Cette page a été traduite par l'API Cloud Translation.

Configurer l'authentification auprès d'Artifact Registry pour les dépôts de paquets Python

Cette page explique comment configurer l'authentification avec un dépôt de packages Python Artifact Registry.

Vous devez vous authentifier auprès d'Artifact Registry lorsque vous utilisez une application tierce pour vous connecter à un dépôt.

Vous n'avez pas besoin de configurer l'authentification pour Cloud Build ni pour les environnements d'exécution Google Cloudtels que Google Kubernetes Engine et Cloud Run, mais vous devez vérifier que les autorisations requises sont configurées.

Avant de commencer

Si le dépôt cible n'existe pas, créez un dépôt de packages Python.
Vérifiez que Python 3 est installé. Pour obtenir des instructions d'installation, consultez leGoogle Cloud tutoriel de configuration de Python.
Vérifiez que le compte utilisateur ou le compte de service que vous utilisez dispose des autorisations requises pour accéder au dépôt.
Installez Google Cloud CLI. Après l'installation, initialisez Google Cloud CLI en exécutant la commande suivante :
```
gcloud init
```
Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.

Remarque : Si vous avez déjà installé gcloud CLI, assurez-vous de disposer de la dernière version en exécutant gcloud components update.
(Facultatif) Configurez des valeurs par défaut pour les commandes gcloud CLI.

Présentation

Artifact Registry est compatible avec les méthodes d'authentification suivantes.

Bibliothèque Python Keyring (recommandée): Artifact Registry fournit un backend de trousseau de clés pour stocker les identifiants de connexion aux dépôts Artifact Registry.
Authentification par mot de passe: Utilisez cette option lorsque vous ne pouvez pas utiliser le trousseau de clés et que vous avez besoin d'une option compatible avec l'authentification par mot de passe de base.

Les instructions de cette documentation décrivent la configuration de pip comme seul index de packages que pip recherche pour les packages. Nous vous recommandons d'utiliser des dépôts virtuels pour rechercher des packages dans vos packages privés dans Artifact Registry et des packages publics depuis PyPI au lieu de configurer plusieurs index de packages dans le fichier de configuration pip. L'outil pip ne recherche pas les index de packages dans un ordre particulier. Vos utilisateurs peuvent donc télécharger ou installer par erreur un package public portant le même nom que l'un de vos packages privés. Les dépôts virtuels vous permettent de configurer des priorités pour les sources en amont afin d'atténuer ce risque de confusion des dépendances.

S'authentifier avec keyring

La bibliothèque Python keyring permet aux applications d'accéder aux backends keyring, c'est-à-dire aux magasins d'identifiants du système d'exploitation et tiers.

Artifact Registry fournit le backend de trousseaux de clés keyrings.google-artifactregistry-auth pour gérer l'authentification avec les dépôts Artifact Registry.

Ordre de recherche des identifiants

Lorsque vous utilisez le backend du trousseau de clés Artifact Registry, vos identifiants ne sont pas stockés dans votre projet Python. À la place, Artifact Registry recherche les identifiants dans l'ordre suivant :

Identifiants par défaut de l'application (ADC), stratégie qui recherche les identifiants dans l'ordre suivant :
1. Identifiants définis dans la variable d'environnement GOOGLE_APPLICATION_CREDENTIALS.
2. Identifiants fournis par le compte de service par défaut pour Compute Engine, Google Kubernetes Engine, Cloud Run, App Engine ou les fonctions Cloud Run.
Identifiants fournis par Google Cloud CLI, y compris les identifiants utilisateur de la commande gcloud auth application-default login.

La variable GOOGLE_APPLICATION_CREDENTIALS rend le compte d'authentification explicite, ce qui facilite le dépannage. Si vous n'utilisez pas la variable, vérifiez que tous les comptes que l'ADC peut utiliser disposent des autorisations requises. Par exemple, le compte de service par défaut pour les VM Compute Engine, les nœuds Google Kubernetes Engine et les révisions Cloud Run dispose d'un accès en lecture seule aux dépôts. Si vous prévoyez d'importer des données à partir de ces environnements à l'aide du compte de service par défaut, vous devez modifier les autorisations.

