Diese Seite wurde von der Cloud Translation API übersetzt.

Authentifizierung bei Artifact Registry für npm konfigurieren

Sie müssen sich bei Artifact Registry authentifizieren, wenn Sie eine Drittanbieteranwendung für die Verbindung mit einem Repository verwenden.

Für Cloud Build- oder Google Cloud-Laufzeitumgebungen wie Google Kubernetes Engine und Cloud Run müssen Sie die Authentifizierung nicht konfigurieren. Sie sollten jedoch prüfen, ob die erforderlichen Berechtigungen konfiguriert sind.

Hinweise

Installieren Sie die Google Cloud CLI und initialisieren Sie sie mit folgendem Befehl:
```
gcloud init
```
Hinweis: Wenn Sie die gcloud CLI zuvor installiert haben, prüfen Sie, ob Sie die neueste Version haben, indem Sie gcloud components update ausführen.
(Optional) Konfigurieren Sie Standardeinstellungen für gcloud CLI-Befehle.
Wenn Sie eine Verbindung zu Repositories aus Windows herstellen, installieren Sie PowerShell.
Erstellen Sie ein Dienstkonto, das im Namen Ihrer Anwendung agiert.
Wenn Sie npm noch nicht kennen, lesen Sie die Übersicht, um mehr über Paketumfang und die Konfigurationsdatei für Ihre Authentifizierungseinstellungen zu erfahren.

Überblick

Artifact Registry unterstützt die folgenden Authentifizierungsmethoden.

Credential Helper verwenden: Diese Option bietet die größte Flexibilität. Wenn Sie den Hilfsprogramm in die npm-Konfiguration aufnehmen, sucht Artifact Registry nach den Anmeldedaten des Dienstkontos in der Umgebung.
Dienstkontoschlüssel als Anmeldedaten angeben: Verwenden Sie diese Option, wenn eine Anwendung keine Standardanmeldedaten für Anwendungen, aber die Authentifizierung mit einem Nutzernamen und einem Passwort unterstützt.

Mit Credential Helper authentifizieren

google-artifactregistry-auth ist eine Clientbibliothek, die Anmeldedaten für Artifact Registry-Repositories abruft.

Artifact Registry sucht in der folgenden Reihenfolge nach Anmeldedaten:

Standardanmeldedaten für Anwendungen (ADC), eine Strategie, die in der folgenden Reihenfolge nach Anmeldedaten sucht:
1. In der Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS definierte Anmeldedaten.
2. Anmeldedaten, die das Standarddienstkonto für Compute Engine, Google Kubernetes Engine, Cloud Run, App Engine oder Cloud Functions bietet.
Von der Google Cloud CLI bereitgestellte Anmeldedaten, einschließlich Nutzeranmeldedaten vom Befehl gcloud auth application-default login.

Die Variable GOOGLE_APPLICATION_CREDENTIALS macht das Konto für die Authentifizierung explizit, was die Fehlerbehebung vereinfacht. Wenn Sie die Variable nicht verwenden, prüfen Sie, ob alle von ADC verwendeten Konten die erforderlichen Berechtigungen haben. Beispielsweise hat das Standarddienstkonto für Compute Engine-VMs, Google Kubernetes Engine-Knoten und Cloud Run-Überarbeitungen Lesezugriff auf Repositories. Wenn Sie Inhalte aus diesen Umgebungen mit dem Standarddienstkonto hochladen möchten, müssen Sie die Berechtigungen ändern.

So erstellen Sie ein Dienstkonto und legen die Umgebungsvariable GOOGLE_APPLICATION_CREDENTIALS fest:

Erstellen Sie ein Dienstkonto, das für Ihre Anwendung agiert, oder wählen Sie ein vorhandenes Dienstkonto für die CI-/CD-Automatisierung aus.
Weisen Sie dem Dienstkonto die jeweilige Artifact Registry-Rolle zu, um Zugriff auf das Repository zu gewähren.
Weisen Sie der Variablen GOOGLE_APPLICATION_CREDENTIALS den Speicherort des Dienstkontoschlüssels zu, damit die Artifact Registry-Credential Helper Ihren Schlüssel beim Herstellen einer Verbindung zu Repositories abrufen können.
```
export GOOGLE_APPLICATION_CREDENTIALS=KEY-FILE
```
Dabei ist KEY-FILE der Pfad zur Schlüsseldatei des Dienstkontos.

So konfigurieren Sie die Authentifizierung:

Führen Sie den folgenden Befehl aus, um die Repository-Konfiguration auszugeben:
```
gcloud artifacts print-settings npm [--project=PROJECT] \
    [--repository=REPOSITORY] \
    [--location=LOCATION] \
    --scope=@SCOPE-NAME \
```
Wo
- PROJECT ist die Projekt-ID. Wenn dieses Flag nicht angegeben ist, wird das aktuelle Projekt oder das Standardprojekt verwendet.
- REPOSITORY ist die ID des Repositorys. Wenn Sie ein Standard-Artifact Registry-Repository konfiguriert haben, wird es verwendet, wenn dieses Flag im Befehl ausgelassen wird.
- LOCATION ist der regionale oder multiregionale Standort für das Repository.
- SCOPE-NAME ist der Name des npm-Bereichs, der dem Repository zugeordnet werden soll.
  
