Configurer l'authentification sur Artifact Registry pour Docker

Cette page explique comment configurer Docker pour s'authentifier auprès des dépôts Docker Artifact Registry.

Vous n'avez pas besoin de configurer l'authentification pour les environnements Cloud Build ou Google Cloud tels que Google Kubernetes Engine et Cloud Run, mais vous devez vérifier que les autorisations requises sont configurées.

Avant de commencer

Installez Google Cloud CLI, puis initialisez-la en exécutant la commande suivante :
```
gcloud init
```
(Facultatif) Configurez les valeurs par défaut pour les commandes de gcloud CLI.
Vérifiez que le compte que vous utilisez pour l'authentification dispose des autorisations nécessaires pour accéder à Artifact Registry. Nous vous recommandons d'utiliser un compte de service plutôt qu'un compte utilisateur.
Installez Docker si ce n'est pas encore fait. Docker est inclus dans Cloud Shell.
Docker nécessite un accès privilégié pour interagir avec les registres. Sous Linux ou Windows, ajoutez l'utilisateur que vous permet d'exécuter des commandes Docker dans le groupe de sécurité Docker. Cette étape n'est pas requise sous macOS, car Docker Desktop s'exécute sur une machine virtuelle en tant qu'utilisateur racine.
Linux
Le groupe de sécurité Docker s'appelle docker. Pour ajouter votre nom d'utilisateur, exécutez la commande suivante :
```
sudo usermod -a -G docker ${USER}
```
Windows
Le groupe de sécurité Docker s'appelle docker-users. Pour ajouter un utilisateur à partir de l'invite de commande administrateur, exécutez la commande suivante :
```
net localgroup docker-users DOMAIN\USERNAME /add
```
Où
- DOMAIN est votre domaine Windows.
- USERNAME est votre nom d'utilisateur.
Déconnectez-vous et reconnectez-vous pour que les modifications apportées à la liste des membres du groupe soient appliquées. Si vous utilisez une machine virtuelle, vous devrez peut-être la redémarrer pour que ces modifications prennent effet.

Remarque : Le groupe de sécurité Docker dispose d'un accès équivalent à l'utilisateur racine ou à l'utilisateur administrateur. N'ajoutez que des utilisateurs de confiance nécessitant un accès à Docker. Pour en savoir plus sur les impacts sur la sécurité, consultez la section Sécurité du daemon Docker.

Choisir une méthode d'authentification

Les méthodes d'authentification suivantes sont disponibles :

Assistant d'identification de la gcloud CLI: Configurez vos identifiants Artifact Registry pour une utilisation avec Docker directement dans la gcloud CLI. Il s'agit de la méthode d'authentification la plus simple, mais elle peut être plus lente que l'assistant d'identification autonome.
Assistant d'identification Docker autonome: Cette option sert principalement à configurer vos identifiants à utiliser avec Docker en l'absence de Google Cloud CLI. Il est beaucoup plus rapide que l'assistant d'identification de gcloud CLI et utilise les identifiants par défaut de l'application (ADC) pour trouver automatiquement les identifiants dans votre environnement.
Jeton d'accès: Vous pouvez générer un jeton d'accès de courte durée pour un compte de service, puis l'utiliser pour l'authentification par mot de passe. Comme le jeton n'est valide que pendant 60 minutes, il s'agit d'une option plus sûre qu'une clé de compte de service.
Clé de compte de service: Paire de clés gérée par l'utilisateur que vous pouvez utiliser comme identifiant pour un compte de service. Les identifiants étant de longue durée, il s'agit de l'option la moins sécurisée de toutes les méthodes d'authentification disponibles.

Dans la mesure du possible, utilisez un jeton d'accès ou un assistant d'identification pour réduire le risque d'accès non autorisé à vos images de conteneurs. Si vous devez utiliser une clé de compte de service, assurez-vous de suivre les bonnes pratiques de gestion des identifiants.

Paramètres d'authentification dans le fichier de configuration Docker

Docker enregistre les paramètres d'authentification dans le fichier de configuration config.json.

