Cette page explique comment configurer l'authentification avec un dépôt de packages Python Artifact Registry.
Vous devez vous authentifier auprès d'Artifact Registry lorsque vous utilisez une application tierce pour vous connecter à un dépôt.
Vous n'avez pas besoin de configurer l'authentification pour les environnements d'exécution Cloud Build ou Google Cloud tels que Google Kubernetes Engine et Cloud Run. Vous devez toutefois vérifier que les autorisations requises sont configurées.
Avant de commencer
- Si le dépôt cible n'existe pas, créez un dépôt de packages Python.
- Vérifiez que Python 3 est installé. Pour obtenir des instructions d'installation, consultez le tutoriel Google Cloud pour la configuration de Python.
- Vérifiez que le compte utilisateur ou le compte de service que vous utilisez dispose des autorisations requises pour accéder au dépôt.
-
Installez Google Cloud CLI, puis initialisez-la en exécutant la commande suivante :
gcloud init
- (Facultatif) Configurez des valeurs par défaut pour les commandes gcloud.
Présentation
Artifact Registry est compatible avec les méthodes d'authentification suivantes.
- Bibliothèque de trousseaux Python (recommandé)
- Artifact Registry fournit un backend de trousseau de clés permettant de stocker les identifiants de connexion aux dépôts Artifact Registry.
- Authentification par mot de passe
- Utilisez cette option lorsque vous ne pouvez pas utiliser le trousseau et que vous avez besoin d'une option compatible avec l'authentification de base des mots de passe.
Les instructions de cette documentation décrivent la configuration de pip comme seul index de packages que pip recherche. Au lieu de configurer plusieurs index de package dans le fichier de configuration pip, nous vous recommandons d'utiliser des dépôts virtuels pour rechercher les packages de vos packages privés dans Artifact Registry et publics à partir de PyPI. L'outil pip ne recherche pas les index de packages dans un ordre particulier. Par conséquent, vos clients peuvent télécharger ou installer par erreur un package public portant le même nom que l'un de vos packages privés. Les dépôts virtuels vous permettent de configurer les priorités des sources en amont afin d'atténuer ce risque de confusion des dépendances.
S'authentifier avec un trousseau
La bibliothèque keyring de Python permet aux applications d'accéder aux backends de trousseau, c'est-à-dire au système d'exploitation et aux magasins d'identifiants tiers.
Artifact Registry fournit le backend de trousseaux keyrings.google-artifactregistry-auth pour gérer l'authentification avec les dépôts Artifact Registry.
Ordre de recherche des identifiants
Lorsque vous utilisez le backend de trousseau Artifact Registry, vos identifiants ne sont pas stockés dans votre projet Python. À la place, Artifact Registry recherche les identifiants dans l'ordre suivant:
Identifiants par défaut de l'application (ADC), stratégie qui recherche les identifiants dans l'ordre suivant :
Identifiants définis dans la variable d'environnement
GOOGLE_APPLICATION_CREDENTIALS.Identifiants fournis par le compte de service par défaut pour Compute Engine, Google Kubernetes Engine, Cloud Run, App Engine ou Cloud Functions.
Identifiants fournis par Google Cloud CLI, y compris les identifiants utilisateur de la commande
gcloud auth application-default login.
La variable GOOGLE_APPLICATION_CREDENTIALS rend le compte pour l'authentification explicite, ce qui facilite le dépannage. Si vous n'utilisez pas la variable, vérifiez que tous les comptes qu'ADC peut utiliser disposent des autorisations requises. Par exemple, le compte de service par défaut pour les VM Compute Engine, les nœuds Google Kubernetes Engine et les révisions Cloud Run dispose d'un accès en lecture seule aux dépôts. Si vous souhaitez importer des données depuis ces environnements à l'aide du compte de service par défaut, vous devez modifier les autorisations.
Configuration du trousseau de clés
Pour configurer l'authentification avec le backend de trousseau Artifact Registry:
Installez la bibliothèque de trousseaux.
pip install keyringInstaller le backend Artifact Registry
pip install keyrings.google-artifactregistry-authRépertoriez les backends pour confirmer l'installation.
keyring --list-backendsLa liste doit inclure
ChainerBackend(priority:10)GooglePythonAuth(priority: 9)
Exécutez la commande suivante pour afficher la configuration du dépôt à ajouter à votre projet Python.
gcloud artifacts print-settings python --project=PROJECT \ --repository=REPOSITORY \ --location=LOCATIONRemplacez les valeurs suivantes :
- PROJECT est l'ID de projet. Si cette option est ignorée, le projet en cours ou par défaut est utilisé.
