Container Registry è deprecato e programmato per l'arresto. A partire dal 15 maggio 2024, Artifact Registry ospita le immagini per il dominio gcr.io nei progetti senza precedente utilizzo di Container Registry. Dopo il 18 marzo 2025, Container Registry verrà arrestato.

Per iniziare a gestire i container su Google Cloud, utilizza Artifact Registry. Se utilizzi Container Registry, scopri come eseguire la transizione ad Artifact Registry per gestire i container su Google Cloud.

Per maggiori informazioni sul ritiro e la disattivazione, consulta la pagina sui ritiri e le note di rilascio.

Questa pagina è stata tradotta dall'API Cloud Translation.

Metodi di autenticazione

Questa pagina descrive come configurare un client di terze parti per l'autenticazione con Container Registry.

I servizi Google Cloud che si integrano con Container Registry sono preconfigurati con autorizzazioni per accedere ai repository all'interno dello stesso progetto. Non è necessario configurare l'autenticazione per questi ma devi verificare che le autorizzazioni siano configurato in modo appropriato.

Prima di iniziare

Verifica di aver attivato l'API Container Registry e di aver installato gcloud CLI. Per le istruzioni, consulta la sezione Attivare e disattivare il servizio.
Verifica che l'account che utilizzi per l'autenticazione sia autorizzazioni per accedere a Container Registry. Ti consigliamo di utilizzare un account di servizio anziché un account utente.
Installa Docker, se non è già installato. Docker è incluso in Cloud Shell.
Docker richiede l'accesso con privilegi per interagire con i registri. Su Linux o Windows, aggiungi l'utente che utilizzi per eseguire i comandi Docker al gruppo di sicurezza Docker. Questo passaggio non è necessario su macOS dal giorno Docker Desktop viene eseguito su una macchina virtuale come utente root.
Linux
Il gruppo di sicurezza Docker si chiama docker. Per aggiungere il tuo nome utente, esegui il seguente comando:
```
sudo usermod -a -G docker ${USER}
```
Windows
Il gruppo di sicurezza Docker si chiama docker-users. Per aggiungere un utente dal prompt dei comandi dell'amministratore, esegui il seguente comando:
```
net localgroup docker-users DOMAIN\USERNAME /add
```
Dove
- DOMAIN è il tuo dominio Windows.
- USERNAME è il tuo nome utente.
Uscire e accedere di nuovo per applicare le modifiche all'appartenenza al gruppo. Se utilizzi una macchina virtuale, potrebbe essere necessario riavviare la macchina virtuale affinché le modifiche all'abbonamento vengano applicate.

Nota: il gruppo di sicurezza Docker ha accesso equivalente all'utente root o amministrativo. Aggiungi solo utenti attendibili che richiedono l'accesso a Docker. Per informazioni dettagliate sull'impatto della sicurezza, consulta Sicurezza dei daemon Docker.

Metodi di autenticazione

Devi configurare tutti i client di terze parti che devono accedere a Container Registry.

Sono disponibili i seguenti metodi di autenticazione:

gcloud credential helper (consigliato)

Configura le credenziali di Container Registry da utilizzare con Docker direttamente in gcloud. Se possibile, utilizza questo metodo per un accesso sicuro e temporaneo alle risorse del progetto. Questa opzione supporta solo le versioni Docker 18.03 o successive.

Utilità di assistenza per le credenziali autonoma

Questa opzione è principalmente per configurare le credenziali per l'utilizzo con Docker in assenza di Google Cloud CLI. Questa opzione supporta solo le versioni Docker 18.03 o versioni successive.

Token di accesso

Credenziali predefinite dell'applicazione fornire token di accesso di breve durata che per accedere alle tue risorse Google Cloud. È la più sicura delle alternative all'utilizzo di gcloud come strumento di assistenza per le credenziali.

