Este documento descreve como se autenticar em fontes upstream para sua Repositórios remotos do Artifact Registry.
Neste documento, consideramos que você já criou um repositório remoto do Artifact Registry e tem uma conta com a origem externa.
Para mais informações sobre repositórios remotos, consulte a Visão geral dos repositórios remotos.
Funções exigidas
Para receber as permissões necessárias para configurar a autenticação em origens upstream de repositórios remotos, peça ao administrador para conceder a você os seguintes papéis do IAM no projeto:
-
Administrador do Artifact Registry (
roles/artifactregistry.admin
) -
Administrador do Secret Manager (
roles/secretmanager.admin
)
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.
Origens upstream predefinidas
Para configurar a autenticação de origens upstream predefinidas, consulte o para cada upstream que segue:
Origens upstream definidas pelo usuário
Para configurar a autenticação para origens upstream definidas pelo usuário, conclua o etapas seguintes.
Salvar seu token de acesso em um secret
- Crie um token de acesso no registro particular.
- Crie um secret no Secret Manager.
- Salve seu token de acesso pessoal como uma versão secreta.
Conceda à conta de serviço do Artifact Registry acesso ao secret
O agente de serviço do Artifact Registry atua em nome dele ao interagir. com os serviços do Google Cloud. Para permitir que o agente de serviço use os secrets armazenados no Secret Manager, conceda a ele permissão para visualizar a versão do secret.
O identificador do agente de serviço é:
service-PROJECT-NUMBER@gcp-sa-artifactregistry.iam.gserviceaccount.com
PROJECT-NUMBER é o número do projeto do projeto do Google Cloud em que o Artifact Registry está sendo executado.
Para conceder o papel de Acessador de secrets do Gerenciador de secrets ao agente de serviço do Artifact Registry:
Console
-
Acesse a página do Secret Manager no console do Google Cloud:
-
Na página do Gerenciador de secrets, clique na caixa de seleção ao lado do nome do secret.
-
Se ela ainda não estiver aberta, clique em Mostrar painel de informações para abrir o painel.
-
No painel de informações, clique em Adicionar participante.
-
Na área de texto Novos principais, digite os endereços de e-mail dos membros que você quer adicionar.
-
Na lista suspensa Selecionar um papel, escolha Secret Manager e depois Acessador de secrets do Secret Manager.
gcloud
$ gcloud secrets add-iam-policy-binding secret-id \
--member="member" \
--role="roles/secretmanager.secretAccessor"
Em que member é um membro do IAM, como um usuário, grupo ou conta de serviço.
C#
Para autenticar no Artifact Registry, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Go
Para autenticar no Artifact Registry, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para autenticar no Artifact Registry, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Node.js
Para autenticar no Artifact Registry, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
PHP
Para autenticar no Artifact Registry, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para autenticar no Artifact Registry, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Ruby
Para autenticar no Artifact Registry, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
API
Observação: diferentemente dos outros exemplos, isso substitui toda a política do IAM.
$ curl "https://secretmanager.googleapis.com/v1/projects/project-id/secrets/secret-id:setIamPolicy" \
--request "POST" \
--header "authorization: Bearer $(gcloud auth print-access-token)" \
--header "content-type: application/json" \
--data "{\"policy\": {\"bindings\": [{\"members\": [\"member\"], \"role\": \"roles/secretmanager.secretAccessor\"}]}}"
Para mais informações sobre como conceder ou revogar o acesso a secrets, consulte Gerenciar o acesso a secrets.
Adicionar credenciais upstream ao repositório remoto
Para atualizar o repositório remoto com as credenciais da origem upstream:
Console
Abra a página Repositórios no console do Google Cloud.
Na lista de repositórios, selecione o repositório e clique em Editar repositório.
Na seção Modo de autenticação do repositório remoto, atualize ou adicione seu nome de usuário de origem upstream e o segredo que contém seu token de acesso.
CLI da gcloud
Para atualizar o repositório remoto com as credenciais de origem upstream, execute o seguinte comando:
gcloud artifacts repositories update REPOSITORY \
--project=PROJECT_ID \
--location=LOCATION \
--remote-username=USERNAME \
--remote-password-secret-version=projects/SECRET_PROJECT_ID/secrets/SECRET_ID/versions/SECRET_VERSION
Substitua:
REPOSITORY
pelo nome do repositório remoto do Artifact Registry.PROJECT_ID
pelo ID de projeto do Google Cloud;LOCATION
com o local regional ou multirregional do repositório. É possível omitir essa sinalização se você definir um padrão. Para ver uma lista de locais com suporte, execute o comandogcloud artifacts locations list
.USERNAME
pelo nome de usuário da origem upstream.SECRET_PROJECT_ID
pelo ID do projeto em que você criou o secret.SECRET_ID
pelo nome que você deu ao secret.SECRET_VERSION
com a versão do secret em que você salvou seu token de acesso.
Suas credenciais serão usadas na próxima vez que o repositório remoto enviar uma solicitação para um artefato da origem upstream.
A seguir
- Crie políticas de limpeza para limpar artefatos desnecessários.