Configura la autenticación en repositorios de paquetes de Python

En esta página, se describe cómo configurar la autenticación con un repositorio de paquetes de Artifact Registry para Python.

Debes autenticarte en Artifact Registry cuando uses una aplicación de terceros para conectarte a un repositorio.

No es necesario que configures la autenticación para los entornos de ejecución de Cloud Build o Google Cloud, como Google Kubernetes Engine y Cloud Run, pero debes verificar que estén configurados los permisos necesarios. ,

Antes de comenzar

  1. Si el repositorio de destino no existe, crea un repositorio de paquetes de Python nuevo.
  2. Verifica que Python 3 esté instalado. Para obtener instrucciones de instalación, consulta el instructivo de configuración de Python de Google Cloud.
  3. Verifica que la cuenta de usuario o de servicio que usas tenga los permisos necesarios para acceder al repositorio.
  4. Instala e inicializa el SDK de Cloud.
  5. (Opcional) Configura valores predeterminados para los comandos de gcloud.

Descripción general

Artifact Registry admite los siguientes métodos de autenticación.

Biblioteca de llaveros de claves de Python (recomendado)
Artifact Registry proporciona un backend de llavero de claves a fin de almacenar las credenciales para conectarse a los repositorios de Artifact Registry.
Autenticación de contraseñas
Usa esta opción cuando no puedas usar el llavero de claves y necesites una opción que admita la autenticación básica por contraseña.

Autentica con llavero de claves

La biblioteca de llaveros de claves de Python proporciona a las aplicaciones una forma de acceder a los backends de llavero de claves, es decir, el sistema operativo y los almacenes de credenciales de terceros.

Artifact Registry proporciona el backend de llaveros de claves keyrings.google-artifactregistry-auth a fin de controlar la autenticación con repositorios de Artifact Registry.

Orden de búsqueda de credenciales

Cuando usas el backend del llavero de claves de Artifact Registry, las credenciales no se almacenan en el proyecto de Python. En su lugar, Artifact Registry busca las credenciales en el siguiente orden:

  1. Las credenciales predeterminadas de la aplicación (ADC), que es una estrategia que busca credenciales en el siguiente orden:

    1. Credenciales definidas en la variable de entorno GOOGLE_APPLICATION_CREDENTIALS

    2. Credenciales que proporciona la cuenta de servicio predeterminada para Compute Engine, Google Kubernetes Engine, Cloud Run, App Engine o Cloud Functions

  2. Credenciales que proporciona el SDK de Cloud, incluidas las credenciales de usuario del comando gcloud auth application-default login

La variable GOOGLE_APPLICATION_CREDENTIALS hace que la autenticación sea explícita, lo que facilita la solución de problemas. Si no usas la variable, verifica que todas las cuentas que ADC pueda usar tengan los permisos necesarios. Por ejemplo, la cuenta de servicio predeterminada para las VM de Compute Engine, los nodos de Google Kubernetes Engine y las revisiones de Cloud Run tiene acceso de solo lectura a los repositorios. Si planeas subir desde estos entornos con la cuenta de servicio predeterminada, debes modificar los permisos.

Configura el llavero de claves

Para configurar la autenticación con el backend del llavero de claves de Artifact Registry, haz lo siguiente:

  1. Instala la biblioteca de llaveros de claves.

    pip install keyring
    
  2. Instala el backend de Artifact Registry.

    pip install keyrings.google-artifactregistry-auth
    
  3. Enumera backends para confirmar la instalación.

    keyring --list-backends
    

    La lista debe incluir lo siguiente:

    • ChainerBackend(priority:10)
    • GooglePythonAuth(priority: 9)
  4. Ejecuta el siguiente comando para imprimir la configuración del repositorio que se agregará a tu proyecto de Python.

    gcloud artifacts print-settings python [--project=PROJECT] \
        [--repository=REPOSITORY] \
        [--location=LOCATION]
    

    Reemplaza los siguientes valores:

    • PROJECT es el ID del proyecto. Si se omite esta marca, se usa el proyecto predeterminado o actual.
    • REPOSITORY es el ID del repositorio. Si configuraste un repositorio predeterminado de Artifact Registry, se usa cuando se omite esta marca del comando.
    • LOCATION es la ubicación regional o multirregional del repositorio.
  5. Agrega la siguiente configuración al archivo .pypirc. La ubicación predeterminada es la siguiente:

