Configura la autenticación en Artifact Registry para los repositorios de paquetes de Python

En esta página, se describe cómo configurar la autenticación con un repositorio de paquetes de Python de Artifact Registry.

Debes autenticarte en Artifact Registry cuando uses una aplicación de terceros para conectarte a un repositorio.

No necesitas configurar la autenticación para Cloud Build ni los entornos de ejecución de Google Cloud, como Google Kubernetes Engine y Cloud Run, pero debes verificar que los permisos necesarios estén configurados.

Antes de comenzar

  1. Si el repositorio de destino no existe, Crea un nuevo repositorio de paquetes de Python.
  2. Verifica que esté instalado Python 3. Para obtener instrucciones de instalación, consulta el instructivo de Google Cloud para configurar Python.
  3. Verifica que la cuenta de usuario o de servicio que usas tenga las los permisos necesarios para acceder a la en un repositorio de confianza.
  4. Install the Google Cloud CLI, then initialize it by running the following command:

    gcloud init
  5. (Opcional) Configura valores predeterminados para los comandos de gcloud CLI.

Descripción general

Artifact Registry admite los siguientes métodos de autenticación.

Biblioteca de llaveros de Python (recomendado)
Artifact Registry proporciona un backend de llavero de claves para almacenar las credenciales de Conéctate a repositorios de Artifact Registry.
Autenticación con contraseña
Usa esta opción cuando no puedas usar el llavero de claves y necesites una opción que admita autenticación con contraseña básica.

En las instrucciones de esta documentación, se describe cómo configurar pip como el único índice de paquetes que busca paquetes. Recomendamos usar repositorios virtuales para buscar paquetes en tus paquetes privados en Artifact Registry y paquetes públicos de PyPI en lugar de configuración y varios índices de paquetes en el archivo de configuración de pip. La herramienta pip no busca índices de paquetes en ningún orden en particular, por lo que tus consumidores podrían descargar o instalar por error un paquete público con el mismo nombre que uno de tus paquetes privados. Los repositorios virtuales te permiten configurar prioridades para las fuentes upstream para mitigar este riesgo de confusión de dependencias.

Cómo autenticar con el llavero

El llavero de claves de Python proporciona a las aplicaciones una forma de acceder a backends de llaveros de claves, lo que significa sistemas operativos y almacenes de credenciales externos.

Artifact Registry proporciona la keyrings.google-artifactregistry-auth backend de llavero de claves para controlar la autenticación Repositorios de Artifact Registry

Orden de búsqueda de credenciales

Cuando usas el backend del llavero de claves de Artifact Registry, no están almacenados en tu proyecto de Python. En cambio, Artifact Registry busca las credenciales en el siguiente orden:

  1. Las credenciales predeterminadas de la aplicación (ADC), que es una estrategia que busca credenciales en el siguiente orden:

    1. Credenciales definidas en la variable de entorno GOOGLE_APPLICATION_CREDENTIALS

    2. Credenciales que la cuenta de servicio predeterminada para Compute Engine, Funciones de Google Kubernetes Engine, Cloud Run, App Engine o Cloud Run proporciona.

  2. Credenciales que proporciona Google Cloud CLI, incluidas las credenciales de usuario de el comando gcloud auth application-default login

La variable GOOGLE_APPLICATION_CREDENTIALS hace que la cuenta para la autenticación sea explícita, lo que facilita la solución de problemas. Si no usas la variable, verifica que las cuentas que pueda usar ADC tengan los permisos necesarios. Por ejemplo, el cuenta de servicio predeterminada para VMs de Compute Engine, nodos de Google Kubernetes Engine, y las revisiones de Cloud Run tienen acceso de solo lectura a los repositorios. Si quieres subir desde estos entornos con la cuenta de servicio predeterminada, debes modificar los permisos.

