Devi eseguire l'autenticazione in Artifact Registry quando utilizzi un'applicazione di terze parti per connetterti a un repository Artifact Registry. Questa documentazione è incentrata sulla configurazione di Maven e Gradle.
Non è necessario configurare l'autenticazione per Cloud Build o per gli ambienti di runtime come Google Kubernetes Engine e Cloud Run, ma devi verificare che siano configurate le autorizzazioni richieste. Google CloudPer saperne di più, consulta le informazioni su Cloud Build e sul deployment negli ambienti di runtime Google Cloud .
Prima di iniziare
-
Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il seguente comando:
gcloud initSe utilizzi un provider di identità (IdP) esterno, devi prima accedere alla gcloud CLI con la tua identità federata.
- (Facoltativo) Configura le impostazioni predefinite per i comandi gcloud.
Se stai configurando l'autenticazione con un repository standard, verifica la policy di gestione delle versioni in modo da poter configurare correttamente il tuo progetto Maven per i tipi di pacchetti Java che puoi caricare.
Console
Apri la pagina Repository nella console Google Cloud .
Fai clic sul repository a cui vuoi eseguire l'autenticazione.
La sezione Dettagli mostra i criteri di versione. Se il repository ha una policy di versione snapshot, il campo Consenti sovrascritture snapshot indica se gli snapshot possono sovrascrivere le versioni snapshot corrispondenti nel repository.
gcloud
Esegui questo comando per visualizzare la descrizione di un repository.
gcloud artifacts repositories describe REPOSITORY \ --project=PROJECT \ --location=LOCATIONDove
- REPOSITORY è l'ID del repository. Se hai configurato un repository Artifact Registry predefinito, questo viene utilizzato quando questo flag viene omesso dal comando.
- PROJECT è l'ID progetto. Se questo flag viene omesso, viene utilizzato il progetto predefinito o quello corrente.
- LOCATION è la posizione regionale o multiregionale del repository.
L'output del comando include informazioni sulla policy di versione in
mavenConfig. In questo esempio, il repository ha una policy di versione snapshot e gli snapshot non possono sovrascrivere le versioni identiche nel repository.Encryption: Google-owned and Google-managed encryption key createTime: '2021-10-04T19:39:10.897404Z' format: MAVEN mavenConfig: allowSnapshotOverwrites: false versionPolicy: SNAPSHOTSe un repository non ha un criterio di versione, il valore di
mavenConfigè{}.
Panoramica
Artifact Registry supporta i seguenti metodi di autenticazione.
- Utilizzo di un helper di autenticazione
- Questa opzione offre la massima flessibilità. Quando includi l'helper nella configurazione di Maven o Gradle, Artifact Registry cerca le credenziali del account di servizio nell'ambiente.
- Specificare una account di servizio account come credenziale
- Utilizza questa opzione quando un'applicazione non supporta le credenziali predefinite dell'applicazione, ma supporta l'autenticazione con un nome utente e una password.
Le chiavi del service account sono credenziali di lunga durata. Utilizza le seguenti linee guida per limitare l'accesso ai tuoi repository:
- Valuta la possibilità di utilizzare un account di servizio dedicato per interagire con i repository.
- Concedi il ruolo Artifact Registry minimo richiesto dalaccount di serviziot. Ad esempio, assegna il ruolo Lettore Artifact Registry a un account di servizio che scarica solo gli artefatti.
- Se i gruppi della tua organizzazione richiedono livelli di accesso diversi a repository specifici, concedi l'accesso a livello di repository anziché a livello di progetto.
- Segui le best practice per la gestione delle credenziali.
Autenticazione con un helper delle credenziali
Artifact Registry fornisce un wagon Maven e un plug-in Gradle come assistenti per le credenziali. Quando utilizzi l'helper delle credenziali, queste non vengono memorizzate nel tuo progetto Java. Artifact Registry cerca le credenziali nel seguente ordine:
Credenziali predefinite dell'applicazione (ADC), una strategia che cerca le credenziali nel seguente ordine:
Credenziali definite nella variabile di ambiente
GOOGLE_APPLICATION_CREDENTIALS.Credenziali fornite dall'account di servizio predefinito per Compute Engine, Google Kubernetes Engine, Cloud Run, App Engine o Cloud Run Functions.
