Questa pagina descrive come configurare l'autenticazione con un repository di pacchetti Python di Artifact Registry.
Devi autenticarti in Artifact Registry quando utilizzi un'applicazione di terze parti per connetterti a un repository.
Non è necessario configurare l'autenticazione per Cloud Build o Google Cloud ambienti di runtime come Google Kubernetes Engine e Cloud Run, ma devi verificare che siano configurate le autorizzazioni richieste.
Prima di iniziare
- Se il repository di destinazione non esiste, crea un nuovo repository di pacchetti Python.
- Verifica che Python 3 sia installato. Per le istruzioni di installazione, consulta ilGoogle Cloud tutorial per la configurazione di Python.
- Verifica che l'account utente o il account di servizio che utilizzi disponga delle autorizzazioni richieste per accedere al repository.
-
Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il seguente comando:
gcloud init
Se utilizzi un provider di identità (IdP) esterno, devi prima accedere alla gcloud CLI con la tua identità federata.
- (Facoltativo) Configura le impostazioni predefinite per i comandi gcloud CLI.
Panoramica
Artifact Registry supporta i seguenti metodi di autenticazione.
- Libreria Python Keyring (consigliata)
- Artifact Registry fornisce un backend del portachiavi per archiviare le credenziali per la connessione ai repository Artifact Registry.
- Autenticazione con password
- Utilizza questa opzione quando non puoi utilizzare il portachiavi e hai bisogno di un'opzione che supporti l'autenticazione di base con password.
Le istruzioni riportate in questa documentazione descrivono la configurazione di pip come unico indice dei pacchetti in cui pip cerca i pacchetti. Ti consigliamo di utilizzare i repository virtuali per cercare pacchetti nei tuoi pacchetti privati in Artifact Registry e nei pacchetti pubblici di PyPI anziché configurare più indici di pacchetti nel file di configurazione pip. Lo strumento pip non cerca gli indici dei pacchetti in un ordine particolare, quindi i tuoi consumatori potrebbero scaricare o installare per errore un pacchetto pubblico con lo stesso nome di uno dei tuoi pacchetti privati. I repository virtuali ti consentono di configurare le priorità per le origini upstream per mitigare questo rischio di confusione delle dipendenze.
Autenticazione con keyring
La libreria Python keyring fornisce alle applicazioni un modo per accedere ai backend keyring, ovvero ai negozi di credenziali del sistema operativo e di terze parti.
Artifact Registry fornisce il backend del keyring keyrings.google-artifactregistry-auth per gestire l'autenticazione con i repository Artifact Registry.
Ordine di ricerca delle credenziali
Quando utilizzi il backend del keyring di Artifact Registry, le credenziali non vengono archiviate nel tuo progetto Python. Artifact Registry cerca invece le credenziali nel seguente ordine:
Credenziali predefinite dell'applicazione (ADC), una strategia che cerca le credenziali nel seguente ordine:
Credenziali definite nella variabile di ambiente
GOOGLE_APPLICATION_CREDENTIALS
.Credenziali fornite dall'account di servizio predefinito per Compute Engine, Google Kubernetes Engine, Cloud Run, App Engine o Cloud Run Functions.
Credenziali fornite da Google Cloud CLI, incluse le credenziali utente dal comando
gcloud auth application-default login
.
La variabile GOOGLE_APPLICATION_CREDENTIALS
rende esplicito l'account per l'autenticazione, il che semplifica la risoluzione dei problemi. Se
non utilizzi la variabile, verifica che tutti gli account che ADC potrebbe utilizzare dispongano delle
autorizzazioni richieste. Ad esempio, il
service account predefinito per le VM Compute Engine, i nodi Google Kubernetes Engine
e le revisioni di Cloud Run ha accesso in sola lettura ai repository. Se
intendi eseguire il caricamento da questi ambienti utilizzando ilaccount di serviziot predefinito,
devi modificare le autorizzazioni.