Cómo configurar el llavero

Para configurar la autenticación con el backend del llavero de claves de Artifact Registry, haz lo siguiente:

  1. Instala la biblioteca de llaveros de claves.

    pip install keyring
    
  2. Instala el backend de Artifact Registry.

    pip install keyrings.google-artifactregistry-auth
    
  3. Genera una lista de backends para confirmar la instalación.

    keyring --list-backends
    

    La lista debe incluir lo siguiente:

    • ChainerBackend(priority:10)
    • GooglePythonAuth(priority: 9)
  4. Ejecuta el siguiente comando para imprimir la configuración del repositorio en agregar a tu proyecto de Python.

    gcloud artifacts print-settings python --project=PROJECT \
        --repository=REPOSITORY \
        --location=LOCATION
    

    Reemplaza los siguientes valores:

    • PROJECT es el ID del proyecto. Si se omite esta marca, se usa el proyecto predeterminado o actual.
    • REPOSITORY es el ID del repositorio. Si configuraste un repositorio predeterminado de Artifact Registry, se usa cuando se omite esta marca del comando.
    • LOCATION es la ubicación regional o multirregional del repositorio.
  5. Agrega la siguiente configuración al archivo .pypirc. La ubicación predeterminada es la siguiente:

    • Linux y macOS: $HOME/.pypirc
    • Windows: %USERPROFILE%\.pypirc
    [distutils]
    index-servers =
        PYTHON-REPO-ID
    
    [PYTHON-REPO-ID]
    repository = https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/
    

    Reemplaza los siguientes valores:

    • PYTHON-REPO-ID es un ID del repositorio al que puedes hacer referencia con herramientas como Twine.
    • PROJECT es el ID del proyecto. Si se omite esta marca, se usa el proyecto predeterminado o actual.
    • REPOSITORY es el ID del repositorio. Si configuraste un repositorio predeterminado de Artifact Registry, se usa cuando se omite esta marca del comando.
    • LOCATION es la ubicación regional o multirregional del repositorio.
  6. Agrega tu repositorio al archivo de configuración de pip. La ubicación del archivo dependerá de si quieres actualizar el archivo por usuario o el archivo a un entorno virtual que estás usando.

    Para el archivo asociado con el usuario de tu sistema operativo, haz lo siguiente:

    • Unix: $HOME/.config/pip/pip.conf o $HOME/.pip/pip.conf
    • macOS: /Library/Application Support/pip/pip.conf o $HOME/.config/pip/pip.conf
    • Windows: %APPDATA%\pip\pip.ini o %USERPROFILE%\pip\pip.ini

    Para entornos virtuales:

    • Unix y macOS: $VIRTUAL_ENV/pip.conf
    • Windows: %VIRTUAL_ENV%\pip.ini

    Para configurar pip para que solo busque en tu repositorio, usa la configuración index-url y asegúrate de que no haya otros índices de paquetes configurados con la configuración extra-index-url.

    [global]
    index-url = https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/simple/
    

    La cadena /simple/ al final de la ruta de acceso del repositorio indica que el repositorio implementa la API de Python Simple Repository.

Tu entorno de Python ahora está configurado para autenticarse con Artifact Registry.

Autenticación del llavero de claves con credenciales de usuario

Después de configurar el llavero de claves, puedes usarlo con tus credenciales de usuario en gcloud CLI. Accede a Google Cloud CLI antes de conectarte a un repositorio de paquetes de Python.

Ejecuta el siguiente comando:

gcloud auth login

Autenticación del llavero con credenciales de cuenta de servicio

Después de configurar el llavero de claves, puedes configurar un servicio para la autenticación.

  1. Crea una cuenta de servicio o elige una cuenta de servicio existente que uses para la automatización.
  2. Otorga el rol específico de Artifact Registry a la cuenta de servicio para brindar acceso al repositorio.
  3. Usa una de las siguientes opciones para autenticarte con tu cuenta de servicio:

    • Credenciales predeterminadas de la aplicación (recomendado)

      Asigna la ubicación del archivo de claves de la cuenta de servicio a la variable GOOGLE_APPLICATION_CREDENTIALS para que el auxiliar de credenciales de Artifact Registry pueda obtener tu clave cuando se conecta con repositorios.

      export GOOGLE_APPLICATION_CREDENTIALS=KEY-FILE
      
    • Credenciales de la CLI de gcloud

      Antes de conectarte a un repositorio, accede con la cuenta de servicio. Evita esta opción si te conectas a repositorios desde VMs de Compute Engine, ya que Artifact Registry encuentra las credenciales de la cuenta de servicio de la VM antes que las credenciales de gcloud CLI.

      gcloud auth activate-service-account --key-file=KEY-FILE
      

    Reemplaza KEY-FILE por la ruta de acceso al archivo de claves de la cuenta de servicio.

