Nesta página, descrevemos como configurar o Docker para autenticar em repositórios Docker do Artifact Registry.
Não é necessário configurar a autenticação para ambientes de execução Trusted Cloud by S3NS como o Google Kubernetes Engine, mas é necessário verificar se as permissões necessárias estão configuradas.Antes de começar
-
Instale a Google Cloud CLI e faça login nela com sua identidade federada. Depois de fazer login, inicialize a Google Cloud CLI executando o seguinte comando:
gcloud init - (Opcional) Configure padrões para comandos da CLI gcloud.
- Verifique se a conta que você está usando para autenticação tem permissão para acessar o Artifact Registry. Recomendamos usar uma conta de serviço em vez de uma conta de usuário.
- Instale o Docker se ele ainda não estiver instalado.
- O Docker requer acesso com privilégios para interagir com registros.
No Linux ou no Windows, adicione o usuário utilizado para executar comandos do Docker
no grupo de segurança do Docker. Esta etapa não é necessária no macOS porque o
Docker Desktop
é executado em uma máquina virtual como o usuário raiz.
Linux
O grupo de segurança do Docker é chamado de
docker. Para adicionar seu nome de usuário, execute o seguinte comando:sudo usermod -a -G docker ${USER}Windows
O grupo de segurança do Docker é chamado de
docker-users. Para adicionar um usuário a partir do prompt de comando do administrador, execute o seguinte comando:net localgroup docker-users DOMAIN\USERNAME /addEm que:
- DOMAIN é seu domínio do Windows.
- USERNAME é seu nome de usuário.
Saia e acesse novamente para a mudança de filiação ao grupo fazer efeito. Se estiver usando uma máquina virtual, talvez seja necessário reiniciar a máquina virtual para a mudança fazer efeito.
Como escolher um método de autenticação
Os seguintes métodos de autenticação estão disponíveis:
- Auxiliar de credenciais da CLI gcloud
- Configure suas credenciais do Artifact Registry para uso com o Docker diretamente naCLI gcloudI. Esse é o método de autenticação mais simples, mas pode ser mais lento do que o auxiliar de credencial independente.
- Auxiliar de credenciais do Docker independente
- Esta opção é usada principalmente para configurar suas credenciais para uso com o Docker sem a Google Cloud CLI. Ele é muito mais rápido do que o auxiliar de credenciais da CLI gcloud e usa as Credenciais padrão do aplicativo (ADC) para encontrar automaticamente as credenciais no seu ambiente.
- Token de acesso
- É possível gerar um token de acesso de curta duração para uma conta de serviço e usar o token para autenticação de senha. Como o token é válido por apenas 60 minutos, ele é uma opção mais segura do que uma chave de conta de serviço.
- Chave da conta de serviço
- Um par de chaves gerenciado pelo usuário que você pode usar como credencial para uma conta de serviço. Como a credencial é longa, é a opção menos segura de todos os métodos de autenticação disponíveis.
Quando possível, use um token de acesso ou um auxiliar de credenciais para reduzir o risco de acesso não autorizado às imagens de contêiner. Se você precisar usar uma chave de conta de serviço, siga as práticas recomendadas para gerenciar as credenciais.
Configurações de autenticação no arquivo de configuração do Docker
O Docker salva as configurações de autenticação no arquivo de configuração config.json.
- Linux:
~/.docker/config.json - Windows:
%USERPROFILE%\.docker\config.json
Há seções separadas no arquivo para diferentes métodos de autenticação:
credHelpers- Se você usar o auxiliar de credenciais do Docker para autenticação, o
Artifact Registry vai armazenar as configurações do auxiliar de credenciais na
seção
credHelpersdo arquivo. auths- Se você usa o Docker para fazer login com um token ou uma chave de conta de serviço como sua
senha, o Docker armazena uma versão codificada em base64 das suas credenciais na
seção
authsdo arquivo. credStore- Se você configurou um
repositório de credenciais
para gerenciar suas credenciais, as configurações do repositório estão na
seção
credStoredo arquivo.
Quando o Docker se conecta a um registro, ele primeiro verifica se há um auxiliar de credenciais
associado ao host. Portanto, se o config.json incluir configurações do Artifact Registry nas seções credHelpers e auths, as configurações na seção auths serão ignoradas.
Auxiliar de credenciais da CLI gcloud
O auxiliar de credencial da CLI gcloud oferece acesso seguro e de curta duração aos recursos do seu projeto. Ele configura o Docker para autenticar em hosts do Artifact Registry em qualquer ambiente em que a Google Cloud CLI esteja instalada.O auxiliar de credencial da CLI gcloud é o método de autenticação mais simples de configurar. Ele configura o Docker com as credenciais do usuário ou da conta de serviço ativa na sua sessão da CLI gcloud. Como esse auxiliar de credenciais depende da CLI gcloud, ele pode ser significativamente mais lento do que o auxiliar de credenciais independente. Para builds automatizados com ferramentas de terceiros ou clientes do Docker com um grande número de hosts de registro configurados, use o auxiliar de credenciais independente.
