Helm 用の認証を設定する

このページでは、Artifact Registry リポジトリで認証するように Helm を構成する方法について説明します。

始める前に

グラフのリポジトリが存在しない場合は、新しいリポジトリを作成します。Docker をリポジトリ形式として選択します。
Google Cloud CLI をインストールし、次のコマンドを実行して初期化します。
```
gcloud init
```
注: すでに gcloud CLI をインストールしている場合は、gcloud components update を実行して、最新バージョンがインストールされていることを確認してください。
（省略可）gcloud コマンドのデフォルトを構成します。
Helm 3.8.0 以降をインストールします。以前のバージョンの Helm では、OCI 形式のチャートに対するサポートは試験運用版です。

helm version を実行してバージョンを確認します。

認証方法の選択

ほとんどの場合、Artifact Registry の認証にはサービスアカウントの使用をおすすめします。

Cloud Build や Cloud Run など、通常は Artifact Registry と統合されるアプリケーションのサービスアカウントには、同じプロジェクト内のリポジトリに対する権限がデフォルトで構成されます。これらのアプリケーションに Docker 認証を構成する必要はありません。

使用できる認証方法は、次のとおりです。

Docker 用に構成された Artifact Registry の認証情報を使用する

デフォルトでは、Helm は Docker で使用するものと同じ認証情報で認証できます。

アクセストークン

アプリケーションのデフォルト認証情報は、サービスアカウントが Google Cloud リソースへのアクセスに使用する短期間のアクセストークンを提供します。

JSON キーファイル

サービスアカウントの認証情報として使用できるユーザー管理の鍵ペア。認証情報は有効期間が長いため、使用できるすべての認証方式の中で最も安全性の低い認証方式です。

可能であれば、アクセストークンを使用して、アーティファクトへの不正アクセスのリスクを軽減します。

Docker 構成の使用

デフォルトでは、Helm は Docker 構成ファイル config.json のレジストリ設定をサポートしています。Helm は、デフォルトの場所または DOCKER_CONFIG 環境変数で指定された場所でレジストリ設定を検索します。

Artifact Registry で認証するための認証情報ヘルパーを使用して Docker を構成した場合、Helm は Artifact Registry Docker リポジトリの既存の構成を使用します。

アクセストークンの使用

アクセストークンは、Google Cloud リソースへのアクセス権を付与する、短時間だけ有効なトークンです。トークンは有効期間が短いため、リクエストしてから 1 時間以内に Artifact Registry リポジトリとの接続に使用してください。

Google Cloud は、アプリケーションのデフォルト認証情報を使用してアクセストークンを取得します。

アクセストークンを使用するには、次の手順を行います。

アプリケーションに代わって動作するサービスアカウントを作成するか、自動化に使用する既存のサービスアカウントを選択します。

Artifact Registry で認証を設定するには、サービスアカウントのキーファイルの場所が必要です。既存のアカウントの場合は、[サービスアカウント] ページで鍵を表示し、新しい鍵を作成できます。

[サービスアカウント] ページに移動

注: サービスアカウントキーが正しく管理されていない場合は、セキュリティリスクが発生します。可能であれば、サービスアカウントキーよりも安全な代替手段を選択してください。サービスアカウントキーで認証する必要がある場合は、秘密鍵のセキュリティと、サービスアカウントキーを管理するためのベストプラクティスで説明されているその他の操作は、ユーザーの責任で実施してください。サービスアカウントキーを作成できない場合は、組織でサービスアカウントキーの作成が無効になっている可能性があります。詳細については、デフォルトで安全な組織リソースの管理をご覧ください。
適切な Artifact Registry のロールをサービスアカウントに付与して、リポジトリへのアクセスを許可します。
サービスアカウントキーファイルの場所を変数 GOOGLE_APPLICATION_CREDENTIALS に割り当てて、Artifact Registry の認証情報ヘルパーがリポジトリとの接続時にキーを取得できるようにします。
```
export GOOGLE_APPLICATION_CREDENTIALS=KEY-FILE
```
KEY-FILE はサービスアカウントキーファイルのパスです。
Docker で Artifact Registry に対して認証するときに、アクセストークンを認証情報として取得します。
Linux / macOS
次のコマンドを実行します。
```
gcloud auth application-default print-access-token | helm registry login -u oauth2accesstoken \
--password-stdin https://LOCATION-docker.pkg.dev
```
Windows
次のコマンドを実行します。
```
gcloud auth application-default print-access-token
ya29.8QEQIfY_...

helm registry login -u oauth2accesstoken -p "ya29.8QEQIfY_..." \
https://LOCATION-docker.pkg.dev
```
ここで
- oauth2accesstoken は、アクセストークンで認証するときに使用するユーザー名です。
- gcloud auth application-default print-access-token は、サービスアカウントのアクセストークンを取得する gcloud コマンドです。アクセストークンは認証用のパスワードです。
- LOCATION は、イメージが保存されているリポジトリのリージョンまたはマルチリージョンのロケーションです。