Configurer le trousseau de clés

Pour configurer l'authentification avec le backend du trousseau Artifact Registry :

Installez la bibliothèque keyring.
```
pip install keyring
```

Installez le backend Artifact Registry.

pip install keyrings.google-artifactregistry-auth

Listez les backends pour confirmer l'installation.
```
keyring --list-backends
```
La liste doit inclure
- ChainerBackend(priority:10)
- GooglePythonAuth(priority: 9)
Exécutez la commande suivante pour imprimer la configuration de dépôt à ajouter à votre projet Python.
```
gcloud artifacts print-settings python --project=PROJECT \
    --repository=REPOSITORY \
    --location=LOCATION
```
Remplacez les valeurs suivantes :
- PROJECT est l'ID de projet. Si cette option est ignorée, le projet en cours ou par défaut est utilisé.
- REPOSITORY est l'ID du dépôt. Si vous avez configuré un dépôt Artifact Registry par défaut, il est utilisé lorsque cette option est omise dans la commande.
- LOCATION est l'emplacement régional ou multirégional du dépôt.
Ajoutez les paramètres suivants au fichier .pypirc. L'emplacement par défaut est le suivant :
- Linux et macOS : $HOME/.pypirc
- Windows : %USERPROFILE%\.pypirc
```
[distutils]
index-servers =
    PYTHON-REPO-ID

[PYTHON-REPO-ID]
repository = https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/
```
Remplacez les valeurs suivantes :
- PYTHON-REPO-ID est un ID pour le dépôt que vous pouvez référencer avec des outils tels que Twine.
- PROJECT est l'ID de projet. Si cette option est ignorée, le projet en cours ou par défaut est utilisé.
- REPOSITORY est l'ID du dépôt. Si vous avez configuré un dépôt Artifact Registry par défaut, il est utilisé lorsque cette option est omise dans la commande.
- LOCATION est l'emplacement régional ou multirégional du dépôt.
Ajoutez votre dépôt au fichier de configuration pip. L'emplacement du fichier dépend de si vous souhaitez mettre à jour le fichier par utilisateur ou le fichier spécifique à un environnement virtuel que vous utilisez.

Pour le fichier associé à l'utilisateur de votre système d'exploitation :
- Unix : $HOME/.config/pip/pip.conf ou $HOME/.pip/pip.conf
- macOS : /Library/Application Support/pip/pip.conf ou $HOME/.config/pip/pip.conf
- Windows : %APPDATA%\pip\pip.ini ou %USERPROFILE%\pip\pip.ini
Pour les environnements virtuels :
- Unix et macOS : $VIRTUAL_ENV/pip.conf
- Windows : %VIRTUAL_ENV%\pip.ini
Pour configurer pip afin qu'il ne recherche que dans votre dépôt, utilisez le paramètre index-url et assurez-vous qu'aucun autre index de package n'est configuré avec le paramètre extra-index-url.
```
[global]
index-url = https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/simple/
```
La chaîne /simple/ à la fin du chemin d'accès au dépôt indique que le dépôt implémente l'API Python Simple Repository.

Votre environnement Python est maintenant configuré pour s'authentifier avec Artifact Registry.

Authentification du trousseau de clés avec les identifiants utilisateur

Une fois que vous avez configuré keyring, vous pouvez l'utiliser avec vos identifiants utilisateur dans gcloud CLI. Connectez-vous à Google Cloud CLI avant de vous connecter à un dépôt de packages Python.

Exécutez la commande suivante :

gcloud auth login

Authentification Keyring avec les identifiants d'un compte de service

Une fois que vous avez configuré le trousseau de clés, vous pouvez configurer un compte de service pour l'authentification.

Créez un compte de service ou sélectionnez un compte de service existant que vous utilisez pour l'automatisation.
Accordez le rôle Artifact Registry spécifique au compte de service afin de fournir l'accès au dépôt.
Utilisez l'une des options suivantes pour vous authentifier avec votre compte de service :
- Identifiants par défaut de l'application (recommandé)
  
  Attribuez l'emplacement du fichier de clé du compte de service à la variable GOOGLE_APPLICATION_CREDENTIALS afin que l'assistant d'identification Artifact Registry puisse obtenir votre clé lors de la connexion aux dépôts.
```
export GOOGLE_APPLICATION_CREDENTIALS=KEY-FILE
```
- Identifiants gcloud CLI
  
  Avant de vous connecter à un dépôt, connectez-vous en tant que compte de service. Évitez cette option si vous vous connectez à des dépôts à partir de VM Compute Engine, car Artifact Registry trouve les identifiants du compte de service de la VM avant ceux de gcloud CLI.
```
gcloud auth activate-service-account --key-file=KEY-FILE
```
Remplacez KEY-FILE par le chemin d'accès au fichier de clé du compte de service.

S'authentifier à l'aide d'une clé de compte de service

Utilisez cette approche lorsque vous avez besoin d'une authentification avec un nom d'utilisateur et un mot de passe.