Linux : ~/.docker/config.json
Windows : %USERPROFILE%\.docker\config.json

Le fichier comporte des sections distinctes correspondant aux différentes méthodes d'authentification:

credHelpers: Si vous utilisez l'assistant d'identification Docker pour l'authentification, Artifact Registry stocke ses paramètres dans la section credHelpers du fichier.
auths: Si vous utilisez Docker pour vous connecter avec un jeton ou une clé de compte de service comme mot de passe, Docker stocke une version de vos identifiants encodée en base64 dans la section auths du fichier.
credStore: Si vous avez configuré un magasin d'identifiants pour gérer vos identifiants, les paramètres correspondants se trouvent dans la section credStore du fichier.

Lorsque Docker se connecte à un registre, il recherche d'abord un assistant d'identification associé à l'hôte. Ainsi, si votre fichier config.json inclut les paramètres d'Artifact Registry dans les sections credHelpers et auths, les paramètres de la section auths sont ignorés.

Assistant d'identification de la gcloud CLI

L'assistant d'identification de la gcloud CLI fournit un accès sécurisé et de courte durée aux ressources de votre projet. Elle configure Docker pour s'authentifier auprès des hôtes Artifact Registry dans tout environnement où la Google Cloud CLI est installée. Cloud Shell inclut la Google Cloud CLI et une version actuelle de Docker.

L'assistant d'identification de la gcloud CLI est la méthode d'authentification la plus simple à configurer. Elle configure Docker avec les identifiants de l'utilisateur ou du compte de service actif dans votre session de gcloud CLI. Étant donné que cet assistant d'identification dépend de gcloud CLI, il peut être beaucoup plus lent que l'assistant d'identification autonome. Pour les compilations automatisées avec des outils tiers ou des clients Docker avec un grand nombre d'hôtes de registre configurés, utilisez plutôt l'assistant d'identification autonome.

Pour vous authentifier auprès d'Artifact Registry :

Connectez-vous à la gcloud CLI en tant qu'utilisateur qui exécutera les commandes Docker.
- Pour configurer l'authentification avec des identifiants utilisateur, exécutez la commande suivante :
```
gcloud auth login
```
- Pour configurer l'authentification avec des identifiants de compte de service, exécutez la commande suivante :
```
gcloud auth activate-service-account ACCOUNT --key-file=KEY-FILE
```
  Où
  - ACCOUNT est le compte de service que vous souhaitez utiliser avec Artifact Registry au format USERNAME@PROJECT-ID.iam.gserviceaccount.com. Si vous souhaitez utiliser un compte existant, vous pouvez afficher la liste des comptes de service sur la page Comptes de service de la console Google Cloud ou à l'aide de la commande gcloud iam service-accounts list.
  - KEY-FILE est le fichier de clé du compte de service. Pour en savoir plus sur la création d'une clé, consultez la documentation IAM (Identity and Access Management).
  Remarque :Les clés de compte de service présentent un risque pour la sécurité si elles ne sont pas gérées correctement. Dans la mesure du possible, vous devez choisir une alternative plus sécurisée aux clés de compte de service. Si vous devez vous authentifier avec une clé de compte de service, vous êtes responsable de la sécurité de la clé privée et des autres opérations décrites dans la section Bonnes pratiques pour la gestion des clés de compte de service. Si vous ne parvenez pas à créer une clé de compte de service, la création de clé de compte de service peut être désactivée pour votre organisation. Pour en savoir plus, consultez la page Gérer les ressources d'organisation sécurisées par défaut.
Exécutez la commande ci-dessous.
```
gcloud auth configure-docker HOSTNAME-LIST
```
Où HOSTNAME-LIST est une liste de noms d'hôtes de dépôt séparés par une virgule, à ajouter à la configuration de l'assistant d'identification.