Para autenticar no Artifact Registry:
Faça login na CLI gcloud como o usuário que vai executar os comandos do Docker.
Para configurar a autenticação com credenciais de usuário, execute o seguinte comando:
gcloud auth loginPara configurar a autenticação com credenciais da conta de serviço, execute o seguinte comando:
gcloud auth activate-service-account ACCOUNT --key-file=KEY-FILEOnde
- ACCOUNT é a conta de serviço que você quer usar com o
Artifact Registry no formato
USERNAME@PROJECT-ID.s3ns-system.iam.gserviceaccount.com. Se você quiser usar uma conta atual, confira uma lista de contas de serviço na página Contas de serviço do console Trusted Cloud ou com o comandogcloud iam service-accounts list. - KEY-FILE é o arquivo de chave da conta de serviço. Consulte a documentação do gerenciamento de identidade e acesso (IAM, na sigla em inglês) para informações sobre como criar uma chave.
- ACCOUNT é a conta de serviço que você quer usar com o
Artifact Registry no formato
Para permitir o uso do auxiliar de credencial, execute o seguinte comando:
gcloud config set artifacts/allow_unrecognized_registry True
Execute este comando:
gcloud auth configure-docker HOSTNAME-LISTEm que HOSTNAME-LIST é uma lista separada por vírgulas de nomes de host de repositório para adicionar à configuração do assistente de credenciais.
O comando mostra a seção
credHelpersda configuração atual do Docker e a configuração atualizada depois de adicionar os nomes de host especificados.Para aceitar as mudanças de configuração, digite
y.Suas credenciais são salvas no diretório inicial do usuário.
- Linux:
$HOME/.docker/config.json - Windows:
%USERPROFILE%/.docker/config.json
- Linux:
O Docker precisa que os auxiliares de credenciais estejam no sistema
PATH. Verifique se o comandogcloudestá no sistemaPATH.
Auxiliar de credenciais independente
O auxiliar de credenciais autônomo do Docker configura o Docker para autenticar no Artifact Registry em um sistema em que a CLI gcloud não está disponível. Ele é muito mais rápido do que o assistente de credenciais da CLI gcloud e usa o Application Default Credentials (ADC) para encontrar automaticamente credenciais no seu ambiente. Para operações que não sejam de envio e extração de imagens, como inclusão de tags ou listagem de imagens. Recomendamos usar esse método de autenticação para builds automatizados com ferramentas de terceiros ou clientes do Docker com um grande número de hosts de registro configurados.
O auxiliar de credenciais independente do Docker busca suas credenciais do Artifact Registry
e as grava no arquivo de configuração do Docker. Dessa forma, você
pode usar a ferramenta de linha de comando do Docker, docker, para interagir diretamente com
o Artifact Registry.
Para usar o auxiliar de credenciais do Docker:
Faça login na máquina como o usuário que executará os comandos do Docker.
Faça o download do auxiliar de credenciais independente do Docker no GitHub.
Opcionalmente, você pode usar o utilitário de linha de comando
curl. Por exemplo:VERSION=2.1.29 OS=linux # or "darwin" for OSX, "windows" for Windows. ARCH=amd64 # or "386" for 32-bit OSs curl -fsSL "https://github.com/GoogleCloudPlatform/docker-credential-gcr/releases/download/v${VERSION}/docker-credential-gcr_${OS}_${ARCH}-${VERSION}.tar.gz" \ | tar xz docker-credential-gcr \ && chmod +x docker-credential-gcr && sudo mv docker-credential-gcr /usr/bin/Configure o Docker para usar as credenciais do Artifact Registry ao interagir com ele. Você só precisa fazer isso uma vez:
docker-credential-gcr configure-docker --registries=HOSTNAME-LISTEm que HOSTNAME-LIST é uma lista separada por vírgulas de nomes de host de repositório para adicionar à configuração do assistente de credenciais.
Consulte a documentação do auxiliar independente de credenciais do Docker no GitHub para mais informações.
Suas credenciais são salvas no diretório inicial do usuário.
- Linux:
$HOME/.docker/config.json - Windows:
%USERPROFILE%/.docker/config.json
- Linux:
O Docker precisa que os auxiliares de credenciais estejam no sistema
PATH. Verifique se o comandodocker-credential-gcrestá no sistemaPATH.Para verificar se o recurso de ajuda de credencial pode recuperar suas credenciais, execute o seguinte comando:
echo "https://HOSTNAME" | docker-credential-gcr getSubstitua HOSTNAME por um nome de host que você adicionou à configuração. Exemplo:
echo "https://u-france-east1-docker.s3nsregistry.fr" | docker-credential-gcr getSe o comando for bem-sucedido, a saída JSON retornada vai incluir um token no campo
Secret. Exemplo:{"ServerURL":"https://u-france-east1-docker.s3nsregistry.fr","Username":"_dcgcr_2_0_0_token","Secret":"ya29..."}
O Docker agora está configurado para autenticar com o Artifact Registry. Para enviar e extrair imagens, verifique se as permissões estão configuradas corretamente.