Configurazione del portachiavi
Per configurare l'autenticazione con il backend del keyring di Artifact Registry:
Installa la libreria keyring.
pip install keyring
Installa il backend di Artifact Registry.
pip install keyrings.google-artifactregistry-auth
Elenca i backend per confermare l'installazione.
keyring --list-backends
L'elenco deve includere
ChainerBackend(priority:10)
GooglePythonAuth(priority: 9)
Esegui il comando seguente per stampare la configurazione del repository da aggiungere al progetto Python.
gcloud artifacts print-settings python --project=PROJECT \ --repository=REPOSITORY \ --location=LOCATION
Sostituisci i seguenti valori:
- PROJECT è l'ID progetto. Se questo flag viene omesso, viene utilizzato il progetto predefinito o quello corrente.
- REPOSITORY è l'ID del repository. Se hai configurato un repository Artifact Registry predefinito, questo viene utilizzato quando questo flag viene omesso dal comando.
- LOCATION è la posizione regionale o multiregionale del repository.
Aggiungi le seguenti impostazioni al file
.pypirc
. La posizione predefinita è:- Linux e macOS:
$HOME/.pypirc
- Windows:
%USERPROFILE%\.pypirc
[distutils] index-servers = PYTHON-REPO-ID [PYTHON-REPO-ID] repository = https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/
Sostituisci i seguenti valori:
- PYTHON-REPO-ID è un ID per il repository a cui puoi fare riferimento con strumenti come Twine.
- PROJECT è l'ID progetto. Se questo flag viene omesso, viene utilizzato il progetto predefinito o quello corrente.
- REPOSITORY è l'ID del repository. Se hai configurato un repository Artifact Registry predefinito, questo viene utilizzato quando questo flag viene omesso dal comando.
- LOCATION è la posizione regionale o multiregionale del repository.
- Linux e macOS:
Aggiungi il repository al file di configurazione pip. La posizione del file dipende dal fatto che tu voglia aggiornare il file per utente o il file specifico di un ambiente virtuale che stai utilizzando.
Per il file associato all'utente del sistema operativo:
- Unix:
$HOME/.config/pip/pip.conf
o$HOME/.pip/pip.conf
- macOS:
/Library/Application Support/pip/pip.conf
o$HOME/.config/pip/pip.conf
- Windows:
%APPDATA%\pip\pip.ini
o%USERPROFILE%\pip\pip.ini
Per gli ambienti virtuali:
- Unix e macOS:
$VIRTUAL_ENV/pip.conf
- Windows:
%VIRTUAL_ENV%\pip.ini
Per configurare pip in modo che cerchi solo nel tuo repository, utilizza l'impostazione
index-url
e assicurati che non siano configurati altri indici di pacchetti con l'impostazioneextra-index-url
.[global] index-url = https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/simple/
La stringa
/simple/
alla fine del percorso del repository indica che il repository implementa l'API Python Simple Repository.- Unix:
Ora l'ambiente Python è configurato per l'autenticazione con Artifact Registry.
Autenticazione del portachiavi con le credenziali utente
Dopo aver configurato il keyring, puoi utilizzarlo con le credenziali utente nella gcloud CLI. Accedi a Google Cloud CLI prima di connetterti a un repository di pacchetti Python.
Esegui questo comando:
gcloud auth login
Autenticazione Keyring con le credenziali del account di servizio
Dopo aver configurato il keyring, puoi configurare un service account per l'autenticazione.
- Crea un service account o scegli un account di servizio esistente che utilizzi per l'automazione.
- Concedi il ruolo Artifact Registry specifico all'account di servizio per fornire l'accesso al repository.
Utilizza una delle seguenti opzioni per l'autenticazione con il account di servizio:
Credenziali predefinite dell'applicazione (consigliato)
Assegna la posizione del file della chiave del account di servizio alla variabile
GOOGLE_APPLICATION_CREDENTIALS
in modo che l'helper delle credenziali di Artifact Registry possa ottenere la chiave quando si connette ai repository.export GOOGLE_APPLICATION_CREDENTIALS=KEY-FILE
Credenziali dell'interfaccia a riga di comando gcloud
Prima di connetterti a un repository, accedi come account di servizio. Evita questa opzione se ti connetti ai repository dalle VM Compute Engine poiché Artifact Registry trova le credenziali deaccount di serviziont VM prima delle credenziali in gcloud CLI.
gcloud auth activate-service-account --key-file=KEY-FILE
Sostituisci KEY-FILE con il percorso del file delle chiavi del account di servizio.
