio Compute Engine.
- KEY-FILE è il nome del file delle chiavi dell'account di servizio. Ad esempio key.json.
Apri il tuo account di servizio predefinito:
```
kubectl edit serviceaccount default --namespace default
```
Ogni spazio dei nomi nel tuo cluster Kubernetes ha un account di servizio predefinito chiamato default. Questo account di servizio predefinito viene utilizzato per eseguire il pull dell'immagine container.

Aggiungi il secret imagePullSecret appena creato al tuo account di servizio predefinito:

imagePullSecrets:
- name: artifact-registry

Il tuo account di servizio dovrebbe avere il seguente aspetto:

apiVersion: v1
kind: ServiceAccount
metadata:
  name: default
  namespace: default
  ...
secrets:
- name: default-token-zd84v
# The secret you created:
imagePullSecrets:
- name: artifact-registry

Ora per tutti i nuovi pod creati nell'attuale spazio dei nomi default verrà definito il secret imagePullSecret.

Account di servizio Artifact Registry

L'agente di servizio Artifact Registry è un account di servizio gestito da Google che agisce per conto di Artifact Registry quando si interagisce con i servizi Google Cloud. Per ulteriori informazioni sull'account e sulle relative autorizzazioni, vedi Account di servizio Artifact Registry.

Passaggi successivi

Dopo aver configurato le autorizzazioni, scopri di più sull'utilizzo degli elementi.

Immagini container: Docker, Helm
Pacchetti di linguaggi: Java, Node.js, Python, Go
Pacchetti del sistema operativo: Debian, RPM