我不使用不会过期的服务帐户 json 密钥，我在任何地方都使用环境信用和 OIDC，因此我无法为 AR 生成和使用 json 密钥。

我想在我的 Dockerfile 中进行 pip 安装来安装我的私有 AR 包。

做这样的事情是有效的：

# Passing in a non expiring key
docker build -f "Dockerfile" \
    --secret id=gcp_creds,src="gsa_key.json" .

##### IN DOCKERFILE
# I dont want to generate json keys like this
ENV GOOGLE_APPLICATION_CREDENTIALS=/run/secrets/gcp_creds

RUN pip install keyring keyrings.google-artifactregistry-auth 
COPY requirements.txt requirements.txt
RUN --mount=type=secret,id=gcp_creds \
    --mount=type=cache,target=target=/root/.cache \
    pip install -r requirements.txt

keyrings.google-artifactregistry-auth 是否以某种方式支持令牌？

这不起作用，例如：

# GSA is active through ambient creds or impersonation
gcloud auth print-access-token > /tmp/token.json
# also tried: gcloud config config-helper --format="json(credential)" > /tmp/token.json

docker build -f "Dockerfile" \
    --secret id=gcp_creds,src="/tmp/token.json" .

我想避免采取诸如在容器外部构建并复制图像中构建的工件之类的做法。我想在 dockerfile 中进行构建。

编辑

因此，我使用 GCP 提供的 GH 操作工具来完成此操作，因此我知道可以以密钥环可接受的格式生成临时令牌。我仍然想知道如何使用 gcloud cli 在其他场景中执行此操作。

使用上面的 dockerfile 和这些 GH 操作步骤，我可以通过 OIDC 进行身份验证并生成 pip 密钥环提供商接受的信用文件：

- id: 'auth'
  name: 'auth to gcp'
  uses: 'google-github-actions/auth@v2'
  with:
    token_format: 'access_token'
    workload_identity_provider: 'projects/xxxxx/locations/global/workloadIdentityPools/github/providers/github'
    service_account: xxxxxxxx

- name: Set up Docker Buildx
  uses: docker/setup-buildx-action@v3

- uses: docker/build-push-action@v6
  with:
    push: false
    context: '.'
    file: 'Dockerfile'
    tags: myimage:mytag
    load: true
    cache-from: type=gha,scope=localbuild
    cache-to: type=gha,mode=max,scope=localbuild
    secret-files: |
      gcp_creds=${{steps.auth.outputs.credentials_file_path}}