Configurare l'autenticazione per Go

L'autenticazione ad Artifact Registry è diversa per il caricamento e il download dei moduli Go pacchettizzati. Quando pacchettizza e carica un modulo Go in Artifact Registry, lo strumento gcloud CLI cerca le credenziali nel tuo ambiente per configurare l'autenticazione nel seguente ordine, a meno che non venga passato il flag --json_key per utilizzare una chiave dell'account di servizio.

  1. Credenziali predefinite dell'applicazione (ADC), una strategia che cerca le credenziali nel seguente ordine:

    1. Credenziali definite nella variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS.

    2. Credenziali fornite dall'account di servizio predefinito per Compute Engine, Google Kubernetes Engine, Cloud Run, App Engine o Cloud Functions.

  2. Le credenziali fornite da Google Cloud CLI, incluse le credenziali utente del comando gcloud auth application-default login.

La variabile GOOGLE_APPLICATION_CREDENTIALS rende esplicito l'account per l'autenticazione, semplificando la risoluzione dei problemi. Se non utilizzi la variabile, verifica che gli account che potrebbero essere utilizzati dall'ADC dispongano delle autorizzazioni richieste. Ad esempio, l'account di servizio predefinito per le VM Compute Engine, i nodi Google Kubernetes Engine e le revisioni Cloud Run ha accesso in sola lettura ai repository. Se intendi eseguire il caricamento da questi ambienti utilizzando l'account di servizio predefinito, devi modificare le autorizzazioni.

Quando scarichi moduli Go pacchettizzati da utilizzare come dipendenze da Artifact Registry, il file binario Go utilizza le credenziali nel file netrc per autenticarsi ad Artifact Registry. Per semplificare la procedura di autenticazione, puoi utilizzare lo strumento di assistenza per le credenziali Go per aggiornare i token nel file netrc per l'autenticazione in Artifact Registry.

La posizione del file netrc può essere impostata con la variabile di ambiente netrc. Se la variabile NETRC non è impostata, il comando go leggerà $HOME/.netrc su piattaforme UNIX-like o %USERPROFILE%\_netrc su Windows.

Artifact Registry supporta i seguenti metodi di autenticazione quando utilizzi le credenziali nel file netrc:

Credenziali di breve durata (opzione consigliata)
Utilizza lo strumento di assistenza per le credenziali Go di Artifact Registry per aggiornare i token di autenticazione nel file netrc utilizzando le credenziali nel tuo ambiente oppure aggiungi manualmente le credenziali di Artifact Registry al file netrc.
Utilizzare una chiave dell'account di servizio
Utilizza questa opzione quando non puoi utilizzare le credenziali nel tuo ambiente per l'autenticazione. Puoi utilizzare lo strumento di assistenza per le credenziali Go di Artifact Registry per aggiungere la chiave dell'account di servizio non criptata al file netrc o aggiungerla manualmente al file.

Prima di iniziare

  1. Installa Go 1.15 o versioni successive.
  2. Installa il componente aggiuntivo package-go-module per gcloud CLI:

    gcloud components install package-go-module

Configurare l'ambiente Go

  1. Chiedi a Go di scaricare i moduli da Artifact Registry, il proxy del modulo Go pubblico e poi la sorgente in questo ordine:

      export GOPROXY=https://LOCATION-go.pkg.dev/PROJECT/REPOSITORY,https://proxy.golang.org,direct
    

    Sostituisci quanto segue:

    • LOCATION è la posizione regionale o multiregionale del repository.
    • PROJECT è il tuo Google Cloud ID progetto.
    • REPOSITORY è il nome del repository in cui è memorizzato il pacchetto.
  2. Escludere il modulo dal controllo utilizzando il database del checksum pubblico:

      export GONOSUMDB=MODULE_PATH_REGEX
    

    Sostituisci MODULE_PATH_REGEX con il percorso del modulo o con un'espressione regolare se vuoi escludere più moduli.

    Ad esempio, per escludere il controllo del modulo example.com/foo utilizzando il database di checksum pubblico, esegui il seguente comando:

      export GONOSUMDB=example.com/foo
    

    Il seguente comando esclude tutti i moduli con percorsi che iniziano conexample.com dal controllo utilizzando il database di checksum pubblico:

      export GONOSUMDB=example.com/*
    

Aggiungi le credenziali di Artifact Registry al file netrc

  1. Esegui il comando seguente per aggiungere le credenziali di Artifact Registry al file netrc con lo strumento di assistenza per le credenziali Go:

      GOPROXY=proxy.golang.org \
          go run github.com/GoogleCloudPlatform/artifact-registry-go-tools/cmd/auth@v0.1.0 \
          add-locations --locations=LOCATION \
          --json_key=PATH_TO_JSON_KEY
    

    Dove:

    • LOCATION è la posizione regionale o multiregionale del tuo repository. Per aggiungere più sedi, inseriscile sotto forma di elenco separato da virgole.
    • PATH_TO_JSON_KEY Facoltativo. Il percorso della chiave dell'account di servizio.