Autentica con una clave de cuenta de servicio

Usa este enfoque cuando necesites autenticación con un nombre de usuario y una contraseña.

Las claves de la cuenta de servicio son credenciales de larga duración. Usa los siguientes lineamientos para limitar el acceso a tus repositorios:

  • Considera usar una cuenta de servicio dedicada para interactuar con los repositorios.
  • Otorga la función mínima de Artifact Registry que requiera la cuenta de servicio. Por ejemplo, asigna la función de lector de Artifact Registry a una cuenta de servicio que solo descargue artefactos.
  • Si los grupos de tu organización requieren diferentes niveles de acceso a repositorios específicos, otorga acceso a nivel de repositorio en lugar de a nivel de proyecto.
  • Sigue las prácticas recomendadas para administrar credenciales.

Para configurar la autenticación, sigue estos pasos:

  1. Crea una cuenta de servicio que actúe en nombre de tu aplicación o elige una cuenta de servicio existente que uses para la automatización.

    Necesitarás la ubicación del archivo de claves de la cuenta de servicio para configurar la autenticación con Artifact Registry. En las cuentas existentes, puedes ver claves y crear claves nuevas en la página Cuentas de servicio.

    Ir a la página Cuentas de servicio

  2. Otorga el rol adecuado de Artifact Registry a la cuenta de servicio para proporcionar acceso al repositorio.

  3. Ejecuta el siguiente comando para imprimir la configuración del repositorio que deseas agregar a tu proyecto de Python.

    gcloud artifacts print-settings python --project=PROJECT \
        --repository=REPOSITORY \
        --location=LOCATION \
        --json-key=KEY-FILE
    

    Reemplaza los siguientes valores:

    • PROJECT es el ID del proyecto. Si se omite esta marca, se usa el proyecto predeterminado o actual.
    • REPOSITORY es el ID del repositorio. Si configuraste un repositorio predeterminado de Artifact Registry, se usa cuando se omite esta marca del comando.
    • LOCATION es la ubicación regional o multirregional del repositorio.
    • KEY-FILE es la ruta al archivo de claves JSON de la cuenta de servicio.
  4. Agrega la siguiente configuración al archivo .pypirc. La ubicación predeterminada del archivo de configuración de pip por usuario es la siguiente:

    • Linux y macOS: $HOME/.pypirc
    • Windows: %USERPROFILE%\.pypirc
    [distutils]
    index-servers =
        PYTHON-REPO-ID
    
    [PYTHON-REPO-ID]
    repository = https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/
    username: _json_key_base64
    password: KEY
    

    Reemplaza los siguientes valores:

    • PYTHON-REPO-ID es un ID del repositorio al que puedes hacer referencia con herramientas como Twine.
    • PROJECT es el ID del proyecto. Si se omite esta marca, se usa el proyecto predeterminado o actual.
    • REPOSITORY es el ID del repositorio. Si configuraste un repositorio predeterminado de Artifact Registry, se usa cuando se omite esta marca del comando.
    • LOCATION es la ubicación regional o multirregional del repositorio.
    • KEY es la clave codificada en base64 en el archivo de claves de tu cuenta de servicio.
  5. Agregar tu repositorio al archivo de configuración de pip La ubicación del archivo de configuración de pip depende de si deseas actualizar el archivo por usuario o el archivo específico de un entorno virtual que estés usando.

    Para el archivo asociado con el usuario de tu sistema operativo, haz lo siguiente:

    • Unix: $HOME/.config/pip/pip.conf o $HOME/.pip/pip.conf
    • macOS: /Library/Application Support/pip/pip.conf o $HOME/.config/pip/pip.conf
    • Windows: %APPDATA%\pip\pip.ini o %USERPROFILE%\pip\pip.ini

    Para entornos virtuales:

    • Unix y macOS: $VIRTUAL_ENV/pip.conf
    • Windows: %VIRTUAL_ENV%\pip.ini

    Agrega la siguiente línea al archivo de configuración de pip:

    [global]
    index-url = https://_json_key_base64:KEY@LOCATION-python.pkg.dev/PROJECT/REPOSITORY/simple/
    
    • KEY es la clave privada en el archivo de claves de tu cuenta de servicio.
    • La cadena /simple/ al final de la ruta de acceso del repositorio indica que el repositorio implementa la API de Python Simple Repository.

¿Qué sigue?