File di chiave JSON

Una coppia di chiavi gestita dall'utente che puoi utilizzare come credenziale per un l'account di servizio. Poiché la credenziale è permanente, è l'opzione meno sicura tra tutti i metodi di autenticazione disponibili.

Se possibile, utilizza un token di accesso o un altro metodo di autenticazione disponibile per ridurre il rischio di accesso non autorizzato ai tuoi elementi. Le chiavi degli account di servizio comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle chiavi degli account di servizio quando è possibile. Se devi autenticarti con una chiave dell'account di servizio, sei responsabile della chiave privata e per le altre operazioni descritte Best practice per la gestione delle chiavi degli account di servizio. Se non riesci a creare una chiave del service account, la creazione di chiavi del service account potrebbe essere disabilitata per la tua organizzazione. Per ulteriori informazioni, vedi Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.

Alcuni strumenti o flussi di lavoro non forniscono un buon supporto per l'utilizzo di gcloud come aiuto per le credenziali. Se utilizzi una delle opzioni alternative, assicurati di comprendere le implicazioni per la sicurezza.

Impostazioni di autenticazione nel file di configurazione Docker

Docker salva le impostazioni di autenticazione nel file di configurazione config.json.

Linux: ~/.docker/config.json
Windows: %USERPROFILE%\.docker\config.json

Il file contiene sezioni distinte per i diversi metodi di autenticazione:

credHelpers: Se utilizzi l'helper per le credenziali Docker per l'autenticazione, Container Registry memorizza le impostazioni dell'helper per le credenziali nella credHelpers sezione del file.
auths: Se usi Docker per accedere con un token o una chiave dell'account di servizio come , Docker archivia le credenziali nella sezione auths del file.
credStore: Se hai configurato un archivio delle credenziali per gestire le tue credenziali, le impostazioni per l'archivio delle credenziali si trovano nella sezione credStore del file.

Quando Docker si connette a un registro, verifica prima la presenza di un assistente per le credenziali associato all'host. Pertanto, se config.json include le impostazioni di Container Registry sia nelle sezioni credHelpers sia in auths, le impostazioni nella sezione auths vengono ignorate.

gcloud credential helper

Ti consigliamo vivamente di utilizzare questo metodo, se possibile. Offre un accesso sicuro e di breve durata alle risorse del tuo progetto.

Utilizza gcloud CLI per configurare l'autenticazione in Cloud Shell o in qualsiasi in cui è installata Google Cloud CLI. Cloud Shell include una versione attuale di Docker.

Per configurare l'autenticazione:

Accedi a gcloud come utente che eseguirà i comandi Docker.
- Per configurare l'autenticazione con le credenziali utente, esegui il seguente comando:
```
gcloud auth login
```
- Per configurare l'autenticazione con le credenziali dell'account di servizio, esegui seguente comando:
```
gcloud auth activate-service-account ACCOUNT --key-file=KEY-FILE
```
  Dove
  - ACCOUNT è il nome dell'account di servizio nel formato [USERNAME]@[PROJECT-ID].iam.gserviceaccount.com. Puoi visualizzare gli account di servizio esistenti nella pagina Account di servizio della console Google Cloud o con il comandogcloud iam service-accounts list
  - KEY-FILE è il file della chiave dell'account di servizio. Per informazioni sulla creazione di una chiave, consulta la documentazione di Identity and Access Management (IAM).
Nota: le chiavi degli account di servizio comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti Scegliere un'alternativa più sicura alle chiavi degli account di servizio ove possibile. Se devi autenticarti con una chiave dell'account di servizio, sei responsabile della chiave privata e per le altre operazioni descritte Best practice per la gestione delle chiavi degli account di servizio. Se non è possibile creare una chiave dell'account di servizio, è possibile disattivato per la tua organizzazione. Per ulteriori informazioni, consulta Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.
Configura Docker con il seguente comando:
```
gcloud auth configure-docker
```
Le tue credenziali vengono salvate nella home directory dell'utente.
- Linux: $HOME/.docker/config.json
- Windows: %USERPROFILE%/.docker/config.json

Assistente per le credenziali autonomo

L'assistente per le credenziali Docker autonomo configura Docker per eseguire l'autenticazione in Container Registry su un sistema in cui gcloud CLI non è disponibile.

