Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare l'autenticazione in Artifact Registry per i repository di pacchetti Python

Questa pagina descrive come configurare l'autenticazione con un repository di pacchetti Python di Artifact Registry.

Devi autenticarti in Artifact Registry quando utilizzi un'applicazione di terze parti per connetterti a un repository.

Non è necessario configurare l'autenticazione per Cloud Build o Google Cloud ambienti di runtime come Google Kubernetes Engine e Cloud Run, ma devi verificare che siano configurate le autorizzazioni richieste.

Prima di iniziare

Se il repository di destinazione non esiste, crea un nuovo repository di pacchetti Python.
Verifica che Python 3 sia installato. Per le istruzioni di installazione, consulta ilGoogle Cloud tutorial per la configurazione di Python.
Verifica che l'account utente o il account di servizio che utilizzi disponga delle autorizzazioni richieste per accedere al repository.
Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il seguente comando:
```
gcloud init
```
Se utilizzi un provider di identità (IdP) esterno, devi prima accedere alla gcloud CLI con la tua identità federata.

Nota:se hai installato gcloud CLI in precedenza, assicurati di avere l'ultima versione eseguendo gcloud components update.
(Facoltativo) Configura le impostazioni predefinite per i comandi gcloud CLI.

Panoramica

Artifact Registry supporta i seguenti metodi di autenticazione.

Libreria Python Keyring (consigliata): Artifact Registry fornisce un backend del portachiavi per archiviare le credenziali per la connessione ai repository Artifact Registry.
Autenticazione con password: Utilizza questa opzione quando non puoi utilizzare il portachiavi e hai bisogno di un'opzione che supporti l'autenticazione di base con password.

Le istruzioni riportate in questa documentazione descrivono la configurazione di pip come unico indice dei pacchetti in cui pip cerca i pacchetti. Ti consigliamo di utilizzare i repository virtuali per cercare pacchetti nei tuoi pacchetti privati in Artifact Registry e nei pacchetti pubblici di PyPI anziché configurare più indici di pacchetti nel file di configurazione pip. Lo strumento pip non cerca gli indici dei pacchetti in un ordine particolare, quindi i tuoi consumatori potrebbero scaricare o installare per errore un pacchetto pubblico con lo stesso nome di uno dei tuoi pacchetti privati. I repository virtuali ti consentono di configurare le priorità per le origini upstream per mitigare questo rischio di confusione delle dipendenze.

Autenticazione con keyring

La libreria Python keyring fornisce alle applicazioni un modo per accedere ai backend keyring, ovvero ai negozi di credenziali del sistema operativo e di terze parti.

Artifact Registry fornisce il backend del keyring keyrings.google-artifactregistry-auth per gestire l'autenticazione con i repository Artifact Registry.

Ordine di ricerca delle credenziali

Quando utilizzi il backend del keyring di Artifact Registry, le credenziali non vengono archiviate nel tuo progetto Python. Artifact Registry cerca invece le credenziali nel seguente ordine:

Credenziali predefinite dell'applicazione (ADC), una strategia che cerca le credenziali nel seguente ordine:
1. Credenziali definite nella variabile di ambiente GOOGLE_APPLICATION_CREDENTIALS.
2. Credenziali fornite dall'account di servizio predefinito per Compute Engine, Google Kubernetes Engine, Cloud Run, App Engine o Cloud Run Functions.
Credenziali fornite da Google Cloud CLI, incluse le credenziali utente dal comando gcloud auth application-default login.

La variabile GOOGLE_APPLICATION_CREDENTIALS rende esplicito l'account per l'autenticazione, il che semplifica la risoluzione dei problemi. Se non utilizzi la variabile, verifica che tutti gli account che ADC potrebbe utilizzare dispongano delle autorizzazioni richieste. Ad esempio, il service account predefinito per le VM Compute Engine, i nodi Google Kubernetes Engine e le revisioni di Cloud Run ha accesso in sola lettura ai repository. Se intendi eseguire il caricamento da questi ambienti utilizzando ilaccount di serviziot predefinito, devi modificare le autorizzazioni.

