Esta página descreve como configurar a autenticação com um repositório de pacotes Python do Artifact Registry.
É necessário se autenticar no Artifact Registry ao usar um aplicativo de terceiros para se conectar a um repositório.
Não é necessário configurar a autenticação para o Cloud Build ou Google Cloud ambientes de execução, como o Google Kubernetes Engine e o Cloud Run, mas é necessário verificar se as permissões necessárias estão configuradas.
Antes de começar
- Se o repositório de destino não existir, crie um novo repositório de pacotes Python.
- Verifique se o Python 3 está instalado. Para instruções de instalação, consulte o Google Cloud tutorial para configurar o Python.
- Verifique se a conta de usuário ou de serviço que você está usando tem as permissões necessárias para acessar o repositório.
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init - (Opcional) Configure padrões para comandos da CLI gcloud.
Visão geral
O Artifact Registry é compatível com os seguintes métodos de autenticação.
- Biblioteca de chaveiro do Python (recomendado)
- O Artifact Registry oferece um back-end de chaveiro para armazenar as credenciais de conexão aos repositórios do Artifact Registry.
- Autenticação por senha
- Use essa opção quando não for possível usar o chaveiro e você precisar de uma opção compatível com a autenticação básica de senha.
As instruções nesta documentação descrevem como configurar o pip como o único índice de pacotes que ele pesquisa. Recomendamos o uso de repositórios virtuais para pesquisar pacotes nos pacotes particulares no Artifact Registry e pacotes públicos do PyPI em vez de configurar vários índices de pacotes no arquivo de configuração do pip. A ferramenta pip não procura índices de pacotes em nenhuma ordem específica. Por isso, os consumidores podem fazer o download ou instalar por engano um pacote público com o mesmo nome de um dos seus pacotes particulares. Os repositórios virtuais permitem configurar prioridades para fontes upstream para reduzir o risco de confusão de dependência.
Autenticação com chaveiro
A biblioteca keyring do Python oferece aos aplicativos uma maneira de acessar back-ends de keyring, ou seja, armazenamentos de credenciais do sistema operacional e de terceiros.
O Artifact Registry fornece o back-end de chaves keyrings.google-artifactregistry-auth para processar a autenticação com os repositórios do Artifact Registry.
Ordem de pesquisa de credenciais
Quando você usa o back-end de chaveiro do Artifact Registry, suas credenciais não são armazenadas no projeto Python. Em vez disso, o Artifact Registry busca credenciais na seguinte ordem:
Application Default Credentials (ADC), uma estratégia que procura credenciais na seguinte ordem:
Credenciais definidas na variável de ambiente
GOOGLE_APPLICATION_CREDENTIALS.Credenciais que a conta de serviço padrão do Compute Engine, do Google Kubernetes Engine, do Cloud Run, do App Engine ou do Cloud Functions fornece.
Credenciais fornecidas pela Google Cloud CLI, incluindo credenciais de usuário do comando
gcloud auth application-default login.
A variável GOOGLE_APPLICATION_CREDENTIALS torna a conta para
autenticação explícita, o que facilita a solução de problemas. Se
você não usar a variável, verifique se todas as contas que o ADC pode usar têm
as permissões necessárias. Por exemplo, a
conta de serviço padrão para VMs do Compute Engine, nós do Google Kubernetes Engine
e revisões do Cloud Run tem acesso somente leitura aos repositórios. Se você
pretende fazer o upload desses ambientes usando a conta de serviço padrão,
modifique as permissões.
Configurar o gerenciador de chaves
Para configurar a autenticação com o back-end de chaveiro do Artifact Registry:
Instale a biblioteca de chaveiro.
pip install keyringInstale o back-end do Artifact Registry.
pip install keyrings.google-artifactregistry-authListe os back-ends para confirmar a instalação.
keyring --list-backendsA lista precisa incluir
ChainerBackend(priority:10)GooglePythonAuth(priority: 9)
Execute o comando a seguir para imprimir a configuração do repositório para adicioná-la ao projeto Python.
gcloud artifacts print-settings python --project=PROJECT \ --repository=REPOSITORY \ --location=LOCATIONSubstitua os seguintes valores:
- PROJECT é o ID do projeto. Se essa sinalização for omitida, o projeto padrão ou atual é usado.