Credenziali fornite da Google Cloud CLI, incluse le credenziali utente dal comando
gcloud auth application-default login.
La variabile GOOGLE_APPLICATION_CREDENTIALS rende esplicito l'account per l'autenticazione, il che semplifica la risoluzione dei problemi. Se
non utilizzi la variabile, verifica che tutti gli account che ADC potrebbe utilizzare dispongano delle
autorizzazioni richieste. Ad esempio, il
service account predefinito per le VM Compute Engine, i nodi Google Kubernetes Engine
e le revisioni Cloud Run ha accesso in sola lettura ai repository. Se
intendi eseguire il caricamento da questi ambienti utilizzando ilaccount di serviziot predefinito,
devi modificare le autorizzazioni.
Configurare un account di servizio per un helper delle credenziali
Per creare un account di servizio e configurare l'autenticazione utilizzando la variabile di ambiente:
Crea un service account che agisca per conto della tua applicazione oppure scegli un service account esistente che utilizzi per l'automazione.
Per configurare l'autenticazione con Artifact Registry, devi conoscere la posizione del file delle chiavi del account di servizio. Per gli account esistenti, puoi visualizzare le chiavi e crearne di nuove nella pagina Account di servizio.
Concedi il ruolo Artifact Registry specifico all'account di servizio per fornire l'accesso al repository.
Assegna la posizione del file della chiave del account di servizio alla variabile
GOOGLE_APPLICATION_CREDENTIALSin modo che l'helper delle credenziali di Artifact Registry possa ottenere la chiave quando si connette ai repository.export GOOGLE_APPLICATION_CREDENTIALS=KEY-FILEdove KEY-FILE è il percorso del file di chiave dell'account di servizio.
Configura Maven
Configura Maven per il tipo di repository che utilizzi.
Standard
Esegui questo comando per stampare la configurazione del repository da aggiungere al tuo progetto Java.
gcloud artifacts print-settings mvn \ --project=PROJECT \ --repository=REPOSITORY \ --location=LOCATIONDove
- PROJECT è l'ID progetto. Se questo flag viene omesso, viene utilizzato il progetto predefinito o quello corrente.
- REPOSITORY è l'ID del repository. Se hai configurato un repository predefinito di Artifact Registry, questo viene utilizzato quando questo flag viene omesso dal comando.
- LOCATION è la posizione regionale o multiregionale del repository.
Aggiungi le impostazioni restituite alle sezioni appropriate del file
pom.xmlper il tuo progetto Maven. Per informazioni dettagliate sulla struttura del file, consulta il riferimento POM di Maven.L'esempio seguente mostra le impostazioni per un repository che archivia sia le versioni snapshot sia quelle di release.
<distributionManagement> <snapshotRepository> <id>artifact-registry</id> <url>artifactregistry://LOCATION-maven.pkg.dev/PROJECT/REPOSITORY</url> </snapshotRepository> <repository> <id>artifact-registry</id> <url>artifactregistry://LOCATION-maven.pkg.dev/PROJECT/REPOSITORY</url> </repository> </distributionManagement> <repositories> <repository> <id>artifact-registry</id> <url>artifactregistry://LOCATION-maven.pkg.dev/PROJECT/REPOSITORY</url> <releases> <enabled>true</enabled> </releases> <snapshots> <enabled>true</enabled> </snapshots> </repository> </repositories> <build> <extensions> <extension> <groupId>com.google.cloud.artifactregistry</groupId> <artifactId>artifactregistry-maven-wagon</artifactId> <version>2.2.5</version> </extension> </extensions> </build>Gli elementi
<release>e<snapshot>indicano se il repository archivia pacchetti di release, pacchetti snapshot o entrambi. Queste impostazioni devono corrispondere alle norme relative alle versioni del repository.L'elemento
<build>definisce il wagon Artifact Registry come un'estensione. Per informazioni sul wagon, consulta la documentazione degli strumenti Maven di Artifact Registry.
