Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS. Per ulteriori dettagli, consulta la sezione Differenze rispetto a Google Cloud.

Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare l'autenticazione per Helm

Questa pagina descrive come configurare Helm per l'autenticazione con i repository Artifact Registry.

Prima di iniziare

Se non esiste un repository per i tuoi grafici, creane uno nuovo. Scegli Docker come formato del repository.
Installa Google Cloud CLI, quindi accedi a gcloud CLI con la tua identità federata. Dopo aver eseguito l'accesso, inizializza Google Cloud CLI eseguendo il seguente comando:
```
gcloud init
```
Nota:se hai installato gcloud CLI in precedenza, assicurati di avere l'ultima versione eseguendo gcloud components update.
(Facoltativo) Configura le impostazioni predefinite per i comandi Google Cloud CLI.
Installa Helm 3.8.0 o versioni successive. Nelle versioni precedenti di Helm, il supporto dei grafici in formato OCI è una funzionalità sperimentale.

Esegui helm version per verificare la versione.

Scelta di un metodo di autenticazione

Nella maggior parte dei casi, consigliamo di utilizzare un account di servizio per l'autenticazione ad Artifact Registry.

Sono disponibili i seguenti metodi di autenticazione:

Utilizza le credenziali di Artifact Registry configurate per Docker

Per impostazione predefinita, Helm può autenticarsi con le stesse credenziali che utilizzi per Docker.

Token di accesso

credenziali predefinite dell'applicazione forniscono token di accesso di breve durata che un account di servizio utilizza per accedere alle tue risorse Trusted Cloud by S3NS .

File di chiavi JSON

Una coppia di chiavi gestita dall'utente che puoi utilizzare come credenziale per un account di servizio. Poiché le credenziali sono di lunga durata, si tratta dell'opzione meno sicura tra tutti i metodi di autenticazione disponibili.

Se possibile, utilizza un token di accesso per ridurre il rischio di accesso non autorizzato agli artefatti.

Utilizzo della configurazione Docker

Per impostazione predefinita, Helm supporta le impostazioni del registro nel file di configurazione Docker config.json. Helm trova le impostazioni del registro nella posizione predefinita o in quella specificata dalla variabile di ambiente DOCKER_CONFIG.

Se hai configurato Docker con un assistente alle credenziali per l'autenticazione con Artifact Registry, Helm utilizza la configurazione esistente per i repository Docker di Artifact Registry.

Utilizzo di un token di accesso

I token di accesso sono token di breve durata che forniscono l'accesso alle tue risorseTrusted Cloud by S3NS . Poiché il token ha una durata limitata, devi richiederlo meno di un'ora prima di utilizzarlo per connetterti ai repository Artifact Registry.

Trusted Cloud ottiene un token di accesso utilizzando le Credenziali predefinite dell'applicazione.

Per utilizzare un token di accesso:

Crea un service account che agisca per conto della tua applicazione oppure scegli un service account esistente che utilizzi per l'automazione.

Per configurare l'autenticazione con Artifact Registry, devi conoscere la posizione del file delle chiavi del account di servizio. Per gli account esistenti, puoi visualizzare le chiavi e crearne di nuove nella pagina Account di servizio.

Vai alla pagina Service account

Nota :le chiavi dei service account comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle account di servizio account quando è possibile. Se devi eseguire l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte in Best practice per la gestione delle chiavi degli account di servizio. Se non riesci a creare una chiave del account di servizio, la creazione di chiavi del account di servizio potrebbe essere disabilitata per la tua organizzazione. Per saperne di più, consulta Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.
Se hai acquisito la chiave dell'account di servizio da una fonte esterna, devi convalidarla prima dell'utilizzo. Per maggiori informazioni, consulta Requisiti di sicurezza per le credenziali di origine esterna.
Concedi il ruolo Artifact Registry appropriato all'account di servizio per fornire l'accesso al repository.
Assegna la posizione del file della chiave del account di servizio alla variabile GOOGLE_APPLICATION_CREDENTIALS in modo che l'helper delle credenziali di Artifact Registry possa ottenere la chiave quando si connette ai repository.
```
export GOOGLE_APPLICATION_CREDENTIALS=KEY-FILE
```
dove KEY-FILE è il percorso del file di chiave dell'account di servizio.
Ottieni un token di accesso come credenziali quando esegui l'autenticazione su Artifact Registry con Docker.
Linux / macOS
Esegui questo comando:
```
gcloud auth application-default print-access-token | helm registry login -u oauth2accesstoken \
--password-stdin https://LOCATION-docker.s3nsregistry.fr
```
Windows
Esegui questo comando:
```
gcloud auth application-default print-access-token
ya29.8QEQIfY_...

helm registry login -u oauth2accesstoken -p "ya29.8QEQIfY_..." \
https://LOCATION-docker.s3nsregistry.fr
```
Dove
- oauth2accesstoken è il nome utente da utilizzare per l'autenticazione con un token di accesso.
- gcloud auth application-default print-access-token è il comando Google Cloud CLI per ottenere il token di accesso per il account di servizio. Il token di accesso è la password per l'autenticazione.
- LOCATION è la posizione regionale del repository.