- REPOSITORY é o ID do repositório. Se você tiver configurado um repositório do Artifact Registry padrão, ele será usado quando essa sinalização for omitida no comando.
- LOCATION é o local regional ou multirregional do repositório.
Adicione as seguintes configurações ao arquivo
.pypirc. O local padrão é:- Linux e macOS:
$HOME/.pypirc - Windows:
%USERPROFILE%\.pypirc
[distutils] index-servers = PYTHON-REPO-ID [PYTHON-REPO-ID] repository = https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/Substitua os seguintes valores:
- PYTHON-REPO-ID é um ID do repositório que pode ser referenciado com ferramentas como o Twine.
- PROJECT é o ID do projeto. Se essa sinalização for omitida, o projeto padrão ou atual é usado.
- REPOSITORY é o ID do repositório. Se você tiver configurado um repositório do Artifact Registry padrão, ele será usado quando essa sinalização for omitida no comando.
- LOCATION é o local regional ou multirregional do repositório.
- Linux e macOS:
Adicione seu repositório ao arquivo de configuração do pip. O local do arquivo depende se você quer atualizar o arquivo por usuário ou o arquivo específico de um ambiente virtual que você está usando.
Para o arquivo associado ao usuário do sistema operacional:
- Unix:
$HOME/.config/pip/pip.confou$HOME/.pip/pip.conf - macOS:
/Library/Application Support/pip/pip.confou$HOME/.config/pip/pip.conf - Windows:
%APPDATA%\pip\pip.iniou%USERPROFILE%\pip\pip.ini
Para ambientes virtuais:
- Unix e macOS:
$VIRTUAL_ENV/pip.conf - Windows:
%VIRTUAL_ENV%\pip.ini
Para configurar o pip para pesquisar apenas seu repositório, use a configuração
index-urle verifique se não há outros índices de pacotes configurados com a configuraçãoextra-index-url.[global] index-url = https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/simple/A string
/simple/no final do caminho do repositório indica que o repositório implementa a API Python Simple Repository.- Unix:
Agora, seu ambiente Python está configurado para autenticar com o Artifact Registry.
Autenticação de chaveiro com credenciais do usuário
Depois de configurar o chaveiro, você poderá usá-lo com suas credenciais de usuário na CLI gcloud. Faça login na Google Cloud CLI antes de se conectar a um repositório de pacotes do Python.
Execute este comando:
gcloud auth login
Autenticação de chaveiro com credenciais da conta de serviço
Depois de configurar o chaveiro, você poderá configurar uma conta de serviço para autenticação.
- Crie uma conta de serviço ou escolha uma conta de serviço atual que você usa para automação.
- Conceda a função do Artifact Registry específica à conta de serviço para fornecer acesso ao repositório.
Use uma das opções a seguir para fazer a autenticação com sua conta de serviço:
Application Default Credentials (recomendado)
Atribua o local do arquivo de chave da conta de serviço à variável
GOOGLE_APPLICATION_CREDENTIALSpara que o auxiliar de credenciais do Artifact Registry possa conseguir sua chave ao se conectar com os repositórios.export GOOGLE_APPLICATION_CREDENTIALS=KEY-FILECredenciais da CLI gcloud
Antes de se conectar a um repositório, faça login como a conta de serviço. Evite essa opção se você estiver se conectando a repositórios de VMs do Compute Engine, já que o Artifact Registry encontra as credenciais da conta de serviço da VM antes das credenciais na CLI gcloud.
gcloud auth activate-service-account --key-file=KEY-FILE
Substitua KEY-FILE pelo caminho para o arquivo de chave da conta de serviço.
Como autenticar com uma chave de conta de serviço
Use essa abordagem quando você precisar de autenticação com um nome de usuário e uma senha.