Configurazione del portachiavi

Per configurare l'autenticazione con il backend del keyring di Artifact Registry:

Installa la libreria keyring.
```
pip install keyring
```

Installa il backend di Artifact Registry.

pip install keyrings.google-artifactregistry-auth

Elenca i backend per confermare l'installazione.
```
keyring --list-backends
```
L'elenco deve includere
- ChainerBackend(priority:10)
- GooglePythonAuth(priority: 9)
Esegui il comando seguente per stampare la configurazione del repository da aggiungere al progetto Python.
```
gcloud artifacts print-settings python --project=PROJECT \
    --repository=REPOSITORY \
    --location=LOCATION
```
Sostituisci i seguenti valori:
- PROJECT è l'ID progetto. Se questo flag viene omesso, viene utilizzato il progetto predefinito o quello corrente.
- REPOSITORY è l'ID del repository. Se hai configurato un repository Artifact Registry predefinito, questo viene utilizzato quando questo flag viene omesso dal comando.
- LOCATION è la posizione regionale o multiregionale del repository.
Aggiungi le seguenti impostazioni al file .pypirc. La posizione predefinita è:
- Linux e macOS: $HOME/.pypirc
- Windows: %USERPROFILE%\.pypirc
```
[distutils]
index-servers =
    PYTHON-REPO-ID

[PYTHON-REPO-ID]
repository = https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/
```
Sostituisci i seguenti valori:
- PYTHON-REPO-ID è un ID per il repository a cui puoi fare riferimento con strumenti come Twine.
- PROJECT è l'ID progetto. Se questo flag viene omesso, viene utilizzato il progetto predefinito o quello corrente.
- REPOSITORY è l'ID del repository. Se hai configurato un repository Artifact Registry predefinito, questo viene utilizzato quando questo flag viene omesso dal comando.
- LOCATION è la posizione regionale o multiregionale del repository.
Aggiungi il repository al file di configurazione pip. La posizione del file dipende dal fatto che tu voglia aggiornare il file per utente o il file specifico di un ambiente virtuale che stai utilizzando.

Per il file associato all'utente del sistema operativo:
- Unix: $HOME/.config/pip/pip.conf o $HOME/.pip/pip.conf
- macOS: /Library/Application Support/pip/pip.conf o $HOME/.config/pip/pip.conf
- Windows: %APPDATA%\pip\pip.ini o %USERPROFILE%\pip\pip.ini
Per gli ambienti virtuali:
- Unix e macOS: $VIRTUAL_ENV/pip.conf
- Windows: %VIRTUAL_ENV%\pip.ini
Per configurare pip in modo che cerchi solo nel tuo repository, utilizza l'impostazione index-url e assicurati che non siano configurati altri indici di pacchetti con l'impostazione extra-index-url.
```
[global]
index-url = https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/simple/
```
La stringa /simple/ alla fine del percorso del repository indica che il repository implementa l'API Python Simple Repository.

Ora l'ambiente Python è configurato per l'autenticazione con Artifact Registry.

Autenticazione del portachiavi con le credenziali utente

Dopo aver configurato il keyring, puoi utilizzarlo con le credenziali utente nella gcloud CLI. Accedi a Google Cloud CLI prima di connetterti a un repository di pacchetti Python.

Esegui questo comando:

gcloud auth login

Autenticazione Keyring con le credenziali del account di servizio

Dopo aver configurato il keyring, puoi configurare un service account per l'autenticazione.

Crea un service account o scegli un account di servizio esistente che utilizzi per l'automazione.
Concedi il ruolo Artifact Registry specifico all'account di servizio per fornire l'accesso al repository.
Utilizza una delle seguenti opzioni per l'autenticazione con il account di servizio:
- Credenziali predefinite dell'applicazione (consigliato)
  
  Assegna la posizione del file della chiave del account di servizio alla variabile GOOGLE_APPLICATION_CREDENTIALS in modo che l'helper delle credenziali di Artifact Registry possa ottenere la chiave quando si connette ai repository.
```
export GOOGLE_APPLICATION_CREDENTIALS=KEY-FILE
```
- Credenziali dell'interfaccia a riga di comando gcloud
  
  Prima di connetterti a un repository, accedi come account di servizio. Evita questa opzione se ti connetti ai repository dalle VM Compute Engine poiché Artifact Registry trova le credenziali deaccount di serviziont VM prima delle credenziali in gcloud CLI.
```
gcloud auth activate-service-account --key-file=KEY-FILE
```
Sostituisci KEY-FILE con il percorso del file delle chiavi del account di servizio.

Autenticazione con una chiave del account di servizio

Utilizza questo approccio quando richiedi l'autenticazione con un nome utente e una password.