    • Linux y MacOS: $HOME/.pypirc
    • Windows: %USERPROFILE%\.pypirc
    [distutils]
    index-servers =
        PYTHON-REPO-ID
    
    [PYTHON-REPO-ID]
    repository: https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/
    

    Reemplaza los siguientes valores:

    • PYTHON-REPO-ID es un ID para el repositorio al que puedes hacer referencia con herramientas como Twine.
    • PROJECT es el ID del proyecto. Si se omite esta marca, se usa el proyecto predeterminado o actual.
    • REPOSITORY es el ID del repositorio. Si configuraste un repositorio predeterminado de Artifact Registry, se usa cuando se omite esta marca del comando.
    • LOCATION es la ubicación regional o multirregional del repositorio.
  6. Agregue su repositorio al archivo de configuración pip. La ubicación del archivo depende de si deseas actualizar el archivo por usuario o el archivo específico de un entorno virtual que usas.

    Para el archivo asociado con el usuario de tu sistema operativo, haz lo siguiente:

    • Unix: $HOME/.config/pip/pip.conf o $HOME/.pip/pip.conf
    • macOS: /Library/Application Support/pip/pip.conf o $HOME/.config/pip/pip.conf
    • Windows: %APPDATA%\pip\pip.ini o %USERPROFILE%\pip\pip.ini

    Para entornos virtuales, aplica lo siguiente:

    • Unix y macOS: $VIRTUAL_ENV/pip.conf
    • Windows: %VIRTUAL_ENV%\pip.ini

    No hay un orden de búsqueda específico, por lo que herramientas como pip y Twine podrían buscar pypi.org primero o al final. Te recomendamos que uses nombres únicos para los paquetes privados que almacenas en tu repositorio de Artifact Registry.

    [global]
    extra-index-url = https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/simple/
    

    La string /simple/ al final de la ruta del repositorio indica que el repositorio implementa la API de repositorio simple de Python.

El entorno de Python ahora está configurado para autenticarse con Artifact Registry.

Autenticación de llavero de claves con credenciales de usuario

Después de configurar el llavero de claves, puedes usarlo con tus credenciales de usuario en gcloud. Accede al SDK de Cloud antes de conectarte a un repositorio de paquetes de Python.

Ejecuta el siguiente comando:

gcloud auth login

Autenticación de llavero de claves con credenciales de cuenta de servicio

Después de configurar el llavero de claves, puedes configurar una cuenta de servicio para la autenticación.

  1. Crea una cuenta de servicio o elige una cuenta existente que uses para la automatización.
  2. Otorga la función adecuada de Artifact Registry a la cuenta de servicio para proporcionar acceso al repositorio.
  3. Usa una de las siguientes opciones para autenticarte con tu cuenta de servicio:

    • Credenciales predeterminadas de la aplicación (opción recomendada)

      Asigna la ubicación del archivo de claves de la cuenta de servicio a la variable GOOGLE_APPLICATION_CREDENTIALS para que el auxiliar de credenciales de Artifact Registry pueda obtener tu clave cuando se conecta con repositorios.

      export GOOGLE_APPLICATION_CREDENTIALS=KEY-FILE
      
    • credenciales de gcloud

      Antes de conectarte a un repositorio, accede como la cuenta de servicio. Evita esta opción si te conectas a los repositorios desde las VM de Compute Engine, ya que Artifact Registry encuentra las credenciales de la cuenta de servicio de la VM antes que las credenciales en gcloud.

      gcloud auth activate-service-account --key-file=KEY-FILE
      

    Reemplaza KEY-FILE por la ruta al archivo de claves de la cuenta de servicio.

Autentica con una clave de cuenta de servicio

Usa este enfoque cuando necesites autenticación con un nombre de usuario y una contraseña.

