Questo documento descrive come configurare l'autenticazione nei repository upstream Maven Central per i repository remoti di Artifact Registry.
Questo documento presuppone che tu abbia già creato un repository remoto Maven di Artifact Registry e un account Maven Central.
Per ulteriori informazioni sui repository remoti, consulta Panoramica dei repository remoti.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per configurare l'autenticazione a Maven Central per i repository remoti, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:
-
Amministratore di Artifact Registry (
roles/artifactregistry.admin
) -
Amministratore Secret Manager (
roles/secretmanager.admin
)
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Creare un token di accesso personale di Maven Central
- Accedi a Maven Central.
Crea un token di accesso.
Utilizza il codice utente per il token di accesso personale come nome utente quando aggiungi le tue credenziali ad Artifact Registry. Per ulteriori informazioni gestire i token utente in Maven Central, consulta Configurazione di sicurezza con token utente.
Salva il tuo token di accesso personale in una versione del secret
- Crea un secret in Secret Manager.
- Salva il token di accesso personale di Maven Central come versione secret.
Concedi all'account di servizio Artifact Registry l'accesso al tuo secret
L'agente di servizio Artifact Registry agisce per conto di Artifact Registry durante l'interazione con i servizi Google Cloud. Consentire all'agente di servizio di utilizzare i secret archiviati in Secret Manager, devi concedere l'autorizzazione all'agente di servizio per visualizzare la versione del secret.
L'identificatore dell'agente di servizio è:
service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com
PROJECT-NUMBER è il numero di progetto del progetto Google Cloud in cui è in esecuzione Artifact Registry.
Per concedere all'agente di servizio Artifact Registry il ruolo Funzione di accesso ai secret di Secret Manager:
Console
-
Vai alla pagina Secret Manager nella console Google Cloud.
-
Nella pagina Secret Manager, fai clic sulla casella di controllo accanto al nome del secret.
-
Se non è già aperto, fai clic su Mostra riquadro informazioni per aprirlo.
-
Nel riquadro delle informazioni, fai clic su Aggiungi entità.
-
Nell'area di testo Nuove entità, inserisci gli indirizzi email dei membri da aggiungere.
-
Nel menu a discesa Seleziona un ruolo, scegli Secret Manager e poi Accesso ai segreti di Secret Manager.
gcloud
$ gcloud secrets add-iam-policy-binding secret-id \
--member="member" \
--role="roles/secretmanager.secretAccessor"
dove member è un membro IAM, ad esempio un utente, un gruppo o un account di servizio.
C#
Per autenticarti ad Artifact Registry, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
Go
Per autenticarti ad Artifact Registry, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Java
Per eseguire l'autenticazione in Artifact Registry, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Node.js
Per autenticarti in Artifact Registry, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
PHP
Per eseguire l'autenticazione in Artifact Registry, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per eseguire l'autenticazione in Artifact Registry, configura Credenziali predefinite dell'applicazione. Per ulteriori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Ruby
Per autenticarti ad Artifact Registry, configura le credenziali predefinite dell'applicazione. Per ulteriori informazioni, vedi Configura l'autenticazione per un ambiente di sviluppo locale.
API
Nota: a differenza degli altri esempi, questo sostituisce l'intero criterio IAM.
$ curl "https://secretmanager.googleapis.com/v1/projects/project-id/secrets/secret-id:setIamPolicy" \
--request "POST" \
--header "authorization: Bearer $(gcloud auth print-access-token)" \
--header "content-type: application/json" \
--data "{\"policy\": {\"bindings\": [{\"members\": [\"member\"], \"role\": \"roles/secretmanager.secretAccessor\"}]}}"
Per maggiori informazioni sulla concessione o sulla revoca dell'accesso ai secret, consulta Gestire l'accesso ai secret.
Aggiungi le credenziali di Maven Central al tuo repository remoto
Per aggiornare il repository remoto con le credenziali di Maven Central:
Console
Apri la pagina Repositori nella console Google Cloud.
Nell'elenco dei repository, seleziona il repository e fai clic su Modifica repository.
Nella sezione Modalità di autenticazione del repository remoto, aggiorna o aggiungi il codice utente Maven Central associato al tuo token di accesso personale come nome utente e la versione segreta contenente il token di accesso Maven Central.
Interfaccia a riga di comando gcloud
Per aggiornare il repository remoto con le tue credenziali Maven Central, esegui il seguente comando:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT_ID \
--location=LOCATION \
--remote-username=USER_CODE \
--remote-password-secret-version=projects/SECRET_PROJECT_ID/secrets/SECRET_ID/versions/SECRET_VERSION
Sostituisci quanto segue:
REPOSITORY
con il nome del tuo telecomando Artifact Registry repository Git.PROJECT_ID
con il tuo ID progetto Google Cloud.LOCATION
con una o più regioni location del repository. Puoi ometti questo flag se imposti un valore default. Per visualizzare un elenco delle località supportate, esegui il comandogcloud artifacts locations list
.USER_CODE
il codice utente associato al tuo Maven Token di accesso centrale. Per ulteriori informazioni sulla gestione dei token utente in Maven Central, consulta Configurazione della sicurezza con i token degli utenti.SECRET_PROJECT_ID
con l'ID del progetto in cui hai creato il segreto.SECRET_ID
con il nome che hai fornito al tuo segreto.SECRET_VERSION
con la versione del secret in cui hai salvato il token di accesso Maven Central.
Le credenziali vengono utilizzate la volta successiva che il repository remoto invia una richiesta per un elemento dall'origine a monte.