Le chiavi del service account sono credenziali di lunga durata. Utilizza le seguenti linee guida per limitare l'accesso ai tuoi repository:

Valuta la possibilità di utilizzare un account di servizio dedicato per interagire con i repository.
Concedi il ruolo Artifact Registry minimo richiesto dalaccount di serviziot. Ad esempio, assegna il ruolo Lettore Artifact Registry a un account di servizio che scarica solo gli artefatti.
Se i gruppi della tua organizzazione richiedono diversi livelli di accesso a repository specifici, concedi l'accesso a livello di repository anziché a livello di progetto.
Segui le best practice per la gestione delle credenziali.

Per configurare l'autenticazione:

Crea un service account che agisca per conto della tua applicazione oppure scegli un service account esistente che utilizzi per l'automazione.

Per configurare l'autenticazione con Artifact Registry, devi conoscere la posizione del file delle chiavi del account di servizio. Per gli account esistenti, puoi visualizzare le chiavi e crearne di nuove nella pagina Account di servizio.

Vai alla pagina Service account

Nota :le chiavi dei service account comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle account di servizio account quando è possibile. Se devi eseguire l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte in Best practice per la gestione delle chiavi degli account di servizio. Se non riesci a creare una chiave del account di servizio, la creazione di chiavi del account di servizio potrebbe essere disabilitata per la tua organizzazione. Per saperne di più, consulta Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.
Se hai acquisito la chiave dell'account di servizio da una fonte esterna, devi convalidarla prima dell'utilizzo. Per maggiori informazioni, consulta Requisiti di sicurezza per le credenziali di origine esterna.
Concedi il ruolo Artifact Registry appropriato all'account di servizio per fornire l'accesso al repository.
Esegui il comando seguente per stampare la configurazione del repository da aggiungere al progetto Python.
```
gcloud artifacts print-settings python --project=PROJECT \
    --repository=REPOSITORY \
    --location=LOCATION \
    --json-key=KEY-FILE
```
Sostituisci i seguenti valori:
- PROJECT è l'ID progetto. Se questo flag viene omesso, viene utilizzato il progetto predefinito o quello corrente.
- REPOSITORY è l'ID del repository. Se hai configurato un repository Artifact Registry predefinito, questo viene utilizzato quando questo flag viene omesso dal comando.
- LOCATION è la posizione regionale o multiregionale del repository.
- KEY-FILE è il percorso del file della chiave JSON dell'account di servizio.
Aggiungi le seguenti impostazioni al file .pypirc. La posizione predefinita per il file di configurazione pip per utente è:
- Linux e macOS: $HOME/.pypirc
- Windows: %USERPROFILE%\.pypirc
```
[distutils]
index-servers =
    PYTHON-REPO-ID

[PYTHON-REPO-ID]
repository = https://LOCATION-python.pkg.dev/PROJECT/REPOSITORY/
username: _json_key_base64
password: KEY
```
Sostituisci i seguenti valori:
- PYTHON-REPO-ID è un ID per il repository a cui puoi fare riferimento con strumenti come Twine.
- PROJECT è l'ID progetto. Se questo flag viene omesso, viene utilizzato il progetto predefinito o quello corrente.
- REPOSITORY è l'ID del repository. Se hai configurato un repository Artifact Registry predefinito, questo viene utilizzato quando questo flag viene omesso dal comando.
- LOCATION è la posizione regionale o multiregionale del repository.
- KEY è la chiave codificata in base64 nel file della chiave del account di servizio.
Aggiungi il repository al file di configurazione pip. La posizione del file di configurazione pip dipende dal fatto che tu voglia aggiornare il file per utente o il file specifico di un ambiente virtuale che stai utilizzando.

Per il file associato all'utente del sistema operativo:
- Unix: $HOME/.config/pip/pip.conf o $HOME/.pip/pip.conf
- macOS: /Library/Application Support/pip/pip.conf o $HOME/.config/pip/pip.conf
- Windows: %APPDATA%\pip\pip.ini o %USERPROFILE%\pip\pip.ini
Per gli ambienti virtuali:
- Unix e macOS: $VIRTUAL_ENV/pip.conf
- Windows: %VIRTUAL_ENV%\pip.ini
Aggiungi la seguente riga al file di configurazione di pip:
```
[global]
index-url = https://_json_key_base64:KEY@LOCATION-python.pkg.dev/PROJECT/REPOSITORY/simple/
```
- KEY la chiave privata nel file delle chiavi del account di servizio.
- La stringa /simple/ alla fine del percorso del repository indica che il repository implementa l'API Python Simple Repository.