A distanza o virtuale
Modifica il file
pom.xmlnel progetto. Per informazioni dettagliate sulla struttura del file, consulta il riferimento POM di Maven.L'esempio seguente mostra le impostazioni per un repository remoto che archivia sia le versioni snapshot che quelle di release. In questo esempio, il progetto ha una dipendenza da una versione del pacchetto Guava.
<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>com.google.hello</groupId> <artifactId>repo-config</artifactId> <version>4.1-SNAPSHOT</version> <description>version 1 release</description> <properties> <maven.compiler.source>1.8</maven.compiler.source> <maven.compiler.target>1.8</maven.compiler.target> </properties> <dependencies> <dependency> <groupId>com.google.guava</groupId> <artifactId>guava</artifactId> <version>28.0-jre</version> </dependency> </dependencies> <repositories> <repository> <id>central</id> <name>Maven Central remote repository</name> <url>artifactregistry://LOCATION-maven.pkg.dev/PROJECT_ID/REMOTE-REPOSITORY-NAME</url> <layout>default</layout> <releases> <enabled>true</enabled> </releases> <snapshots> <enabled>true</enabled> </snapshots> </repository> </repositories> <build> <extensions> <extension> <groupId>com.google.cloud.artifactregistry</groupId> <artifactId>artifactregistry-maven-wagon</artifactId> <version>2.2.5</version> </extension> </extensions> </build> </project>La sezione
<repositories>definisce il repository Artifact Registry. Per un repository remoto, l'elemento<id>deve essere impostato sucentral. Questa impostazione sostituisce il valore predefinito per l'centralID repository ereditato dal Super POM.La sezione
<build>imposta il wagon Artifact Registry come estensione. Per informazioni sul wagon, consulta la documentazione degli strumenti Maven di Artifact Registry.In questo esempio, la sezione
<dependencies>imposta una dipendenza dalla versione28.0-jredel pacchetto Guava.
Maven risolve alcune dipendenze prima di applicare un wagon definito in
pom.xml, tra cui:- Riferimenti in un progetto Maven secondario a un progetto principale utilizzando l'elemento
<parent>. - Dipendenze del plug-in archiviate in Artifact Registry.
Se il tuo progetto deve risolvere queste dipendenze, devi utilizzare il meccanismo delle estensioni principali per assicurarti che Maven possa individuare i file POM e i plug-in principali.
Nel tuo progetto, crea il file
${maven.projectBasedir}/.mvn/extensions.xmlcon il seguente contenuto. L'elemento<extension>definisce il vagone.<extensions xmlns="http://maven.apache.org/EXTENSIONS/1.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/EXTENSIONS/1.0.0 http://maven.apache.org/xsd/core-extensions-1.0.0.xsd"> <extension> <groupId>com.google.cloud.artifactregistry</groupId> <artifactId>artifactregistry-maven-wagon</artifactId> <version>2.2.5</version> </extension> </extensions>Ora Maven può risolvere le dipendenze di plug-in o principali da Artifact Registry.
- Riferimenti in un progetto Maven secondario a un progetto principale utilizzando l'elemento
La configurazione dell'autenticazione è stata completata.
Configura Gradle
Configura Gradle per il tipo di repository che utilizzi.
Standard
Esegui questo comando per stampare la configurazione del repository da aggiungere al tuo progetto Java.
gcloud artifacts print-settings gradle \ --project=PROJECT \ --repository=REPOSITORY \ --location=LOCATIONDove
- PROJECT è l'ID progetto. Se questo flag viene omesso, viene utilizzato il progetto predefinito o quello corrente.
- REPOSITORY è l'ID del repository. Se hai configurato un repository predefinito di Artifact Registry, questo viene utilizzato quando questo flag viene omesso dal comando.
- LOCATION è la posizione regionale o multiregionale del repository.