Les clés de compte de service sont des identifiants de longue durée. Suivez les instructions ci-dessous pour limiter l'accès à vos dépôts :

Envisagez d'utiliser un compte de service dédié pour interagir avec les dépôts.
Attribuez le rôle Artifact Registry minimal requis par le compte de service. Par exemple, attribuez le lecteur Artifact Registry à un compte de service qui télécharge les artefacts uniquement.
Si les groupes de votre organisation nécessitent différents niveaux d'accès à des dépôts spécifiques, accordez l'accès au niveau du dépôt plutôt qu'au niveau du projet.
Suivez les bonnes pratiques de gestion des identifiants.

Pour configurer l'authentification :

Créez un compte de service pour agir au nom de votre application ou sélectionnez un compte de service existant que vous utilisez pour l'automatisation.

Vous aurez besoin de l'emplacement du fichier de clé de compte de service pour configurer l'authentification avec Artifact Registry. Pour les comptes existants, vous pouvez afficher les clés et en créer sur la page "Comptes de service".

Accéder à la page "Comptes de service"

Remarque : Les clés de compte de service constituent un risque pour la sécurité si elles ne sont pas gérées correctement. Dans la mesure du possible, vous devez choisir une alternative plus sécurisée aux clés de compte de service. Si vous devez vous authentifier avec une clé de compte de service, vous êtes responsable de la sécurité de la clé privée et des autres opérations décrites dans la section Bonnes pratiques pour la gestion des clés de compte de service. Si vous ne parvenez pas à créer une clé de compte de service, il est possible que la création de clé de compte de service soit désactivée pour votre organisation. Pour en savoir plus, consultez la page Gérer les ressources d'organisation sécurisées par défaut.
Si vous avez obtenu la clé de compte de service auprès d'une source externe, vous devez la valider avant de l'utiliser. Pour en savoir plus, consultez Exigences de sécurité pour les identifiants provenant de sources externes.
Accordez le rôle Artifact Registry approprié au compte de service afin de fournir l'accès au dépôt.
Exécutez la commande suivante pour imprimer la configuration de dépôt à ajouter à votre projet Python.
```
gcloud artifacts print-settings python --project=PROJECT \
    --repository=REPOSITORY \
    --location=LOCATION \
    --json-key=KEY-FILE
```
Remplacez les valeurs suivantes :
- PROJECT est l'ID de projet. Si cette option est ignorée, le projet en cours ou par défaut est utilisé.
- REPOSITORY est l'ID du dépôt. Si vous avez configuré un dépôt Artifact Registry par défaut, il est utilisé lorsque cette option est omise dans la commande.
- LOCATION est l'emplacement régional ou multirégional du dépôt.
- KEY-FILE est le chemin d'accès au fichier de clé JSON du compte de service.
Ajoutez les paramètres suivants au fichier .pypirc. L'emplacement par défaut du fichier de configuration pip par utilisateur est le suivant :
- Linux et macOS : $HOME/.pypirc
- Windows : %USERPROFILE%\.pypirc
```
[distutils]
index-servers =
    PYTHON-REPO-ID

[PYTHON-REPO-ID]
repository = https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/
username: _json_key_base64
password: KEY
```
Remplacez les valeurs suivantes :
- PYTHON-REPO-ID est un ID pour le dépôt que vous pouvez référencer avec des outils tels que Twine.
- PROJECT est l'ID de projet. Si cette option est ignorée, le projet en cours ou par défaut est utilisé.
- REPOSITORY est l'ID du dépôt. Si vous avez configuré un dépôt Artifact Registry par défaut, il est utilisé lorsque cette option est omise dans la commande.
- LOCATION est l'emplacement régional ou multirégional du dépôt.
- KEY est la clé encodée en base64 dans le fichier de clé de votre compte de service.
Ajoutez votre dépôt au fichier de configuration pip. L'emplacement du fichier de configuration pip dépend de l'emplacement du fichier que vous souhaitez mettre à jour : le fichier par utilisateur ou le fichier spécifique à un environnement virtuel que vous utilisez.

Pour le fichier associé à l'utilisateur de votre système d'exploitation :
- Unix : $HOME/.config/pip/pip.conf ou $HOME/.pip/pip.conf
- macOS : /Library/Application Support/pip/pip.conf ou $HOME/.config/pip/pip.conf
- Windows : %APPDATA%\pip\pip.ini ou %USERPROFILE%\pip\pip.ini
Pour les environnements virtuels :
- Unix et macOS : $VIRTUAL_ENV/pip.conf
- Windows : %VIRTUAL_ENV%\pip.ini
Ajoutez la ligne suivante au fichier de configuration pip :
```
[global]
index-url = https://_json_key_base64:KEY@LOCATION-python.pkg.dev/PROJECT/REPOSITORY/simple/
```
- KEY : clé privée dans le fichier de clé de votre compte de service.
- La chaîne /simple/ à la fin du chemin d'accès au dépôt indique que le dépôt implémente l'API Python Simple Repository.