- REPOSITORY est l'ID du dépôt. Si vous avez configuré un dépôt Artifact Registry par défaut, il est utilisé lorsque cette option est omise dans la commande.
- LOCATION est l'emplacement régional ou multirégional du dépôt.
Ajoutez les paramètres suivants au fichier
.pypirc. L'emplacement par défaut est:- Linux et macOS:
$HOME/.pypirc - Windows :
%USERPROFILE%\.pypirc
[distutils] index-servers = PYTHON-REPO-ID [PYTHON-REPO-ID] repository: https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/Remplacez les valeurs suivantes :
- PYTHON-REPO-ID est un ID du dépôt auquel vous pouvez faire référence avec des outils tels que Twine.
- PROJECT est l'ID de projet. Si cette option est ignorée, le projet en cours ou par défaut est utilisé.
- REPOSITORY est l'ID du dépôt. Si vous avez configuré un dépôt Artifact Registry par défaut, il est utilisé lorsque cette option est omise dans la commande.
- LOCATION est l'emplacement régional ou multirégional du dépôt.
- Linux et macOS:
Ajoutez votre dépôt au fichier de configuration pip. L'emplacement du fichier varie selon que vous souhaitez mettre à jour le fichier par utilisateur ou le fichier spécifique à un environnement virtuel que vous utilisez.
Pour le fichier associé à l'utilisateur de votre système d'exploitation:
- Unix:
$HOME/.config/pip/pip.confou$HOME/.pip/pip.conf - macOS:
/Library/Application Support/pip/pip.confou$HOME/.config/pip/pip.conf - Windows:
%APPDATA%\pip\pip.iniou%USERPROFILE%\pip\pip.ini
Pour les environnements virtuels:
- Unix et macOS:
$VIRTUAL_ENV/pip.conf - Windows :
%VIRTUAL_ENV%\pip.ini
Pour configurer pip de sorte qu'il ne recherche que votre dépôt, utilisez le paramètre
index-urlet assurez-vous qu'aucun autre index de package n'est configuré avec le paramètreextra-index-url.[global] index-url = https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/simple/La chaîne
/simple/à la fin du chemin du dépôt indique que le dépôt implémente l'API Python Simple Repository.- Unix:
Votre environnement Python est maintenant configuré pour s'authentifier auprès d'Artifact Registry.
Authentification par trousseau avec identifiants utilisateur
Une fois que vous avez configuré le trousseau, vous pouvez l'utiliser avec vos identifiants utilisateur dans gcloud. Connectez-vous à Google Cloud CLI avant de vous connecter à un dépôt de packages Python.
Exécutez la commande suivante :
gcloud auth login
Authentification par trousseau avec des identifiants de compte de service
Après avoir configuré un trousseau, vous pouvez configurer un compte de service pour l'authentification.
- Créez un compte de service ou choisissez-en un que vous utilisez pour l'automatisation.
- Attribuez le rôle Artifact Registry approprié au compte de service pour accorder l'accès au dépôt.
Utilisez l'une des options suivantes pour vous authentifier avec votre compte de service:
Identifiants par défaut de l'application (recommandé)
Attribuez l'emplacement du fichier de clé du compte de service à la variable
GOOGLE_APPLICATION_CREDENTIALSafin que l'assistant d'identification Artifact Registry puisse obtenir votre clé lors de la connexion aux dépôts.export GOOGLE_APPLICATION_CREDENTIALS=KEY-FILEIdentifiants gcloud
Avant de vous connecter à un dépôt, connectez-vous en tant que compte de service. Évitez cette option si vous vous connectez à des dépôts à partir de VM Compute Engine, car Artifact Registry trouve les identifiants du compte de service de la VM avant les identifiants dans gcloud.
gcloud auth activate-service-account --key-file=KEY-FILE
Remplacez KEY-FILE par le chemin d'accès au fichier de clé du compte de service.
S'authentifier à l'aide d'une clé de compte de service
Utilisez cette approche lorsque vous avez besoin d'une authentification avec un nom d'utilisateur et un mot de passe.
