Keyrings.google-artifactregistry.auth для репозитория Python AR без ключа json сервисной учетной записи ⇐ Python

[Anonymous]

Я не использую json-ключи сервисного аккаунта с неограниченным сроком действия. Я везде использую окружающие кредиты и OIDC, поэтому не могу генерировать и использовать json-ключи для AR.
Я хочу это сделать pip устанавливается в мои файлы Dockerfile для установки моих частных пакетов AR.
Что-то вроде этого работает:

Код: Выделить всё

# Passing in a non expiring key
docker build -f "Dockerfile" \
--secret id=gcp_creds,src="gsa_key.json" .

##### IN DOCKERFILE
# I dont want to generate json keys like this
ENV GOOGLE_APPLICATION_CREDENTIALS=/run/secrets/gcp_creds

RUN pip install keyring keyrings.google-artifactregistry-auth
COPY requirements.txt requirements.txt
RUN --mount=type=secret,id=gcp_creds \
--mount=type=cache,target=target=/root/.cache \
pip install -r requirements.txt

Поддерживает ли keyrings.google-artifactregistry-auth токены каким-либо образом?
Это, например, не сработало:

Код: Выделить всё

# GSA is active through ambient creds or impersonation
gcloud auth print-access-token > /tmp/token.json
docker build -f "Dockerfile" \
--secret id=gcp_creds,src="/tmp/token.json" .

Я бы не хотел прибегать к чему-то вроде сборки вне контейнера и копирования построенных артефактов в образ. Я хочу выполнить сборку внутри файла docker.

Подробнее здесь: https://stackoverflow.com/questions/792 ... vice-accou