  Durch die Verwendung von Bereichen wird sichergestellt, dass Sie Pakete immer aus dem richtigen Repository veröffentlichen und installieren.
  
  Pakete ohne Umfang sind mit Ihrer standardmäßigen npm-Registry verknüpft, in der Regel der öffentlichen npm-Registry. Wenn Sie keinen Bereich angeben, wird Ihr Artifact Registry-Repository in der zurückgegebenen Konfiguration als Standard-Registry festgelegt. Dies kann zu Problemen führen, wenn Ihre Node.js-Projekte Pakete sowohl aus der öffentlichen npm-Registry als auch aus Ihrem Artifact Registry-Repository installieren müssen.
Fügen Sie die zurückgegebenen Konfigurationseinstellungen in die Konfigurationsdatei .npmrc in Ihren Node.js-Projekten ein. Diese Datei befindet sich normalerweise im selben Verzeichnis wie package.json.

Nehmen Sie diese Einstellungen in Node.js-Projekte für Pakete, die Sie veröffentlichen, sowie für Projekte auf, die Abhängigkeiten aus Ihrem npm-Repository installieren.
Wenn Sie eine Verbindung zu anderen Node.js-Repositories herstellen möchten, wiederholen Sie die vorherigen Schritte, um die Einstellungen abzurufen und sie den entsprechenden .npmrc-Dateien hinzuzufügen.
Wenn Sie bereit sind, eine Verbindung zu einem Repository herzustellen, rufen Sie ein Zugriffstoken für die Authentifizierung ab.

Jedes Node.js-Paket-Repository für Artifact Registry ist einem Registry-Endpunkt https://LOCATION-npm.pkg.dev/PROJECT/REPOSITORY zugeordnet.

Wenn Sie mit dem Befehl print-settings keinen Bereich angegeben haben, können Sie den folgenden Befehl ausführen, um einen Bereich mit einem Artifact Registry-Repository zu verknüpfen.

npm config set @SCOPE_NAME:registry https://LOCATION-npm.pkg.dev/PROJECT/REPOSITORY/

Zugriffstoken abrufen

Zugriffstokens sind 60 Minuten lang gültig. Generieren Sie kurz vor dem Ausführen von Befehlen, die mit Repositories interagieren, ein Zugriffstoken.

Verwenden Sie eine der folgenden Optionen, um ein Token zu erhalten:

Aktualisieren Sie das Zugriffstoken mit dem Befehl npx.
1. Die Anmeldedaten für die Verbindung zur öffentlichen npm-Registry befinden sich in der npm-Konfigurationsdatei des Nutzers ~/.npmrc.
2. Führen Sie den folgenden Befehl in Ihrem Node.js-Projektverzeichnis aus.
```
npx google-artifactregistry-auth
```
  Wenn Ihr Artifact Registry-Repository als globale Registry festgelegt ist und Ihre Pakete nicht auf einen bestimmten Bereich beschränkt sind, verwenden Sie stattdessen den folgenden Befehl, damit der Befehl Credential Helper aus der öffentlichen npm-Registry anstelle Ihres Artifact Registry-Repositorys herunterladen kann.
```
npm_config_registry=https://registry.npmjs.org npx google-artifactregistry-auth
```
Fügen Sie der Datei package.json in Ihrem Projekt ein Skript hinzu.
```
"scripts": {
 "artifactregistry-login": "npx google-artifactregistry-auth"
}
```
Führen Sie das Skript in Ihrem Node.js-Projektverzeichnis aus.
```
npm run artifactregistry-login
```

Artifact Registry liest die Artifact Registry-Repository-Einstellungen in der .npmrc-Projektdatei und verwendet sie, um der Nutzerdatei .npmrc Token-Anmeldedaten hinzuzufügen. Durch das Speichern des Tokens in der Nutzerdatei .npmrc werden Ihre Anmeldedaten vom Quellcode und vom Versionsverwaltungssystem isoliert.

--repo-config ist die Datei .npmrc mit Ihren Repository-Einstellungen. Wenn Sie dieses Flag nicht angeben, wird das aktuelle Verzeichnis als Standardspeicherort verwendet.
--credential-config ist der Pfad zur Datei .npmrc, in die Sie das Zugriffstoken schreiben möchten. Der Standardwert ist die .npmrc-Nutzerdatei.

Passwortauthentifizierung konfigurieren

Verwenden Sie diesen Ansatz, wenn Ihre Node.js-Anwendung eine Authentifizierung mit einem angegebenen Nutzernamen und Passwort erfordert.