Les clés de compte de service sont des identifiants de longue durée. Suivez les instructions ci-dessous pour limiter l'accès à vos dépôts :
- Envisagez d'utiliser un compte de service dédié pour interagir avec les dépôts.
- Attribuez le rôle Artifact Registry minimal requis par le compte de service. Par exemple, attribuez le lecteur Artifact Registry à un compte de service qui télécharge les artefacts uniquement.
- Si les groupes de votre organisation nécessitent différents niveaux d'accès à des dépôts spécifiques, accordez l'accès au niveau du dépôt plutôt qu'au niveau du projet.
- Suivez les bonnes pratiques de gestion des identifiants.
Pour configurer l'authentification :
Créez un compte de service pour agir au nom de votre application ou sélectionnez un compte de service existant que vous utilisez pour l'automatisation.
Vous aurez besoin de l'emplacement du fichier de clé de compte de service pour configurer l'authentification avec Artifact Registry. Pour les comptes existants, vous pouvez afficher les clés et en créer sur la page "Comptes de service".
Attribuez le rôle Artifact Registry approprié au compte de service pour accorder l'accès au dépôt.
Exécutez la commande suivante pour afficher la configuration du dépôt à ajouter à votre projet Python.
gcloud artifacts print-settings python --project=PROJECT \ --repository=REPOSITORY \ --location=LOCATION \ --json-key=KEY-FILERemplacez les valeurs suivantes :
- PROJECT est l'ID de projet. Si cette option est ignorée, le projet en cours ou par défaut est utilisé.
- REPOSITORY est l'ID du dépôt. Si vous avez configuré un dépôt Artifact Registry par défaut, il est utilisé lorsque cette option est omise dans la commande.
- LOCATION est l'emplacement régional ou multirégional du dépôt.
- KEY-FILE est le chemin d'accès au fichier de clé JSON du compte de service.
Ajoutez les paramètres suivants au fichier
.pypirc. L'emplacement par défaut du fichier de configuration pip par utilisateur est le suivant:- Linux et macOS:
$HOME/.pypirc - Windows :
%USERPROFILE%\.pypirc
[distutils] index-servers = PYTHON-REPO-ID [PYTHON-REPO-ID] repository: https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/ username: _json_key_base64 password: KEYRemplacez les valeurs suivantes :
- PYTHON-REPO-ID est un ID du dépôt auquel vous pouvez faire référence avec des outils tels que Twine.
- PROJECT est l'ID de projet. Si cette option est ignorée, le projet en cours ou par défaut est utilisé.
- REPOSITORY est l'ID du dépôt. Si vous avez configuré un dépôt Artifact Registry par défaut, il est utilisé lorsque cette option est omise dans la commande.
- LOCATION est l'emplacement régional ou multirégional du dépôt.
- KEY est la clé encodée en base64 dans le fichier de clé de votre compte de service.
- Linux et macOS:
Ajoutez votre dépôt au fichier de configuration pip. L'emplacement du fichier de configuration pip dépend de si vous souhaitez mettre à jour le fichier par utilisateur ou le fichier spécifique à un environnement virtuel que vous utilisez.
Pour le fichier associé à l'utilisateur de votre système d'exploitation:
- Unix:
$HOME/.config/pip/pip.confou$HOME/.pip/pip.conf - macOS:
/Library/Application Support/pip/pip.confou$HOME/.config/pip/pip.conf - Windows:
%APPDATA%\pip\pip.iniou%USERPROFILE%\pip\pip.ini
Pour les environnements virtuels:
- Unix et macOS:
$VIRTUAL_ENV/pip.conf - Windows :
%VIRTUAL_ENV%\pip.ini
Ajoutez la ligne suivante au fichier de configuration pip:
[global] index-url = https://_json_key_base64:KEY@LOCATION-python.pkg.dev/PROJECT/REPOSITORY/simple/- KEY la clé privée dans le fichier de clé de votre compte de service.
- La chaîne
/simple/à la fin du chemin du dépôt indique que le dépôt implémente l'API Python Simple Repository.
- Unix:
Étapes suivantes
- Configurer l'accès aux dépôts
- En savoir plus sur la gestion des dépôts
- En savoir plus sur la gestion des packages