Token de acesso
É possível gerar um token de acesso OAuth de curta duração para autenticar com o Artifact Registry. Como o token é válido por 60 minutos, solicite-o menos de uma hora antes de usá-lo para se conectar ao Artifact Registry.
Para usar um token de acesso com credenciais de conta de serviço:
Crie uma conta de serviço para agir em nome do seu aplicativo ou escolha uma conta de serviço atual que você usa para automação.
Conceda o papel específico do Artifact Registry à conta de serviço para fornecer acesso ao repositório.
Gere um token de acesso para a conta de serviço e faça a autenticação:
Você precisa ter as permissões no papel Criador de tokens da conta de serviço (
roles/iam.serviceAccountTokenCreator) para representar uma conta de serviço, receber um token para ela e fazer a autenticação como a conta de serviço.Execute o seguinte comando, substituindo ACCOUNT pelo endereço de e-mail da sua conta de serviço e LOCATION pelo local regional do repositório.
Linux
gcloud auth print-access-token \ --impersonate-service-account ACCOUNT | docker login \ -u oauth2accesstoken \ --password-stdin https://LOCATION-docker.s3nsregistry.frWindows
gcloud auth print-access-token --impersonate-service-account ACCOUNT | docker login -u oauth2accesstoken --password-stdin https://LOCATION-docker.s3nsregistry.fr
O Docker agora está autenticado com o Artifact Registry.
Chave da conta de serviço
Qualquer pessoa que tenha acesso a uma chave privada válida para uma conta de serviço poderá acessar recursos por meio da conta de serviço. O ciclo de vida do acesso da chave à conta de serviço (e, portanto, os dados a que a conta de serviço tem acesso) independe do ciclo de vida do usuário que fez o download da chave.
Use as seguintes diretrizes para limitar o acesso aos seus repositórios:
- Crie contas de serviço dedicadas que são usadas apenas para interagir com os repositórios.
- Conceda o papel específico do Artifact Registry para o acesso exigido pela conta de serviço. Por exemplo, uma conta de serviço que faz o download apenas de artefatos requer apenas o papel de Leitor do Artifact Registry.
- Configure as permissões para suas contas de serviço dedicadas em cada repositório, e não no nível do projeto. É possível especificar o acesso com base no contexto do repositório. Por exemplo, uma conta de serviço para versões de desenvolvimento pode ter o papel de leitor do Artifact Registry para um repositório de produção e o papel de gravador do Artifact Registry para um repositório de preparo.
- Siga as práticas recomendadas para gerenciar as credenciais.
Para criar uma nova conta de serviço e uma chave de conta de serviço para uso apenas com repositórios do Container Registry:
Crie uma conta de serviço para agir em nome do seu aplicativo ou escolha uma conta de serviço atual que você usa para automação.
Você precisará do local do arquivo de chave da conta de serviço para configurar a autenticação com o Artifact Registry. Para contas existentes, é possível ver as chaves e criar novas chaves na página "Contas de serviço".
Opcionalmente, você pode codificar todo o conteúdo do arquivo de chave em base64.
Linux
base64 FILE-NAME > NEW-FILE-NAMEmacOS
base64 -i FILE-NAME -o NEW-FILE-NAMEWindows
Base64.exe -e FILE-NAME > NEW-FILE-NAMEEm que FILE-NAME é o nome do arquivo de chave original, e NEW-FILE-NAME é o arquivo de chave codificado em base64.
Verifique se as permissões estão configuradas corretamente para a conta de serviço. Se você estiver usando a conta de serviço do Compute Engine, precisará configurar corretamente as permissões e os escopos de acesso.
Use a chave da conta de serviço para configurar a integração com o Docker:
Execute este comando:
Linux/macOS
cat KEY-FILE | docker login -u KEY-TYPE --password-stdin \ https://LOCATION-docker.s3nsregistry.frWindows
Get-Content KEY-FILE | docker login -u KEY-TYPE --password-stdin https://LOCATION-docker.s3nsregistry.frSubstitua:
- KEY-TYPE é um dos seguintes:
_json_keyse você estiver usando a chave da conta de serviço no formato JSON, conforme fornecido ao criar o arquivo._json_key_base64se você codificou todo o conteúdo do arquivo em base64.
- KEY-FILE é o nome do arquivo de chave da conta de serviço no formato JSON.
- LOCATION é o local regional do repositório em que a imagem está armazenada.
- KEY-TYPE é um dos seguintes:
O Docker agora está autenticado com o Artifact Registry.