L'helper delle credenziali recupera le credenziali di Container Registry, automaticamente o da una posizione specificata utilizzando il relativo flag --token-source, quindi le scrive nel file di configurazione di Docker. In questo modo puoi utilizzare strumento a riga di comando di Docker, docker, per interagire direttamente e Container Registry.

Per configurare l'autenticazione:

Accedi alla macchina come utente che eseguirà i comandi Docker.

Scarica docker-credential-gcr dalle release di GitHub:

Se vuoi, puoi utilizzare l'utilità a riga di comando curl. Ad esempio:

VERSION=2.1.23
OS=linux  # or "darwin" for OSX, "windows" for Windows.
ARCH=amd64  # or "386" for 32-bit OSs, "arm64" for ARM 64.

curl -fsSL "https://github.com/GoogleCloudPlatform/docker-credential-gcr/releases/download/v${VERSION}/docker-credential-gcr_${OS}_${ARCH}-${VERSION}.tar.gz" \
| tar xz docker-credential-gcr \
&& chmod +x docker-credential-gcr && sudo mv docker-credential-gcr /usr/bin/

Configura Docker con il seguente comando:
```
docker-credential-gcr configure-docker
```
Le tue credenziali vengono salvate nella home directory dell'utente.
- Linux: $HOME/.docker/config.json
- Windows: %USERPROFILE%/.docker/config.json

Per ulteriori informazioni, consulta la documentazione dell'utilità di assistenza per le credenziali Docker autonoma su GitHub.

Docker è ora configurato per eseguire l'autenticazione con Container Registry. Per spingere e estrarre le immagini, assicurati che le autorizzazioni siano configurate correttamente.

Token di accesso

Puoi generare un token di accesso OAuth di breve durata per l'autenticazione e Container Registry. Poiché il token è valido per 60 minuti, lo devi richiedere meno di un'ora prima di utilizzarlo per connetterti a Container Registry.

Creare un nuovo account di servizio che interagisca con Container Registry.
Console
1. Nella console Google Cloud, vai alla pagina Crea account di servizio.
  
  Vai alla pagina Crea account di servizio
2. Seleziona il progetto che vuoi utilizzare.
3. Nel campo Nome account di servizio, inserisci un nome.
4. (Facoltativo) Nel campo Descrizione account di servizio, inserisci una descrizione.
5. Fai clic su Crea.
6. Fai clic sul campo Seleziona un ruolo. In Tutti i ruoli, seleziona un ruolo Cloud Storage appropriato in base alle autorizzazioni che vuoi concedere all'account di servizio.
7. Fai clic su Fine.
gcloud
Puoi eseguire i comandi seguenti utilizzando Google Cloud CLI sulla tua macchina locale, o in Cloud Shell.
1. Crea il service account. Sostituisci NAME con un nome per l'account di servizio.
  gcloud iam service-accounts create NAME
2. Concedi un ruolo all'account di servizio. Sostituisci PROJECT_ID con l'ID progetto e la ROLE con le informazioni Ruolo Cloud Storage per l'account di servizio. Questo ruolo viene applicato a tutti i repository all'interno del progetto. Puoi modificare il ruolo in un secondo momento e puoi anche concedere ruoli diversi all'account di servizio su repository specifici.
  gcloud projects add-iam-policy-binding PROJECT_ID --member "serviceAccount:NAME@PROJECT_ID.iam.gserviceaccount.com" --role "roles/ROLE"
Ottieni una chiave per l'account di servizio che interagirà con Container Registry.