Par exemple, pour ajouter les régions us-central1 et asia-northeast1, exécutez la commande suivante :
```
gcloud auth configure-docker us-central1-docker.pkg.dev,asia-northeast1-docker.pkg.dev
```
Les noms d'hôte spécifiés sont ajoutés à la configuration de l'assistant d'identification. Vous pourrez ajouter d'autres noms d'hôte à la configuration ultérieurement en exécutant à nouveau la commande.

Pour afficher la liste des emplacements de dépôt acceptés, exécutez la commande suivante :
```
gcloud artifacts locations list
```
La commande affiche la section credHelpers de votre configuration Docker actuelle et la configuration mise à jour après l'ajout des noms d'hôte spécifiés.

Pour accepter les modifications de configuration, saisissez y.

Vos identifiants sont enregistrés dans votre répertoire d'accueil utilisateur.
- Linux : $HOME/.docker/config.json
- Windows : %USERPROFILE%/.docker/config.json
Docker requiert que les assistants d'identification se trouvent dans le PATH système. Vérifiez que la commande gcloud se trouve dans le système PATH.

Assistant d'identification autonome

L'assistant d'identification Docker autonome configure Docker pour s'authentifier auprès d'Artifact Registry sur un système où gcloud CLI n'est pas disponible. Il est beaucoup plus rapide que l'assistant d'identification de la CLI gcloud et utilise les identifiants par défaut de l'application (ADC) pour trouver automatiquement les identifiants dans votre environnement. Pour les opérations autres que le transfert et l'extraction d'images, telles que l'ajout de tags ou le référencement d'images. Nous vous recommandons d'utiliser cette méthode d'authentification pour les compilations automatisées avec des outils tiers ou des clients Docker avec un grand nombre d'hôtes de registre configurés.

L'assistant d'identification Docker autonome récupère vos identifiants Artifact Registry et les écrit dans le fichier de configuration Docker. Ainsi, vous pouvez utiliser l'outil de ligne de commande Docker, docker, pour interagir directement avec Artifact Registry.

Pour utiliser l'assistant d'identification Docker :

Connectez-vous à l'ordinateur en tant que l'utilisateur qui exécutera les commandes Docker.

Téléchargez l'assistant d'identification Docker autonome sur GitHub.

Vous pouvez aussi utiliser l'utilitaire de ligne de commande curl. Exemple :

VERSION=2.1.22
OS=linux  # or "darwin" for OSX, "windows" for Windows.
ARCH=amd64  # or "386" for 32-bit OSs

curl -fsSL "https://github.com/GoogleCloudPlatform/docker-credential-gcr/releases/download/v${VERSION}/docker-credential-gcr_${OS}_${ARCH}-${VERSION}.tar.gz" \
| tar xz docker-credential-gcr \
&& chmod +x docker-credential-gcr && sudo mv docker-credential-gcr /usr/bin/

Configurez Docker pour qu'il utilise vos informations d'identification Artifact Registry lors de l'interaction avec Artifact Registry (action à effectuer une seule fois) :
```
docker-credential-gcr configure-docker --registries=HOSTNAME-LIST
```
Où HOSTNAME-LIST est une liste de noms d'hôtes de dépôt séparés par une virgule, à ajouter à la configuration de l'assistant d'identification.

Par exemple, pour ajouter les régions us-central1 et asia-northeast1, exécutez la commande suivante :
```
docker-credential-gcr configure-docker --registries=us-central1-docker.pkg.dev,asia-northeast1-docker.pkg.dev
```
Les noms d'hôte spécifiés sont ajoutés à la configuration de l'assistant d'identification. Vous pourrez ajouter d'autres noms d'hôte à la configuration ultérieurement en exécutant à nouveau la commande.

Pour afficher la liste des emplacements de dépôt acceptés, exécutez la commande suivante :
```
gcloud artifacts locations list
```
Pour en savoir plus, consultez la documentation de l'assistant d'identification Docker autonome sur GitHub.

Remarque : Si vous exécutez généralement des commandes Docker sous Linux avec sudo, Docker recherche les identifiants Artifact Registry dans /root/.docker/config.json au lieu de $HOME/.docker/config.json. Si vous souhaitez utiliser sudo avec des commandes docker au lieu d'utiliser le groupe de sécurité Docker, configurez plutôt les identifiants avec sudo docker-credential-gcr configure-docker.