Aggiungi le impostazioni del repository al file
build.gradle. L'esempio seguente mostra la posizione relativa delle sezioni stampate.plugins { id "maven-publish" id "com.google.cloud.artifactregistry.gradle-plugin" version "2.2.5" } publishing { publications { mavenJava(MavenPublication) { groupId 'maven.example.id' from components.java } } repositories { maven { url "artifactregistry://LOCATION-maven.pkg.dev/PROJECT/REPOSITORY" } } } repositories { maven { url "artifactregistry://LOCATION-maven.pkg.dev/PROJECT/REPOSITORY" } }La sezione
pluginsdichiara il plug-in Artifact Registry. Per informazioni sul plug-in, consulta la documentazione degli strumenti Maven di Artifact Registry.La sezione
publishingdefinisce i file da caricare e il repository Artifact Registry di destinazione. Puoi aggiornare l'elenco dei file nella sezionepublicationsquando è tutto pronto per il caricamento. Per informazioni sulle impostazioni di pubblicazione, consulta la documentazione del plug-in Maven Publish.
A distanza o virtuale
Aggiungi le impostazioni del repository al file
build.gradle.L'esempio seguente mostra le impostazioni per un repository remoto. In questo esempio, il progetto ha una dipendenza da una versione del pacchetto Guava.
plugins { id 'java' id "maven-publish" id "com.google.cloud.artifactregistry.gradle-plugin" version "2.2.5" id 'maven' } repositories { maven { url "artifactregistry://LOCATION-maven.pkg.dev /PROJECT_ID/REMOTE-REPOSITORY-NAME" } } dependencies { compile "com.google.guava:guava:31.1-jre" }La sezione
pluginsdichiara il plug-in Artifact Registry. Per informazioni sul plug-in, consulta la documentazione degli strumenti Maven di Artifact Registry.La sezione
repositoriesdefinisce il repository Artifact Registry.In questo esempio, la sezione
dependenciesimposta una dipendenza dalla versione31.1-jredel pacchetto Guava.
Definisci le dipendenze per il pacchetto nella sezione
dependencies.Se devi utilizzare i repository nel file
init.gradleosettings.gradle, puoi aggiungere la configurazione del plug-in a questi file.Per
init.gradle, aggiungi la seguente configurazione:initscript { repositories { maven { url "https://plugins.gradle.org/m2/" } } dependencies { classpath "gradle.plugin.com.google.cloud.artifactregistry:artifactregistry-gradle-plugin:2.2.5" } } apply plugin: com.google.cloud.artifactregistry.gradle.plugin.ArtifactRegistryGradlePluginPer settings.gradle, aggiungi la seguente configurazione:
buildscript { repositories { maven { url "https://plugins.gradle.org/m2/" } } dependencies { classpath "gradle.plugin.com.google.cloud.artifactregistry:artifactregistry-gradle-plugin:2.2.5" } } apply plugin: "com.google.cloud.artifactregistry.gradle-plugin"
La configurazione dell'autenticazione è stata completata.
Configurazione dell'autenticazione tramite password
Utilizza questo approccio quando la tua applicazione Java richiede l'autenticazione con un nome utente e una password specifici.
Configurare un account di servizio per l'autenticazione con password
Per creare un account di servizio:
Crea un service account che agisca per conto della tua applicazione oppure scegli un service account esistente che utilizzi per l'automazione.
Per configurare l'autenticazione con Artifact Registry, devi conoscere la posizione del file delle chiavi del account di servizio. Per gli account esistenti, puoi visualizzare le chiavi e crearne di nuove nella pagina Account di servizio.
Se vuoi attivare il account di servizio nella sessione corrente gcloud CLI, esegui il comando:
gcloud auth activate-service-account ACCOUNT --key-file=KEY-FILEDove
- ACCOUNT è l'utente o il account di servizio.
- KEY-FILE è il percorso del file della chiave JSON dell'account di servizio.
Configura Maven
Configura Maven per il tipo di repository che utilizzi.
Standard
Esegui questo comando per stampare la configurazione del repository da aggiungere al tuo progetto Java.
gcloud artifacts print-settings mvn \ --project=PROJECT \ --repository=REPOSITORY \ --location=LOCATION \ --json-key=KEY-FILEDove
- PROJECT è l'ID progetto. Se questo flag viene omesso, viene utilizzato il progetto predefinito o quello corrente.
- REPOSITORY è l'ID del repository. Se hai configurato un repository Artifact Registry predefinito, questo viene utilizzato quando questo flag viene omesso dal comando.