Nota: Se non vengono gestite correttamente, le chiavi degli account di servizio comportano un rischio per la sicurezza. Dovresti Scegliere un'alternativa più sicura alle chiavi degli account di servizio ove possibile. Se devi effettuare l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte dalle best practice per la gestione delle chiavi degli account di servizio. Se non riesci a creare una chiave del service account, la creazione di chiavi del service account potrebbe essere disabilitata per la tua organizzazione. Per ulteriori informazioni, vedi Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.
Console
1. Nella console Google Cloud, vai alla pagina Account di servizio.
  
  Vai alla pagina Account di servizio
2. Fai clic sull'indirizzo email dell'account di servizio che vuoi utilizzare.
3. Fai clic su Chiavi.
4. Fai clic su Aggiungi chiave, quindi su Crea nuova chiave.
5. Fai clic su Crea. Un file JSON contenente le chiavi scaricate in del tuo computer.
  
  Le istruzioni in questa pagina utilizzano il nome file keyfile.json per questo file di chiave.
6. Fai clic su Chiudi.
gcloud
Puoi eseguire questo comando utilizzando Google Cloud CLI sulla tua macchina locale: o in Cloud Shell.

Le istruzioni in questa pagina utilizzano il nome file keyfile.json per il file della chiave.
```
gcloud iam service-accounts keys create keyfile.json --iam-account [NAME]@[PROJECT_ID].iam.gserviceaccount.com
```
Esegui questo comando per accedere a Google Cloud CLI come servizio .
```
gcloud auth activate-service-account ACCOUNT --key-file=KEY-FILE
```
Dove
- ACCOUNT è il nome dell'account di servizio nel formato [USERNAME]@[PROJECT-ID].iam.gserviceaccount.com.
- KEY-FILE è il file della chiave dell'account di servizio. Per informazioni sulla creazione di una chiave, consulta la documentazione di IAM.
Verifica che le autorizzazioni siano configurate correttamente per l'account di servizio. Se utilizzi Compute Engine, devi configurare correttamente sia le autorizzazioni che di accesso agli ambiti di accesso.
Ottieni un token di accesso per l'account di servizio. Poiché il token è di breve durata, richiedilo meno di un'ora prima di utilizzarlo per connetterti a Container Registry.

Esegui questo comando:
Linux
```
gcloud auth print-access-token | docker login -u oauth2accesstoken \
    --password-stdin https://HOSTNAME
```
Windows
```
gcloud auth print-access-token |
    docker login -u oauth2accesstoken --password-stdin https://HOSTNAME
```
dove HOSTNAME è gcr.io, us.gcr.io, eu.gcr.io o asia.gcr.io.

Nota: i servizi Google Cloud che forniscono immagini in un sottodominio gcr.io potrebbero richiedere l'autenticazione. Ad esempio, devi autenticare su marketplace.gcr.io per eseguire il pull delle immagini da Google Cloud Marketplace.

Docker è ora autenticato con Container Registry.

File di chiave JSON

Una chiave dell'account di servizio è una coppia di chiavi a lungo termine che puoi utilizzare come credenziale per un account di servizio. A differenza del token di accesso OAuth, una chiave dell'account di servizio non scade.

Chiunque abbia accesso a una chiave privata valida per un account di servizio sarà in grado di per accedere alle risorse tramite l'account di servizio. Ad esempio, ad alcuni account di servizio creati automaticamente da Google Cloud, come l'account di servizio Container Registry, viene concesso il ruolo di scrittura/lettura Editor per il progetto principale. L'account di servizio predefinito di Compute Engine è configurato con allo spazio di archiviazione all'interno dello stesso progetto.

Inoltre, anche il ciclo di vita dell'accesso della chiave all'account di servizio Pertanto, i dati a cui ha accesso l'account di servizio sono indipendenti dal ciclo di vita dell'utente che ha scaricato la chiave.

Segui queste linee guida per limitare l'accesso alle immagini container:

Crea account di servizio dedicati che vengano utilizzati solo per interagire e Container Registry.
Concedi il ruolo specifico per il minor accesso richiesto dall'account di servizio.
Segui le best practice per la gestione delle credenziali.