      Lo strumento di assistenza per le credenziali Go aggiunge impostazioni al file netrc per l'autenticazione in Artifact Registry. Se passi il flag --json_key, la chiave viene aggiunta al file netrc per l'autenticazione tramite password.

  2. Se utilizzi credenziali a vita breve per l'autenticazione in Artifact Registry, dovrai aggiornare il token OAuth eseguendo il seguente comando prima di utilizzare il modulo come dipendenza:

      GOPROXY=proxy.golang.org \
      go run github.com/GoogleCloudPlatform/artifact-registry-go-tools/cmd/auth@v0.1.0 refresh
    

Autenticazione con una chiave dell'account di servizio

Utilizza questo approccio quando è richiesta l'autenticazione con nome utente e password.

Le chiavi dell'account di servizio sono credenziali a lungo termine. Utilizza le seguenti linee guida per limitare l'accesso ai tuoi repository:

  • Valuta la possibilità di utilizzare un account di servizio dedicato per interagire con i repository.
  • Concedi il ruolo Artifact Registry minimo richiesto dall'account di servizio. Ad esempio, assegna il ruolo Artifact Registry Reader a un account di servizio che scarica solo gli elementi.
  • Se i gruppi della tua organizzazione richiedono livelli di accesso diversi a repository specifici, concedi l'accesso a livello di repository anziché a livello di progetto.
  • Segui le best practice per la gestione delle credenziali.

Per configurare l'autenticazione:

  1. Crea un account di servizio per agire per conto della tua applicazione o scegli un account di servizio esistente che utilizzi per l'automazione.

    Per configurare l'autenticazione con Artifact Registry, devi conoscere la posizione del file della chiave dell'account di servizio. Per gli account esistenti, puoi visualizzare le chiavi e crearne di nuove nella pagina Account di servizio.

    Vai alla pagina Account di servizio

  2. Concedi il ruolo Artifact Registry appropriato all'account di servizio per fornire l'accesso al repository.

  3. Esegui il seguente comando per aggiungere le credenziali dell'account di servizio al file netrc con lo strumento di assistenza per le credenziali Go:

      GOPROXY=proxy.golang.org \
          go run github.com/GoogleCloudPlatform/artifact-registry-go-tools/cmd/auth@v0.1.0 \
          add-locations --locations=LOCATION \
          --json_key=PATH_TO_JSON_KEY
    

    Dove:

    • LOCATION è la posizione regionale o multiregionale del tuo repository. Per aggiungere più sedi, inseriscile sotto forma di elenco separato da virgole.
    • PATH_TO_JSON_KEY è il percorso del file della chiave JSON dell'account di servizio.

      Lo strumento di assistenza per le credenziali Go aggiunge la chiave dell'account di servizio al file netrc per l'autenticazione tramite password.

È anche possibile aggiungere manualmente la chiave dell'account di servizio al file netrc nel seguente formato:

machine LOCATION.pkg.dev
login _json_key_base64
password KEY

Sostituisci quanto segue:

  • LOCATION con la posizione regionale o multiregionale del tuo repository.
  • KEY con la chiave codificata in base64 nel file della chiave dell'account di servizio.

Aggiungi l'utilità di supporto delle credenziali Go a GONOPROXY

Prima di utilizzare l'helper per le credenziali Go, devi aggiungerlo all'elenco GONOPROXY per forzare Go a scaricarlo direttamente da GitHub. Se hai altri moduli che vuoi scaricare direttamente dal codice sorgente, puoi aggiungerli in un elenco separato da virgole, come mostrato nell'esempio seguente:

  export GONOPROXY=MODULE_PATH1, MODULE_PATH2

dove MODULE_PATH1 e MODULE_PATH2 sono i percorsi dei moduli da scaricare dall'origine.

Per aggiungere lo strumento di assistenza per le credenziali Go al tuo elenco GONOPROXY ed eseguirlo per configurare le tue credenziali:

  1. Aggiungi lo strumento di assistenza per le credenziali Go a GONOPROXY

      export GONOPROXY=github.com/GoogleCloudPlatform/artifact-registry-go-tools
    
  2. Esegui il comando seguente per aggiungere le credenziali di Artifact Registry al file netrc con lo strumento di pacchettizzazione del modulo Go:

      GOPROXY=proxy.golang.org \
          go run github.com/GoogleCloudPlatform/artifact-registry-go-tools/cmd/auth@v0.1.0 \
          add-locations --locations=LOCATION \
          [--json_key=path/to/service/account/key.json]
    

    dove LOCATION è la località regionale o multiregionale del tuo repository. Per aggiungere più località, inseriscile come elenco separato da virgole.

    Lo strumento di assistenza per le credenziali Go aggiunge impostazioni al file netrc per l'autenticazione in Artifact Registry. Se passi il flag --json_key, la chiave viene aggiunta al tuo file netrc per l'autenticazione tramite password.

Passaggi successivi