As chaves da conta de serviço são credenciais de longa duração. Use as seguintes diretrizes para limitar o acesso aos seus repositórios:
- Considere usar uma conta de serviço dedicada para interagir com repositórios.
- Conceda o papel mínimo do Artifact Registry exigido pela conta de serviço. Por exemplo, atribua o leitor do Artifact Registry a uma conta de serviço que faz o download apenas de artefatos.
- Se os grupos na sua organização exigirem níveis diferentes de acesso a repositórios específicos, conceda acesso no nível do repositório em vez de no nível do projeto.
- Siga as práticas recomendadas para gerenciar as credenciais.
Para configurar a autenticação:
Crie uma conta de serviço para agir em nome do seu aplicativo ou escolha uma conta de serviço atual que você usa para automação.
Você precisará do local do arquivo de chave da conta de serviço para configurar a autenticação com o Artifact Registry. Para contas existentes, é possível ver as chaves e criar novas chaves na página "Contas de serviço".
Conceda o papel apropriado do Artifact Registry à conta de serviço para fornecer acesso ao repositório.
Execute o comando a seguir para imprimir a configuração do repositório para adicioná-la ao projeto Python.
gcloud artifacts print-settings python --project=PROJECT \ --repository=REPOSITORY \ --location=LOCATION \ --json-key=KEY-FILESubstitua os seguintes valores:
- PROJECT é o ID do projeto. Se essa sinalização for omitida, o projeto padrão ou atual é usado.
- REPOSITORY é o ID do repositório. Se você tiver configurado um repositório do Artifact Registry padrão, ele será usado quando essa sinalização for omitida no comando.
- LOCATION é o local regional ou multirregional do repositório.
- KEY-FILE é o caminho para o arquivo de chaves JSON da conta de serviço.
Adicione as seguintes configurações ao arquivo
.pypirc. O local padrão para o arquivo de configuração do pip por usuário é:- Linux e macOS:
$HOME/.pypirc - Windows:
%USERPROFILE%\.pypirc
[distutils] index-servers = PYTHON-REPO-ID [PYTHON-REPO-ID] repository = https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/ username: _json_key_base64 password: KEYSubstitua os seguintes valores:
- PYTHON-REPO-ID é um ID do repositório que pode ser referenciado com ferramentas como o Twine.
- PROJECT é o ID do projeto. Se essa sinalização for omitida, o projeto padrão ou atual é usado.
- REPOSITORY é o ID do repositório. Se você tiver configurado um repositório do Artifact Registry padrão, ele será usado quando essa sinalização for omitida no comando.
- LOCATION é o local regional ou multirregional do repositório.
- KEY é a chave codificada em base64 no arquivo de chave da conta de serviço.
- Linux e macOS:
Adicione seu repositório ao arquivo de configuração do pip. O local do arquivo de configuração do pip depende se você quer atualizar o arquivo por usuário ou o arquivo específico para um ambiente virtual que você está usando.
Para o arquivo associado ao usuário do sistema operacional:
- Unix:
$HOME/.config/pip/pip.confou$HOME/.pip/pip.conf - macOS:
/Library/Application Support/pip/pip.confou$HOME/.config/pip/pip.conf - Windows:
%APPDATA%\pip\pip.iniou%USERPROFILE%\pip\pip.ini
Para ambientes virtuais:
- Unix e macOS:
$VIRTUAL_ENV/pip.conf - Windows:
%VIRTUAL_ENV%\pip.ini
Adicione a linha a seguir ao arquivo de configuração do pip:
[global] index-url = https://_json_key_base64:KEY@LOCATION-python.pkg.dev/PROJECT/REPOSITORY/simple/- KEY a chave privada no arquivo de chave da conta de serviço.
- A string
/simple/no final do caminho do repositório indica que o repositório implementa a API Python Simple Repository.
- Unix:
A seguir
- Configure o acesso aos repositórios
- Saiba mais sobre como gerenciar repositórios
- Saiba mais sobre como gerenciar pacotes