これで Helm が Artifact Registry で認証されるようになりました。

JSON キーファイルの使用

注: 可能であれば、アクセストークンを使用して、アーティファクトへの不正アクセスのリスクを軽減します。サービスアカウントキーが正しく管理されていない場合は、セキュリティリスクが発生します。可能であれば、サービスアカウントキーよりも安全な代替手段を選択してください。サービスアカウントキーで認証する必要がある場合は、秘密鍵のセキュリティと、サービスアカウントキーを管理するためのベストプラクティスで説明されているその他の操作は、ユーザーの責任で実施してください。サービスアカウントキーを作成できない場合は、組織でサービスアカウントキーの作成が無効になっている可能性があります。詳細については、デフォルトで安全な組織リソースの管理をご覧ください。

サービスアカウントの有効な秘密鍵にアクセスできるユーザーは、サービスアカウントを介してリソースにアクセスできます。サービスアカウントに対するキーのアクセスのライフサイクル、つまりサービスアカウントがアクセスできるデータは、ダウンロードしたユーザーのライフサイクルとは無関係です。

次のガイドラインを使用して、リポジトリへのアクセスを制限してください。

リポジトリの操作のみ使用される専用のサービスアカウントを作成します。
サービスアカウントに必要なアクセスに特定の Artifact Registry ロールを付与します。たとえば、アーティファクトのみをダウンロードするサービスアカウントには、Artifact Registry 読み取りのロールのみが必要です。
プロジェクトレベルではなく、各リポジトリ内で専用のサービスアカウントの権限を構成します。その後、リポジトリコンテキストに基づいてアクセスを指定できます。たとえば、開発ビルド用のサービスアカウントには、本番環境リポジトリに対する Artifact Registry 読み取りのロールと、ステージングリポジトリに対する Artifact Registry 書き込みのロールがある場合があります。
サービスアカウントキーの管理に関するベストプラクティスに従います。

Artifact Registry リポジトリでのみ使用する新しいサービスアカウントとサービスアカウント鍵を作成する手順は、次のとおりです。

アプリケーションに代わって動作するサービスアカウントを作成するか、自動化に使用する既存のサービスアカウントを選択します。

Artifact Registry で認証を設定するには、サービスアカウントのキーファイルの場所が必要です。既存のアカウントの場合は、[サービスアカウント] ページで鍵を表示し、新しい鍵を作成できます。

[サービスアカウント] ページに移動

注: サービスアカウントキーが正しく管理されていない場合は、セキュリティリスクが発生します。可能であれば、サービスアカウントキーよりも安全な代替手段を選択してください。サービスアカウントキーで認証する必要がある場合は、秘密鍵のセキュリティと、サービスアカウントキーを管理するためのベストプラクティスで説明されているその他の操作は、ユーザーの責任で実施してください。サービスアカウントキーを作成できない場合は、組織でサービスアカウントキーの作成が無効になっている可能性があります。詳細については、デフォルトで安全な組織リソースの管理をご覧ください。
必要に応じて、キーファイルの内容をすべて base64 でエンコードできます。
Linux
```
base64 FILE-NAME > NEW-FILE-NAME
```
macOS
```
base64 -i FILE-NAME -o NEW-FILE-NAME
```
Windows
```
Base64.exe -e FILE-NAME > NEW-FILE-NAME
```
ここで、FILE-NAME は元のキーファイルの名前、NEW-FILE-NAME は base64 でエンコードされたキーファイルです。
適切な Artifact Registry のロールをサービスアカウントに付与して、リポジトリへのアクセスを許可します。
サービスアカウントキーを使用して認証します。
Linux / macOS
次のコマンドを実行します。
```
cat KEY-FILE | helm registry login -u KEY-TYPE --password-stdin \
https://LOCATION-docker.pkg.dev
```
Windows
次のコマンドを実行します。
```
helm registry login -u KEY-TYPE --password-stdin https://LOCATION-docker.pkg.dev < KEY-FILE
```
Where
- KEY-TYPE は次のいずれかです。
  - ファイルの作成時に提供された JSON 形式のサービスアカウント鍵を使用している場合は、_json_key。
  - _json_key_base64 を使用する場合、ファイルの内容のすべてを base64 でエンコードします。
- KEY-FILE は、JSON 形式のサービスアカウント鍵ファイルの名前です。
- LOCATION は、イメージが保存されているリポジトリのリージョンまたはマルチリージョンのロケーションです。

これで Helm が Artifact Registry で認証されるようになりました。

次のステップ

イメージとして保存された Helm チャートの管理について学習する

Helm 用の認証を設定する

始める前に

認証方法の選択

Docker 構成の使用

アクセス トークンの使用

Linux / macOS

Windows

JSON キーファイルの使用

Linux

macOS

Windows

Linux / macOS

Windows

次のステップ

アクセストークンの使用