Helm ora è autenticato con Artifact Registry.

Utilizzo di un file di chiave JSON

Nota: se possibile, utilizza un token di accesso per ridurre il rischio di accessi non autorizzati ai tuoi artefatti. Le chiavi dei service account rappresentano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle account di servizio account quando è possibile. Se devi eseguire l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte in Best practice per la gestione delle chiavi degli account di servizio. Se non riesci a creare una chiave del account di servizio, la creazione di chiavi del account di servizio potrebbe essere disabilitata per la tua organizzazione. Per saperne di più, consulta Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.

Se hai acquisito la chiave dell'account di servizio da una fonte esterna, devi convalidarla prima dell'utilizzo. Per maggiori informazioni, consulta Requisiti di sicurezza per le credenziali di origine esterna.

Chiunque abbia accesso a una chiave privata valida per un account di servizio potrà accedere alle risorse tramite ilaccount di serviziot. Tieni presente che il ciclo di vita dell'accesso della chiave all'account di servizio (e quindi ai dati a cui l'account di servizio ha accesso) è indipendente dal ciclo di vita dell'utente che ha scaricato la chiave.

Utilizza le seguenti linee guida per limitare l'accesso ai tuoi repository:

Crea service account dedicati che vengono utilizzati solo per interagire con i repository.
Concedi il ruolo Artifact Registry specifico per l'accesso richiesto dalaccount di serviziot. Ad esempio, un account di servizio che scarica solo artefatti richiede solo il ruolo Lettore Artifact Registry.
Configura le autorizzazioni per i service account dedicati su ogni repository anziché a livello di progetto. Puoi quindi specificare l'accesso in base al contesto del repository. Ad esempio, un account di servizio per le build di sviluppo potrebbe avere il ruolo Lettore Artifact Registry per un repository di produzione e il ruolo Writer Artifact Registry per un repository di staging.
Segui le best practice per la gestione delle chiavi degli account di servizio.

Per creare un nuovo account di servizio e una chiave del account di servizio da utilizzare solo con i repository Artifact Registry:

Crea un service account che agisca per conto della tua applicazione oppure scegli un service account esistente che utilizzi per l'automazione.

Per configurare l'autenticazione con Artifact Registry, devi conoscere la posizione del file delle chiavi del account di servizio. Per gli account esistenti, puoi visualizzare le chiavi e crearne di nuove nella pagina Account di servizio.

Vai alla pagina Service account

Nota :le chiavi dei service account comportano un rischio per la sicurezza se non vengono gestite correttamente. Dovresti scegliere un'alternativa più sicura alle account di servizio account quando è possibile. Se devi eseguire l'autenticazione con una chiave dell'account di servizio, sei responsabile della sicurezza della chiave privata e di altre operazioni descritte in Best practice per la gestione delle chiavi degli account di servizio. Se non riesci a creare una chiave del account di servizio, la creazione di chiavi del account di servizio potrebbe essere disabilitata per la tua organizzazione. Per saperne di più, consulta Gestione delle risorse dell'organizzazione sicure per impostazione predefinita.
Se hai acquisito la chiave dell'account di servizio da una fonte esterna, devi convalidarla prima dell'utilizzo. Per maggiori informazioni, consulta Requisiti di sicurezza per le credenziali di origine esterna.
Se vuoi, puoi codificare in base64 tutti i contenuti del file di chiave.
Linux
```
base64 FILE-NAME > NEW-FILE-NAME
```
macOS
```
base64 -i FILE-NAME -o NEW-FILE-NAME
```
Windows
```
Base64.exe -e FILE-NAME > NEW-FILE-NAME
```
dove FILE-NAME è il nome del file della chiave originale e NEW-FILE-NAME è il file della chiave codificato in Base64.
Concedi il ruolo Artifact Registry appropriato all'account di servizio per fornire l'accesso al repository.
Utilizza la chiave dell'account di servizio per l'autenticazione:
Linux / macOS
Esegui questo comando:
```
cat KEY-FILE | helm registry login -u KEY-TYPE --password-stdin \
https://LOCATION-docker.s3nsregistry.fr
```
Windows
Esegui questo comando:
```
helm registry login -u KEY-TYPE --password-stdin https://LOCATION-docker.s3nsregistry.fr < KEY-FILE
```
Dove
- KEY-TYPE è uno dei seguenti:
  - _json_key se utilizzi la chiave dell'account di servizio in formato JSON come è stata fornita al momento della creazione del file.
  - _json_key_base64 se hai codificato in Base64 tutti i contenuti del file.
- KEY-FILE è il nome del file della chiave dell'account di servizio in formato JSON.
- LOCATION è la posizione regionale del repository.

Helm ora è autenticato con Artifact Registry.

Passaggi successivi

Scopri di più sulla gestione dei grafici Helm salvati come immagini

Configurare l'autenticazione per Helm

Prima di iniziare

Scelta di un metodo di autenticazione

Utilizzo della configurazione Docker

Utilizzo di un token di accesso

Linux / macOS

Windows

Utilizzo di un file di chiave JSON

Linux

macOS

Windows

Linux / macOS

Windows

Passaggi successivi