Аутентифицироваться в Container Registry

Перед началом работы с Container Registry необходимо настроить Docker и аутентифицироваться для соответствующего интерфейса:

• Для Консоли управления минимально необходимая роль на каталог — viewer.
• Для Docker CLI или Yandex Managed Service for Kubernetes минимально необходимая роль на реестр или репозиторий — container-registry.images.puller.

Назначьте нужную роль пользователю Yandex Cloud. Ознакомьтесь со способами аутентификации и выберите подходящий.

Подробнее про роли читайте в разделе Управление доступом в Container Registry.

Способы аутентификацииСпособы аутентификации

Вы можете аутентифицироваться:

• Как пользователь:

  • С помощью OAuth-токена (срок жизни — год).
  • С помощью IAM-токена (срок жизни — не более 12 часов).

• С помощью хранилища учетных данных Docker Credential helper.

Аутентифицироваться как пользовательАутентифицироваться как пользователь

При выполнении команды вы можете получить сообщение об ошибке: docker login is not supported with yc credential helper.

В этом случае отключите Docker Credential helper. Подробнее см. в разделе Решение проблем в Container Registry.

Аутентифицироваться с помощью Docker Credential helperАутентифицироваться с помощью Docker Credential helper

Docker Engine может хранить учетные данные пользователя во внешнем хранилище. Это безопаснее, чем хранить их в конфигурационном файле Docker. Чтобы использовать хранилище учетных данных, необходима внешняя программа — Docker Credential helper.

В состав Yandex Cloud CLI входит утилита docker-credential-yc, которая выступает в роли Docker Credential helper для Yandex Cloud. Она хранит учетные данные пользователя и позволяет работать с приватными реестрами Yandex Cloud, не выполняя команду docker login.

Настройка Credential helperНастройка Credential helper

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

1. Сконфигурируйте Docker для использования docker-credential-yc:

   yc container registry configure-docker
   

   Результат:

   Credential helper is configured in '/home/<user>/.docker/config.json'
   

   Настройки сохраняются в профиле текущего пользователя.

   Важно

   Credential helper работает только при использовании Docker без sudo. О том, как настроить запуск Docker от имени текущего пользователя без использования sudo читайте в официальной документации.

2. Проверьте, что Docker сконфигурирован.

   В конфигурационном файле ${HOME}/.docker/config.json должна появиться строка:

   "cr.yandex": "yc"
   

3. Docker готов к использованию, например, для загрузки Docker-образов.

Дополнительные опции Credential helperДополнительные опции Credential helper

Использовать Credential helper для другого профиля Yandex Cloud CLIИспользовать Credential helper для другого профиля Yandex Cloud CLI

Вы можете использовать Credential helper для другого профиля, не переключая текущий, с помощью команды:

yc container registry configure-docker --profile <имя_профиля>

Подробнее об управлении профилями читайте в пошаговых инструкциях Yandex Cloud CLI.

Не использовать Credential helperНе использовать Credential helper

Чтобы не использовать Credential helper при аутентификации, удалите в конфигурационном файле ${HOME}/.docker/config.json из блока credHelpers строку домена cr.yandex.