Authentifizierung bei Artifact Registry für npm konfigurieren

Sie müssen sich bei Artifact Registry authentifizieren, wenn Sie eine Drittanbieteranwendung für die Verbindung mit einem Repository verwenden.

Sie müssen die Authentifizierung für Cloud Build oder Google Cloud Laufzeitumgebungen wie Google Kubernetes Engine und Cloud Run nicht konfigurieren. Sie sollten jedoch prüfen, ob die erforderlichen Berechtigungen konfiguriert sind.

Hinweis

  1. Install the Google Cloud CLI, then initialize it by running the following command:

    gcloud init
  2. Optional: Konfigurieren Sie die Standardeinstellungen für gcloud-Befehle.
  3. Wenn Sie von Windows eine Verbindung zu Repositories herstellen, installieren Sie PowerShell.
  4. Erstellen Sie ein Dienstkonto, das im Namen Ihrer Anwendung agiert.
  5. Wenn Sie npm noch nicht kennen, lesen Sie die Übersicht, um mehr über Paketumfang und die Konfigurationsdatei für Ihre Authentifizierungseinstellungen zu erfahren.

Übersicht

Artifact Registry unterstützt die folgenden Authentifizierungsmethoden.

Anmeldedaten-Hilfsprogramm verwenden
Diese Option bietet die größte Flexibilität. Wenn Sie den Hilfsprogramm in die npm-Konfiguration aufnehmen, sucht Artifact Registry nach den Anmeldedaten des Dienstkontos in der Umgebung.
Dienstkontoschlüssel als Anmeldedaten angeben
Verwenden Sie diese Option, wenn eine Anwendung die Standardanmeldedaten für Anwendungen nicht unterstützt, jedoch die Authentifizierung mit einem Nutzernamen und Passwort unterstützt.

Mit Credential Helper authentifizieren

google-artifactregistry-auth ist eine Clientbibliothek, die Anmeldedaten für Artifact Registry-Repositories abrufen kann.

Artifact Registry sucht in der folgenden Reihenfolge nach Anmeldedaten:

  1. Standardanmeldedaten für Anwendungen (ADC), eine Strategie, die in der folgenden Reihenfolge nach Anmeldedaten sucht:

    1. In der Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS definierte Anmeldedaten.

    2. Anmeldedaten, die das Standarddienstkonto für Compute Engine, Google Kubernetes Engine, Cloud Run, App Engine oder Cloud Run-Funktionen bietet.

  2. Von der Google Cloud CLI bereitgestellte Anmeldedaten, einschließlich Nutzeranmeldedaten aus dem Befehl gcloud auth application-default login.

Mit der Variablen GOOGLE_APPLICATION_CREDENTIALS wird das Konto für die Authentifizierung explizit angegeben, was die Fehlerbehebung erleichtert. Wenn Sie die Variable nicht verwenden, prüfen Sie, ob alle Konten, die ADC möglicherweise verwendet, die erforderlichen Berechtigungen haben. Das Standarddienstkonto für Compute Engine-VMs, Google Kubernetes Engine-Knoten und Cloud Run-Versionen hat beispielsweise Lesezugriff auf Repositories. Wenn Sie aus diesen Umgebungen mit dem Standarddienstkonto hochladen möchten, müssen Sie die Berechtigungen ändern.

So erstellen Sie ein Dienstkonto und legen die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS fest:

  1. Erstellen Sie ein Dienstkonto, das für Ihre Anwendung agiert, oder wählen Sie ein vorhandenes Dienstkonto für die CI-/CD-Automatisierung aus.

  2. Weisen Sie dem Dienstkonto die Rolle Artifact Registry zu, um den Zugriff auf das Repository zu ermöglichen.

  3. Weisen Sie der Variablen GOOGLE_APPLICATION_CREDENTIALS den Speicherort des Dienstkontoschlüssels zu, damit die Artifact Registry-Credential Helper Ihren Schlüssel beim Herstellen einer Verbindung zu Repositories abrufen können.

    export GOOGLE_APPLICATION_CREDENTIALS=KEY-FILE
    

    Dabei ist KEY-FILE der Pfad zur Schlüsseldatei des Dienstkontos.

So konfigurieren Sie die Authentifizierung:

  1. Führen Sie den folgenden Befehl aus, um die Repository-Konfiguration zu drucken:

    gcloud artifacts print-settings npm [--project=PROJECT] \
        [--repository=REPOSITORY] \
        [--location=LOCATION] \
        --scope=@SCOPE-NAME \
    

    Dabei gilt:

    • PROJECT ist die Projekt-ID. Wenn dieses Flag nicht angegeben ist, wird das aktuelle Projekt oder das Standardprojekt verwendet.
    • REPOSITORY ist die ID des Repositorys. Wenn Sie ein Standard-Artifact Registry-Repository konfiguriert haben, wird es verwendet, wenn dieses Flag im Befehl ausgelassen wird.
    • LOCATION ist der regionale oder multiregionale Standort für das Repository.
    • SCOPE-NAME ist der Name des npm-Bereichs, der dem Repository zugeordnet werden soll.