- LOCATION è la posizione regionale o multiregionale del repository.
- KEY-FILE è il percorso del file della chiave JSON dell'account di servizio.
Il comando restituisce le impostazioni da includere nel progetto Java, inclusa una versione con codifica Base64 della chiave privata.
- Aggiungi le impostazioni del repository restituite nell'elemento
<project>alle sezioni appropriate del filepom.xmlper il tuo progetto Maven. Per informazioni dettagliate sulla struttura del file, consulta il riferimento POM di Maven.
<project> <distributionManagement> <snapshotRepository> <id>artifact-registry</id> <url>https://LOCATION-maven.pkg.dev/PROJECT/REPOSITORY</url> </snapshotRepository> <repository> <id>artifact-registry</id> <url>https://LOCATION-maven.pkg.dev/PROJECT/REPOSITORY</url> </repository> </distributionManagement> <repositories> <repository> <id>artifact-registry</id> <url>https://LOCATION-maven.pkg.dev/PROJECT/REPOSITORY</url> <releases> <enabled>true</enabled> </releases> <snapshots> <enabled>true</enabled> </snapshots> </repository> </repositories> </project>Gli elementi
<release>e<snapshot>indicano se il repository archivia pacchetti di release, pacchetti snapshot o entrambi. Queste impostazioni devono corrispondere alle norme relative alle versioni del repository.- Aggiungi le impostazioni di autenticazione restituite nell'elemento
<settings>alla sezione<servers>del file~/.m2/settings.xml. Nell'esempio seguente,KEYè la chiave con codifica base64 del file di chiave.
Per ulteriori informazioni, consulta la Guida di riferimento alle impostazioni di Maven.
<settings> <servers> <server> <id>artifact-registry</id> <configuration> <httpConfiguration> <get> <usePreemptive>true</usePreemptive> </get> <head> <usePreemptive>true</usePreemptive> </head> <put> <params> <property> <name>http.protocol.expect-continue</name> <value>false</value> </property> </params> </put> </httpConfiguration> </configuration> <username>_json_key_base64</username> <password>KEY</password> </server> </servers> </settings>A distanza o virtuale
Aggiungi le impostazioni del repository alle sezioni appropriate del file
pom.xmlper il tuo progetto Maven. Per informazioni dettagliate sulla struttura del file, consulta il riferimento POM di Maven.<repositories> <repository> <id>central</id> <name>Maven Central remote repository</name> <url>artifactregistry://LOCATION-maven.pkg.dev/PROJECT_ID/REMOTE-REPOSITORY-NAME</url> <layout>default</layout> <releases> <enabled>true</enabled> </releases> <snapshots> <enabled>true</enabled> </snapshots> </repository> </repositories>
La sezione
<repositories>definisce il repository Artifact Registry. Per un repository remoto, l'elemento<id>deve essere impostato sucentral. Questa impostazione sostituisce il valore predefinito per l'centralID repository ereditato dal Super POM.Codifica in base64 il file della chiave con il seguente comando. Sostituisci KEY-FILE con il nome del file della chiave.
base64 -w 0 KEY-FILEAggiungi le impostazioni di autenticazione nell'elemento
<settings>alla sezione<servers>del file~/.m2/settings.xml.
Per ulteriori informazioni, consulta la Guida di riferimento alle impostazioni di Maven.
<settings> <servers> <server> <id>artifact-registry</id> <configuration> <httpConfiguration> <get> <usePreemptive>true</usePreemptive> </get> <head> <usePreemptive>true</usePreemptive> </head> <put> <params> <property> <name>http.protocol.expect-continue</name> <value>false</value> </property> </params> </put> </httpConfiguration> </configuration> <username>_json_key_base64</username> <password>KEY</password> </server> </servers> </settings>- Se utilizzi endpoint HTTP e vuoi utilizzare la connettività nativa di Maven per l'autenticazione, puoi trasmettere un'intestazione di autenticazione utilizzando un'intestazione HTTP personalizzata in
settings.xml.