Per creare un nuovo account di servizio e una chiave di account di servizio da utilizzare solo con i repository Container Registry:

Crea un nuovo account di servizio che interagirà con Container Registry.
Console
1. Nella console Google Cloud, vai alla pagina Crea account di servizio.
  
  Vai alla pagina Crea account di servizio
2. Seleziona il progetto che vuoi utilizzare.
3. Nel campo Nome account di servizio, inserisci un nome.
4. (Facoltativo) Nel campo Descrizione account di servizio, inserisci una descrizione.
5. Fai clic su Crea.
6. Fai clic sul campo Seleziona un ruolo. In Tutti i ruoli, seleziona un ruolo Cloud Storage appropriato per l'account di servizio.
7. Fai clic su Fine.
gcloud
Puoi eseguire i comandi seguenti utilizzando Google Cloud CLI sulla tua macchina locale, o in Cloud Shell.
1. Crea il service account. Sostituisci NAME con un nome per l'account di servizio.
  gcloud iam service-accounts create NAME
2. Concedi un ruolo all'account di servizio. Sostituisci PROJECT_ID con il tuo ID progetto e ROLE con il ruolo Cloud Storage appropriato per l'account di servizio.
  gcloud projects add-iam-policy-binding PROJECT_ID --member "serviceAccount:NAME@PROJECT_ID.iam.gserviceaccount.com" --role "roles/ROLE"
Ottieni una chiave per l'account di servizio con cui interagirà e Container Registry.
Console
1. Nella console Google Cloud, vai alla pagina Account di servizio.
  
  Vai alla pagina Account di servizio
2. Fai clic sull'indirizzo email dell'account di servizio che vuoi utilizzare.
3. Fai clic su Chiavi.
4. Fai clic su Aggiungi chiave, quindi su Crea nuova chiave.
5. Fai clic su Crea. Un file JSON contenente le chiavi scaricate in del tuo computer.
  
  Le istruzioni in questa pagina utilizzano il nome file keyfile.json per questo file di chiave.
6. Fai clic su Chiudi.
gcloud
Puoi eseguire questo comando utilizzando Google Cloud CLI sulla tua macchina locale: o in Cloud Shell.

Le istruzioni in questa pagina utilizzano il nome file keyfile.json per la chiave .
```
gcloud iam service-accounts keys create keyfile.json --iam-account [NAME]@[PROJECT_ID].iam.gserviceaccount.com
```
Verifica che le autorizzazioni siano corrette configurato per l'account di servizio. Se utilizzi l'account di servizio Compute Engine, devi configurare correttamente sia le autorizzazioni sia gli ambiti di accesso.
Utilizza la chiave dell'account di servizio come password per l'autenticazione con Docker.
Linux/macOS
```
cat KEY-FILE | docker login -u _json_key --password-stdin \
https://HOSTNAME
```
Windows
```
Get-Content KEY-FILE |
docker login -u _json_key --password-stdin https://HOSTNAME
```
Sostituisci quanto segue:
- KEY-FILE è il nome del file della chiave dell'account di servizio in formato JSON.
- HOSTNAME è gcr.io, us.gcr.io, eu.gcr.io o asia.gcr.io.
Nota: i servizi Google Cloud che forniscono immagini in un sottodominio gcr.io potrebbero richiedere l'autenticazione. Ad esempio, devi autenticarti in marketplace.gcr.io per estrarre le immagini da Google Cloud Marketplace.

Docker è ora autenticato con Container Registry.

Metodi di autenticazione

Prima di iniziare

Linux

Windows

Metodi di autenticazione

Impostazioni di autenticazione nel file di configurazione Docker

gcloud credential helper

Assistente per le credenziali autonomo

Token di accesso

Console

gcloud

Console

gcloud

Linux

Windows

File di chiave JSON

Console

gcloud

Console

gcloud

Linux/macOS

Windows