      Durch die Verwendung von Bereichen können Sie Pakete immer aus dem richtigen Repository veröffentlichen und installieren.

      Pakete ohne Umfang sind Ihrer Standard-npm-Registry zugeordnet, in der Regel der öffentlichen npm-Registry. Wenn Sie keinen Bereich angeben, wird in der zurückgegebenen Konfiguration Ihr Artifact Registry-Repository als Standard-Registry festgelegt. Das kann zu Problemen führen, wenn in Ihren Node.js-Projekten Pakete sowohl aus der öffentlichen npm-Registry als auch aus Ihrem Artifact Registry-Repository installiert werden müssen.

  2. Fügen Sie die zurückgegebenen Konfigurationseinstellungen der .npmrc-Konfigurationsdatei in Ihren Node.js-Projekten hinzu. Diese Datei befindet sich in der Regel im selben Verzeichnis wie package.json.

    Fügen Sie diese Einstellungen in Node.js-Projekten für von Ihnen veröffentlichte Pakete sowie in Projekten ein, in denen Abhängigkeiten aus Ihrem npm-Repository installiert werden.

  3. Wenn Sie weitere Node.js-Repositories für die Verbindung verwenden möchten, wiederholen Sie die vorherigen Schritte, um die Einstellungen abzurufen und sie den entsprechenden .npmrc-Dateien hinzuzufügen.

  4. Wenn Sie eine Verbindung zu einem Repository herstellen möchten, holen Sie sich ein Zugriffstoken für die Authentifizierung.

Jedes Node.js-Paket-Repository in Artifact Registry ist mit einem Registry-Endpunkt https://LOCATION-npm.pkg.dev/PROJECT/REPOSITORY verknüpft.

Wenn Sie keinen Bereich mit dem Befehl print-settings angegeben haben, können Sie den folgenden Befehl ausführen, um einen Bereich mit einem Artifact Registry-Repository zu verknüpfen.

npm config set @SCOPE_NAME:registry https://LOCATION-npm.pkg.dev/PROJECT/REPOSITORY/

Zugriffstoken abrufen

Zugriffstokens sind 60 Minuten lang gültig. Generieren Sie ein Zugriffstoken kurz vor dem Ausführen von Befehlen, die mit Repositories interagieren.

So erhalten Sie ein Token:

  • Verwenden Sie den Befehl npx, um das Zugriffstoken zu aktualisieren.

    1. Die Anmeldedaten für die Verbindung zur öffentlichen npm-Registry befinden sich in der npm-Konfigurationsdatei des Nutzers ~/.npmrc.

    2. Führen Sie den folgenden Befehl im Verzeichnis Ihres Node.js-Projekts aus.

      npx google-artifactregistry-auth
      

      Wenn Ihr Artifact Registry-Repository als globale Registry festgelegt ist und Ihre Pakete keinen Bereich haben, verwenden Sie stattdessen den folgenden Befehl, damit der Befehl den Anmeldedaten-Hilfsprogramm aus der öffentlichen npm-Registry anstelle Ihres Artifact Registry-Repositories herunterladen kann.

      npm_config_registry=https://registry.npmjs.org npx google-artifactregistry-auth
      
  • Fügen Sie der Datei package.json in Ihrem Projekt ein Skript hinzu.

    "scripts": {
     "artifactregistry-login": "npx google-artifactregistry-auth"
    }
    

    Führen Sie das Script in Ihrem Node.js-Projektverzeichnis aus.

    npm run artifactregistry-login
    

Artifact Registry liest die Repository-Einstellungen der Artifact Registry in der .npmrc-Datei Ihres Projekts und fügt Ihrer Nutzer.npmrc-Datei Token-Anmeldedaten hinzu. Wenn Sie das Token in der .npmrc-Datei des Nutzers speichern, werden Ihre Anmeldedaten von Ihrem Quellcode und Ihrem Versionskontrollsystem getrennt.

  • --repo-config ist die .npmrc-Datei mit Ihren Repository-Einstellungen. Wenn Sie dieses Flag nicht angeben, ist der Standardspeicherort das aktuelle Verzeichnis.
  • --credential-config ist der Pfad zur Datei .npmrc, in die Sie das Zugriffstoken schreiben möchten. Standardmäßig ist das die .npmrc-Datei des Nutzers.