Autenticazione con una chiave del account di servizio
Utilizza questo approccio quando richiedi l'autenticazione con un nome utente e una password.
Le chiavi del service account sono credenziali di lunga durata. Utilizza le seguenti linee guida per limitare l'accesso ai tuoi repository:
- Valuta la possibilità di utilizzare un account di servizio dedicato per interagire con i repository.
- Concedi il ruolo Artifact Registry minimo richiesto dalaccount di serviziot. Ad esempio, assegna il ruolo Lettore Artifact Registry a un account di servizio che scarica solo gli artefatti.
- Se i gruppi della tua organizzazione richiedono diversi livelli di accesso a repository specifici, concedi l'accesso a livello di repository anziché a livello di progetto.
- Segui le best practice per la gestione delle credenziali.
Per configurare l'autenticazione:
Crea un service account che agisca per conto della tua applicazione oppure scegli un service account esistente che utilizzi per l'automazione.
Per configurare l'autenticazione con Artifact Registry, devi conoscere la posizione del file delle chiavi del account di servizio. Per gli account esistenti, puoi visualizzare le chiavi e crearne di nuove nella pagina Account di servizio.
Concedi il ruolo Artifact Registry appropriato all'account di servizio per fornire l'accesso al repository.
Esegui il comando seguente per stampare la configurazione del repository da aggiungere al progetto Python.
gcloud artifacts print-settings python --project=PROJECT \ --repository=REPOSITORY \ --location=LOCATION \ --json-key=KEY-FILE
Sostituisci i seguenti valori:
- PROJECT è l'ID progetto. Se questo flag viene omesso, viene utilizzato il progetto predefinito o quello corrente.
- REPOSITORY è l'ID del repository. Se hai configurato un repository Artifact Registry predefinito, questo viene utilizzato quando questo flag viene omesso dal comando.
- LOCATION è la posizione regionale o multiregionale del repository.
- KEY-FILE è il percorso del file della chiave JSON dell'account di servizio.
Aggiungi le seguenti impostazioni al file
.pypirc
. La posizione predefinita per il file di configurazione pip per utente è:- Linux e macOS:
$HOME/.pypirc
- Windows:
%USERPROFILE%\.pypirc
[distutils] index-servers = PYTHON-REPO-ID [PYTHON-REPO-ID] repository = https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/ username: _json_key_base64 password: KEY
Sostituisci i seguenti valori:
- PYTHON-REPO-ID è un ID per il repository a cui puoi fare riferimento con strumenti come Twine.
- PROJECT è l'ID progetto. Se questo flag viene omesso, viene utilizzato il progetto predefinito o quello corrente.
- REPOSITORY è l'ID del repository. Se hai configurato un repository Artifact Registry predefinito, questo viene utilizzato quando questo flag viene omesso dal comando.
- LOCATION è la posizione regionale o multiregionale del repository.
- KEY è la chiave codificata in base64 nel file della chiave del account di servizio.
- Linux e macOS:
Aggiungi il repository al file di configurazione pip. La posizione del file di configurazione pip dipende dal fatto che tu voglia aggiornare il file per utente o il file specifico di un ambiente virtuale che stai utilizzando.
Per il file associato all'utente del sistema operativo:
- Unix:
$HOME/.config/pip/pip.conf
o$HOME/.pip/pip.conf
- macOS:
/Library/Application Support/pip/pip.conf
o$HOME/.config/pip/pip.conf
- Windows:
%APPDATA%\pip\pip.ini
o%USERPROFILE%\pip\pip.ini
Per gli ambienti virtuali:
- Unix e macOS:
$VIRTUAL_ENV/pip.conf
- Windows:
%VIRTUAL_ENV%\pip.ini
Aggiungi la seguente riga al file di configurazione di pip:
[global] index-url = https://_json_key_base64:KEY@LOCATION-python.pkg.dev/PROJECT/REPOSITORY/simple/
- KEY la chiave privata nel file delle chiavi del account di servizio.
- La stringa
/simple/
alla fine del percorso del repository indica che il repository implementa l'API Python Simple Repository.
- Unix:
Passaggi successivi
- Configurare l'accesso ai repository
- Scopri di più sulla gestione dei repository
- Scopri di più sulla gestione dei pacchetti