Vos identifiants sont enregistrés dans votre répertoire d'accueil utilisateur.
- Linux : $HOME/.docker/config.json
- Windows : %USERPROFILE%/.docker/config.json
Docker requiert que les assistants d'identification se trouvent dans le PATH système. Vérifiez que la commande docker-credential-gcr se trouve dans le système PATH.
Pour vérifier que l'assistant d'identification peut bien récupérer vos identifiants, exécutez la commande suivante:
```
echo "https://HOSTNAME" | docker-credential-gcr get
```
Remplacez HOSTNAME par un nom d'hôte que vous avez ajouté à la configuration. Exemple :
```
echo "https://us-central1-docker.pkg.dev" | docker-credential-gcr get
```
Si la commande aboutit, la sortie JSON renvoyée inclut un jeton dans le champ Secret. Exemple :
```
{"ServerURL":"https://us-central1-docker.pkg.dev","Username":"_dcgcr_2_0_0_token","Secret":"ya29..."}
```

Docker est à présent configuré pour s'authentifier avec Artifact Registry. Pour transférer et extraire des images, assurez-vous que les autorisations sont correctement configurées.

Jeton d'accès

Vous pouvez générer un jeton d'accès OAuth de courte durée pour vous authentifier auprès d'Artifact Registry. Comme le jeton est valide pendant 60 minutes, vous devez en faire la demande moins d'une heure avant de l'utiliser pour vous connecter à Artifact Registry.

Pour utiliser un jeton d'accès avec des identifiants de compte de service:

Créez un compte de service qui agira au nom de votre application ou sélectionnez un compte de service existant à utiliser pour l'automatisation.
Accordez le rôle Artifact Registry spécifique au compte de service pour fournir l'accès au dépôt.
Générez un jeton d'accès pour le compte de service et authentifiez-vous:
- Vous devez disposer des autorisations du rôle Créateur de jetons du compte de service (roles/iam.serviceAccountTokenCreator) pour emprunter l'identité d'un compte de service, obtenir un jeton pour celui-ci, puis vous authentifier en tant que compte de service.
  
  Exécutez la commande suivante, en remplaçant ACCOUNT par l'adresse e-mail de votre compte de service et l'emplacement régional ou multirégional LOCATION du dépôt.
  Linux
```
gcloud auth print-access-token \
    --impersonate-service-account ACCOUNT | docker login \
    -u oauth2accesstoken \
    --password-stdin https://LOCATION-docker.pkg.dev
```
  Windows
```
gcloud auth print-access-token --impersonate-service-account ACCOUNT |
    docker login -u oauth2accesstoken --password-stdin https://LOCATION-docker.pkg.dev
```

Docker est désormais authentifié avec Artifact Registry.

Clé de compte de service

Remarque :Dans la mesure du possible, utilisez un jeton d'accès ou un assistant d'identification pour réduire le risque d'accès non autorisé à vos artefacts. Les clés de compte de service constituent un risque pour la sécurité si elles ne sont pas gérées correctement. Dans la mesure du possible, vous devez choisir une alternative plus sécurisée aux clés de compte de service. Si vous devez vous authentifier avec une clé de compte de service, vous êtes responsable de la sécurité de la clé privée et des autres opérations décrites dans les bonnes pratiques de gestion des clés de compte de service. Si vous ne parvenez pas à créer une clé de compte de service, la création de clé de compte de service peut être désactivée pour votre organisation. Pour en savoir plus, consultez la page Gérer les ressources d'organisation sécurisées par défaut.

Toute personne ayant accès à une clé privée valide pour un compte de service peut accéder aux ressources via le compte de service. Notez que le cycle de vie de l'accès de la clé au compte de service (et par conséquent, aux données auxquelles le compte de service a accès) est indépendant du cycle de vie de l'utilisateur ayant téléchargé la clé.