Esempio:
<settings> <servers> <server> <id>artifact-registry</id> <configuration> <httpHeaders> <property> <name>Authorization </name> <value>Bearer ${artifact.registry.token}</value> </property> </httpHeaders> <httpConfiguration> <get> <usePreemptive>true</usePreemptive> </get> <head> <usePreemptive>true</usePreemptive> </head> <put> <params> <property> <name>http.protocol.expect-continue</name> <value>false</value> </property> </params> </put> </httpConfiguration> </configuration> </server> </servers> </settings>
La configurazione dell'autenticazione è stata completata.
Configura Gradle
Configura Gradle per il tipo di repository che utilizzi.
Standard
Esegui questo comando per stampare la configurazione del repository da aggiungere al tuo progetto Java.
gcloud artifacts print-settings gradle \ --project=PROJECT \ --repository=REPOSITORY \ --location=LOCATION \ --json-key=KEY-FILEDove
- PROJECT è l'ID progetto.
- REPOSITORY è l'ID o l'identificatore completo del repository. Se hai configurato un repository Artifact Registry predefinito, questo viene utilizzato quando questo flag viene omesso dal comando.
- KEY-FILE è il percorso del file della chiave JSON dell'account di servizio. Se hai eseguito il comando per attivare l'account di servizio, puoi omettere questo flag.
Il comando restituisce le impostazioni da includere nel progetto Java, inclusa una versione con codifica Base64 della chiave privata.
La seguente riga della configurazione restituita definisce una variabile denominata
artifactRegistryMavenSecretper la chiave dell'account di servizio. Aggiungi questa riga al file~/.gradle/gradle.propertiesin modo che la chiave non sia visibile nelle build o nel repository di controllo del codice sorgente.artifactRegistryMavenSecret = KEYIn questa riga, KEY è la chiave privata nel file della chiave del service account. Per
_json_key_base64,artifactRegistryMavenSecretè impostato sulla chiave codificata in base64 come password.In
build.gradlespecifica le impostazioni del repository:plugins { id "maven-publish" } publishing { publications { mavenJava(MavenPublication) { groupId 'maven.example.id' from components.java } } repositories { maven { url "https://LOCATION-maven.pkg.dev/PROJECT/REPOSITORY" credentials { username = "_json_key_base64" password = "$artifactRegistryMavenSecret" } authentication { basic(BasicAuthentication) } } } } repositories { maven { url "https://LOCATION-maven.pkg.dev/PROJECT/REPOSITORY" credentials { username = "_json_key_base64" password = "$artifactRegistryMavenSecret" } authentication { basic(BasicAuthentication) } } }- La sezione
repositoriesimposta l'URL e le credenziali del repository per l'autenticazione. - La sezione
publishingdefinisce i file da caricare e il repository Artifact Registry di destinazione. Puoi aggiornare l'elenco dei file nella sezionepublicationsquando è tutto pronto per il caricamento. Per informazioni sulle impostazioni di pubblicazione, consulta la documentazione del plug-in Maven Publish.
- La sezione
A distanza o virtuale
Codifica in base64 il file della chiave con il seguente comando. Sostituisci KEY-FILE con il nome del file della chiave.
base64 -w 0 KEY-FILENel file
~/.gradle/gradle.properties, aggiungi la seguente riga in modo che la chiave non sia visibile nelle build o nel repository di controllo del codice sorgente.artifactRegistryMavenSecret = KEYIn questa riga, KEY è il contenuto del file della chiave codificato in base64.
Aggiungi le impostazioni del repository al file
build.gradle.
L'esempio seguente mostra la configurazione di un repository remoto.
plugins { id 'java' id "maven-publish" id 'maven' } repositories { maven { url "artifactregistry://LOCATION-maven.pkg.dev /PROJECT_ID/REMOTE-REPOSITORY-NAME" credentials { username = "_json_key_base64" password = "$artifactRegistryMavenSecret" } authentication { basic(BasicAuthentication) } dependencies { compile "com.google.guava:guava:31.1-jre" }La sezione
repositoriesdefinisce il repository Artifact Registry.In questo esempio, la sezione
dependenciesimposta una dipendenza dalla versione31.1-jredel pacchetto Guava.
Definisci le dipendenze per il pacchetto nella sezione
dependencies.
La configurazione dell'autenticazione è stata completata.