Passwortauthentifizierung konfigurieren

Verwenden Sie diesen Ansatz, wenn Ihre Node.js-Anwendung eine Authentifizierung mit einem angegebenen Nutzernamen und Passwort erfordert.

Dienstkontoschlüssel sind langlebige Anmeldedaten. Verwenden Sie die folgenden Richtlinien, um den Zugriff auf Ihre Repositories einzuschränken:

  • Verwenden Sie ein dediziertes Dienstkonto für die Interaktion mit Repositories.
  • Erteilen Sie die vom Dienstkonto erforderliche Artifact Registry-Mindestrolle. Weisen Sie z. B. Artifact Registry-Reader einem Dienstkonto zu, das nur Artefakte herunterlädt.
  • Wenn Gruppen in Ihrer Organisation verschiedene Zugriffsebenen für bestimmte Repositories benötigen, erteilen Sie den Zugriff auf Repository-Ebene und nicht auf Projektebene.
  • Folgen Sie den Best Practices für die Verwaltung von Anmeldedaten.

So erstellen Sie ein Dienstkonto und konfigurieren die Authentifizierung:

  1. Erstellen Sie ein Dienstkonto, das im Namen Ihrer Anwendung agieren soll, oder wählen Sie ein vorhandenes Dienstkonto für die Automatisierung aus.

    Sie benötigen den Speicherort der Dienstkonto-Schlüsseldatei, um damit die Authentifizierung bei Artifact Registry einzurichten. Auf der Seite „Dienstkonten“ können Sie die Schlüssel vorhandener Konten aufrufen und neue Schlüssel erstellen.

    Zur Seite „Dienstkonten“

  2. Weisen Sie dem Dienstkonto die Rolle Artifact Registry zu, um den Zugriff auf das Repository zu ermöglichen.

  3. Wenn Sie das Dienstkonto in der aktuellen gcloud-Befehlszeilensitzung aktivieren möchten, führen Sie den folgenden Befehl aus:

    gcloud auth activate-service-account ACCOUNT --key-file=KEY-FILE
    

    Dabei gilt:

    • ACCOUNT ist das Nutzer- oder Dienstkonto.
    • KEY-FILE ist der Pfad zur JSON-Schlüsseldatei des Dienstkontos.
  4. Führen Sie den folgenden Befehl aus, um die Repository-Konfiguration zu drucken:

    gcloud artifacts print-settings npm [--project=PROJECT] \
    [--repository=REPOSITORY] [--location=LOCATION] --scope=@SCOPE-NAME --json-key=KEY-FILE
    

    Dabei gilt:

    • PROJECT ist die Projekt-ID. Wenn dieses Flag nicht angegeben ist, wird das aktuelle Projekt oder das Standardprojekt verwendet.
    • REPOSITORY ist die ID des Repositorys. Wenn Sie ein Standard-Artifact Registry-Repository konfiguriert haben, wird es verwendet, wenn dieses Flag im Befehl ausgelassen wird.
    • LOCATION ist der regionale oder multiregionale Standort für das Repository.
    • SCOPE-NAME ist der Name des npm-Bereichs, der dem Repository zugeordnet werden soll.

      Durch die Verwendung von Bereichen können Sie Pakete immer aus dem richtigen Repository veröffentlichen und installieren.

      Pakete ohne Umfang sind Ihrer Standard-npm-Registry zugeordnet, in der Regel der öffentlichen npm-Registry. Wenn Sie keinen Bereich angeben, wird in der zurückgegebenen Konfiguration Ihr Artifact Registry-Repository als Standard-Registry festgelegt. Das kann zu Problemen führen, wenn in Ihren Node.js-Projekten Pakete sowohl aus der öffentlichen npm-Registry als auch aus Ihrem Artifact Registry-Repository installiert werden müssen.

    • KEY-FILE ist der Pfad zur JSON-Schlüsseldatei des Dienstkontos.

  5. Fügen Sie die zurückgegebenen Konfigurationseinstellungen der .npmrc-Konfigurationsdatei in Ihren Node.js-Projekten hinzu. Diese Datei befindet sich in der Regel im selben Verzeichnis wie package.json. Fügen Sie diese Einstellungen in Node.js-Projekten für von Ihnen veröffentlichte Pakete sowie in Projekten ein, in denen Abhängigkeiten aus Ihrem npm-Repository installiert werden.

  6. Wenn Sie weitere Node.js-Repositories für die Verbindung verwenden möchten, wiederholen Sie die vorherigen Schritte, um die Einstellungen abzurufen und sie der Datei .npmrc hinzuzufügen.

Nächste Schritte