Dienstkontoschlüssel sind langlebige Anmeldedaten. Verwenden Sie die folgenden Richtlinien, um den Zugriff auf Ihre Repositories einzuschränken:

Verwenden Sie ein dediziertes Dienstkonto für die Interaktion mit Repositories.
Erteilen Sie die vom Dienstkonto erforderliche Artifact Registry-Mindestrolle. Weisen Sie z. B. Artifact Registry-Reader einem Dienstkonto zu, das nur Artefakte herunterlädt.
Wenn Gruppen in Ihrer Organisation verschiedene Zugriffsebenen für bestimmte Repositories benötigen, erteilen Sie den Zugriff auf Repository-Ebene und nicht auf Projektebene.
Folgen Sie den Best Practices für die Verwaltung von Anmeldedaten.

So erstellen Sie ein Dienstkonto und konfigurieren die Authentifizierung:

Erstellen Sie ein Dienstkonto, das im Namen Ihrer Anwendung agieren soll, oder wählen Sie ein vorhandenes Dienstkonto für die Automatisierung aus.

Sie benötigen den Speicherort der Dienstkonto-Schlüsseldatei, um damit die Authentifizierung bei Artifact Registry einzurichten. Auf der Seite „Dienstkonten“ können Sie die Schlüssel vorhandener Konten aufrufen und neue Schlüssel erstellen.

Zur Seite „Dienstkonten“

Hinweis: Dienstkontoschlüssel stellen ein Sicherheitsrisiko dar, wenn sie nicht ordnungsgemäß verwaltet werden. Sie sollten nach Möglichkeit eine sicherere Alternative zu Dienstkontoschlüsseln auswählen. Wenn Sie sich mit einem Schlüssel für ein Dienstkonto authentifizieren müssen, sind Sie für die Sicherheit des privaten Schlüssels und für andere Vorgänge verantwortlich, die unter Best Practices für die Verwaltung von Dienstkontoschlüsseln beschrieben sind. Wenn Sie keinen Dienstkontoschlüssel erstellen können, wird das Erstellen von Dienstkontoschlüsseln für Ihre Organisation möglicherweise deaktiviert. Weitere Informationen finden Sie unter Standardmäßig sichere Organisationsressourcen verwalten.
Weisen Sie dem Dienstkonto die jeweilige Artifact Registry-Rolle zu, um Zugriff auf das Repository zu gewähren.
Wenn Sie das Dienstkonto in der aktuellen gcloud CLI-Sitzung aktivieren möchten, führen Sie den folgenden Befehl aus:
```
gcloud auth activate-service-account ACCOUNT --key-file=KEY-FILE
```
Wo
- ACCOUNT ist das Nutzer- oder Dienstkonto.
- KEY-FILE ist der Pfad zur JSON-Schlüsseldatei des Dienstkontos.
Führen Sie den folgenden Befehl aus, um die Repository-Konfiguration auszugeben:
```
gcloud artifacts print-settings npm [--project=PROJECT] \
[--repository=REPOSITORY] [--location=LOCATION] --scope=@SCOPE-NAME --json-key=KEY-FILE
```
Wo
- PROJECT ist die Projekt-ID. Wenn dieses Flag nicht angegeben ist, wird das aktuelle Projekt oder das Standardprojekt verwendet.
- REPOSITORY ist die ID des Repositorys. Wenn Sie ein Standard-Artifact Registry-Repository konfiguriert haben, wird es verwendet, wenn dieses Flag im Befehl ausgelassen wird.
- LOCATION ist der regionale oder multiregionale Standort für das Repository.
- SCOPE-NAME ist der Name des npm-Bereichs, der dem Repository zugeordnet werden soll.
  
  Durch die Verwendung von Bereichen wird sichergestellt, dass Sie Pakete immer aus dem richtigen Repository veröffentlichen und installieren.
  
  Pakete ohne Umfang sind mit Ihrer standardmäßigen npm-Registry verknüpft, in der Regel der öffentlichen npm-Registry. Wenn Sie keinen Bereich angeben, wird Ihr Artifact Registry-Repository in der zurückgegebenen Konfiguration als Standard-Registry festgelegt. Dies kann zu Problemen führen, wenn Ihre Node.js-Projekte Pakete sowohl aus der öffentlichen npm-Registry als auch aus Ihrem Artifact Registry-Repository installieren müssen.
- KEY-FILE ist der Pfad zur JSON-Schlüsseldatei des Dienstkontos.
Hinweis: Die zurückgegebenen Konfigurationseinstellungen enthalten eine Platzhalter-E-Mail-Adresse. Die npm-Konfiguration benötigt eine E-Mail-Adresse, um npm-Pakete zu veröffentlichen. Die Platzhalter-E-Mail-Adresse wird von Artifact Registry nicht zur Authentifizierung verwendet.
Fügen Sie die zurückgegebenen Konfigurationseinstellungen in die Konfigurationsdatei .npmrc in Ihren Node.js-Projekten ein. Diese Datei befindet sich normalerweise im selben Verzeichnis wie package.json. Nehmen Sie diese Einstellungen in Node.js-Projekte für Pakete, die Sie veröffentlichen, sowie für Projekte auf, die Abhängigkeiten aus Ihrem npm-Repository installieren.
Wenn Sie eine Verbindung zu anderen Node.js-Repositories herstellen möchten, wiederholen Sie die vorherigen Schritte, um die Einstellungen abzurufen und sie der Datei .npmrc hinzuzufügen.