Las claves de la cuenta de servicio son credenciales de larga duración. Usa los siguientes lineamientos para limitar el acceso a tus repositorios:

  • Considera usar una cuenta de servicio dedicada para interactuar con los repositorios.
  • Otorga la función mínima de Artifact Registry que requiera la cuenta de servicio. Por ejemplo, asigna la función de lector de Artifact Registry a una cuenta de servicio que solo descargue artefactos.
  • Si los grupos de tu organización requieren diferentes niveles de acceso a repositorios específicos, otorga acceso a nivel de repositorio en lugar de a nivel de proyecto.
  • Sigue las prácticas recomendadas para administrar credenciales.

Para configurar la autenticación, sigue estos pasos:

  1. Crea una cuenta de servicio que actúe en nombre de tu aplicación o elige una cuenta de servicio existente que uses para la automatización.

    Necesitarás la ubicación del archivo de claves de la cuenta de servicio para configurar la autenticación con Artifact Registry. En las cuentas existentes, puedes ver claves y crear claves nuevas en la página Cuentas de servicio.

    Ir a la página Cuentas de servicio

  2. Otorga la función adecuada de Artifact Registry a la cuenta de servicio para proporcionar acceso al repositorio.

  3. Ejecuta el siguiente comando para imprimir la configuración del repositorio que se agregará a tu proyecto de Python.

    gcloud artifacts print-settings python [--project=PROJECT] \
        [--repository=REPOSITORY] \
        [--location=LOCATION] --json-key=KEY-FILE
    

    Reemplaza los siguientes valores:

    • PROJECT es el ID del proyecto. Si se omite esta marca, se usa el proyecto predeterminado o actual.
    • REPOSITORY es el ID del repositorio. Si configuraste un repositorio predeterminado de Artifact Registry, se usa cuando se omite esta marca del comando.
    • LOCATION es la ubicación regional o multirregional del repositorio.
    • KEY-FILE es la ruta al archivo de claves JSON de la cuenta de servicio.
  4. Agrega la siguiente configuración al archivo .pypirc. La ubicación predeterminada es para el archivo de configuración de pip por usuario:

    • Linux y MacOS: $HOME/.pypirc
    • Windows: %USERPROFILE%\.pypirc
    [distutils]
    index-servers =
        PYTHON-REPO-ID
    
    [PYTHON-REPO-ID]
    repository: https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/
    username: _json_key_base64
    password: KEY
    

    Reemplaza los siguientes valores:

    • PYTHON-REPO-ID es un ID para el repositorio al que puedes hacer referencia con herramientas como Twine.
    • PROJECT es el ID del proyecto. Si se omite esta marca, se usa el proyecto predeterminado o actual.
    • REPOSITORY es el ID del repositorio. Si configuraste un repositorio predeterminado de Artifact Registry, se usa cuando se omite esta marca del comando.
    • LOCATION es la ubicación regional o multirregional del repositorio.
    • KEY es la clave codificada en base64 en el archivo de claves de tu cuenta de servicio.
  5. Agregue su repositorio al archivo de configuración pip. La ubicación del archivo depende de si deseas actualizar el archivo por usuario o el archivo específico de un entorno virtual que usas.

    Para el archivo asociado con el usuario de tu sistema operativo, haz lo siguiente:

    • Unix: $HOME/.config/pip/pip.conf o $HOME/.pip/pip.conf
    • macOS: /Library/Application Support/pip/pip.conf o $HOME/.config/pip/pip.conf
    • Windows: %APPDATA%\pip\pip.ini o %USERPROFILE%\pip\pip.ini

    Para entornos virtuales, aplica lo siguiente:

    • Unix y macOS: $VIRTUAL_ENV/pip.conf
    • Windows: %VIRTUAL_ENV%\pip.ini

    No hay un orden de búsqueda específico, por lo que herramientas como pip y Twine podrían buscar pypi.org primero o al final. Te recomendamos que uses nombres únicos para los paquetes privados que almacenas en tu repositorio de Artifact Registry.

    [global]
    extra-index-url = https://_json_key_base64:KEY@LOCATION-python.pkg.dev/PROJECT/REPOSITORY/simple/
    
    • KEY es la clave privada en el archivo de claves de tu cuenta de servicio.
    • La string /simple/ al final de la ruta del repositorio indica que el repositorio implementa la API de repositorio simple de Python.

¿Qué sigue?