Suivez les instructions ci-dessous pour limiter l'accès à vos dépôts :

Créer des comptes de service dédiés permettant uniquement d'interagir avec les dépôts.
Accordez le rôle Artifact Registry spécifique pour l'accès requis par le compte de service. Par exemple, un compte de service qui ne télécharge que des artefacts ne nécessite que le rôle de lecteur Artifact Registry.
Configurez les autorisations de vos comptes de service dédiés sur chaque dépôt plutôt qu'au niveau du projet. Vous pouvez ensuite spécifier l'accès en fonction du contexte du dépôt. Par exemple, un compte de service pour les compilations de développement peut disposer du rôle Lecteur Artifact Registry pour un dépôt de production et du rôle Rédacteur Artifact Registry pour un dépôt de préproduction.
Suivez les bonnes pratiques de gestion des identifiants.

Pour créer un nouveau compte de service et une clé de compte de service à n'utiliser qu'avec les dépôts Artifact Registry, procédez comme suit :

Créez un compte de service pour agir au nom de votre application ou sélectionnez un compte de service existant que vous utilisez pour l'automatisation.

Vous aurez besoin de l'emplacement du fichier de clé de compte de service pour configurer l'authentification avec Artifact Registry. Pour les comptes existants, vous pouvez afficher les clés et en créer sur la page "Comptes de service".

Accéder à la page "Comptes de service"

Remarque : Les clés de compte de service constituent un risque pour la sécurité si elles ne sont pas gérées correctement. Dans la mesure du possible, vous devez choisir une alternative plus sécurisée aux clés de compte de service. Si vous devez vous authentifier avec une clé de compte de service, vous êtes responsable de la sécurité de la clé privée et des autres opérations décrites dans la section Bonnes pratiques pour la gestion des clés de compte de service. Si vous ne parvenez pas à créer une clé de compte de service, la création de clé de compte de service peut être désactivée pour votre organisation. Pour en savoir plus, consultez la page Gérer les ressources d'organisation sécurisées par défaut.
Vous avez la possibilité d'encoder tous les contenus du fichier de clé en base64.
Linux
```
base64 FILE-NAME > NEW-FILE-NAME
```
macOS
```
base64 -i FILE-NAME -o NEW-FILE-NAME
```
Windows
```
Base64.exe -e FILE-NAME > NEW-FILE-NAME
```
Où FILE-NAME est le nom de fichier d'origine de la clé et NEW-FILE-NAME est votre fichier de clé encodé en base64.
Vérifiez que les autorisations sont correctement configurées pour le compte de service. Si vous utilisez le compte de service Compute Engine, vous devez configurer correctement les autorisations et les niveaux d'accès.
Utilisez la clé de compte de service pour configurer l'intégration avec Docker :

Exécutez la commande ci-dessous.
Linux/macOS
```
cat KEY-FILE | docker login -u KEY-TYPE --password-stdin \
https://LOCATION-docker.pkg.dev
```
Windows
```
Get-Content KEY-FILE |
docker login -u KEY-TYPE --password-stdin https://LOCATION-docker.pkg.dev
```
Remplacez les éléments suivants :
- KEY-TYPE est l'un des éléments suivants :
  - _json_key si vous utilisez la clé de compte de service au format JSON, telle qu'elle vous a été fournie lors de la création du fichier.
  - _json_key_base64 si vous avez codé en base64 l'ensemble du contenu du fichier.
- KEY-FILE est le nom du fichier de clé du compte de service au format JSON.
- LOCATION est l'emplacement régional ou multirégional du dépôt où l'image est stockée.

Docker est désormais authentifié avec Artifact Registry.

Configurer l'authentification sur Artifact Registry pour Docker

Avant de commencer

Linux

Windows

Choisir une méthode d'authentification

Paramètres d'authentification dans le fichier de configuration Docker

Assistant d'identification de la gcloud CLI

Assistant d'identification autonome

Jeton d'accès

Linux

Windows

Clé de compte de service

Linux

macOS

Windows

Linux/macOS

Windows