Configura la autenticación en Artifact Registry para npm

Debes autenticarte en Artifact Registry cuando uses una aplicación de terceros para conectarte a un repositorio.

No es necesario que configures la autenticación para los entornos de ejecución de Cloud Build o Google Cloud, como Google Kubernetes Engine y Cloud Run, pero debes verificar que estén configurados los permisos necesarios.

Antes de comenzar

Instala Google Cloud CLI y, luego, inicializa la ejecución del siguiente comando:
```
gcloud init
```
Nota: Si ya instalaste la CLI de gcloud, asegúrate de que tienes la versión más reciente mediante la ejecución de gcloud components update.
(Opcional) Configura los valores predeterminados para gcloud CLI de gcloud.
Si te conectas a repositorios de Windows, instala PowerShell.
Crea una cuenta de servicio que actúe en nombre de tu aplicación.
Si eres nuevo en la Administración de socios de red, lee la descripción general con el fin de obtener información sobre los paquetes con alcance y el archivo de configuración para configuración de la autenticación.

Descripción general

Artifact Registry admite los siguientes métodos de autenticación.

Cómo usar un auxiliar de credenciales: Esta opción proporciona la mayor flexibilidad. Cuando incluyes el asistente en tu configuración de npm, Artifact Registry busca las credenciales de la cuenta de servicio en el entorno.
Especifica una clave de cuenta de servicio como una credencial: Usa esta opción cuando una aplicación no sea compatible con las credenciales predeterminadas de la aplicación, pero admita la autenticación mediante un nombre de usuario y una contraseña.

Autentica con un auxiliar de credenciales

google-artifactregistry-auth es una biblioteca cliente que obtiene credenciales para los repositorios de Artifact Registry.

Artifact Registry busca las credenciales en el siguiente orden:

Las credenciales predeterminadas de la aplicación (ADC), que es una estrategia que busca credenciales en el siguiente orden:
1. Credenciales definidas en la variable de entorno GOOGLE_APPLICATION_CREDENTIALS
2. Credenciales que proporciona la cuenta de servicio predeterminada para Compute Engine, Google Kubernetes Engine, Cloud Run, App Engine o Cloud Functions
Las credenciales que proporciona Google Cloud CLI, incluidas las credenciales de usuario del comando gcloud auth application-default login.

La variable GOOGLE_APPLICATION_CREDENTIALS hace que la cuenta sea explícita para la autenticación, lo que facilita la solución de problemas. Si no usas la variable, verifica que las cuentas que ADC pueda usar tengan los permisos necesarios. Por ejemplo, la cuenta de servicio predeterminada para las VM de Compute Engine, los nodos de Google Kubernetes Engine y las revisiones de Cloud Run tienen acceso de solo lectura a los repositorios. Si deseas subir datos desde estos entornos con la cuenta de servicio predeterminada, debes modificar los permisos.

Para crear una cuenta de servicio y configurar la variable de entorno GOOGLE_APPLICATION_CREDENTIALS, haz lo siguiente:

Crea una cuenta de servicio que actúe en nombre de tu aplicación o elige una cuenta de servicio existente que se use para la automatización de CI/CD.
Otorga el rol de Artifact Registry específico a la cuenta de servicio para proporcionar acceso al repositorio.
Asigna la ubicación del archivo de claves de la cuenta de servicio a la variable GOOGLE_APPLICATION_CREDENTIALS para que el auxiliar de credenciales de Artifact Registry pueda obtener tu clave cuando se conecta con repositorios.
```
export GOOGLE_APPLICATION_CREDENTIALS=KEY-FILE
```
En el ejemplo anterior, KEY-FILE es la ruta de acceso al archivo de claves de la cuenta de servicio.

Para configurar la autenticación, sigue estos pasos:

Ejecuta el siguiente comando para imprimir la configuración del repositorio:
```
gcloud artifacts print-settings npm [--project=PROJECT] \
    [--repository=REPOSITORY] \
    [--location=LOCATION] \
    --scope=@SCOPE-NAME \
```
¿Por dónde
- PROJECT es el ID del proyecto. Si se omite esta marca, se usa el proyecto actual o predeterminado.
- REPOSITORY es el ID del repositorio. Si configuraste un repositorio predeterminado de Artifact Registry, se usa cuando se omite esta marca del comando.
- LOCATION es la ubicación regional o multirregional del repositorio.
- SCOPE-NAME es el nombre del permiso de la Administración de socios de red que se debe asociar con el repositorio.
  
  El uso de permisos garantiza que siempre publiques e instales paquetes desde el repositorio correcto.
  
  Los paquetes sin alcance se asocian con tu registro de npm predeterminado, que suele ser el registro público de npm. Si no especificas un permiso, la configuración que se muestra establece tu repositorio de Artifact Registry como el registro predeterminado. Esto puede causar problemas si tus proyectos de Node.js necesitan instalar paquetes del registro público de npm y de tu repositorio de Artifact Registry.
Agrega los parámetros de configuración que se muestran al archivo de configuración .npmrc en tus proyectos de Node.js. Por lo general, este archivo está en el mismo directorio que package.json.

Asegúrate de incluir esta configuración en los proyectos de Node.js para los paquetes que publiques y para los proyectos que instalarán las dependencias de tu repositorio de npm.
Si tienes otros repositorios de Node.js a los que conectarte, repite los pasos anteriores para obtener la configuración y agregarla a los archivos .npmrc correspondientes.
Cuando estés listo para conectar un repositorio, obtén un token de acceso para la autenticación.

Cada repositorio de paquetes de Node.js de Artifact Registry está asociado con un extremo de registro https://LOCATION-npm.pkg.dev/PROJECT/REPOSITORY.

Si no especificaste un permiso con el comando print-settings, puedes ejecutar el siguiente comando para asociar un permiso a un repositorio de Artifact Registry.

npm config set @SCOPE_NAME:registry https://LOCATION-npm.pkg.dev/PROJECT/REPOSITORY/

Obtén un token de acceso

Los tokens de acceso son válidos durante 60 minutos. Genera un token de acceso poco antes de ejecutar comandos que interactúen con los repositorios.

Para obtener un token, usa una de estas opciones:

Usa el comando npx para actualizar el token de acceso.
1. Asegúrate de que las credenciales para conectarte al registro público de la Administración de socios de red estén en el archivo de configuración de la Administración de socios de red de tu usuario, ~/.npmrc.
2. Ejecuta el siguiente comando en el directorio del proyecto de Node.js.
```
npx google-artifactregistry-auth
```
  Si tu repositorio de Artifact Registry está configurado como tu registro global y tus paquetes no tienen alcance, usa el siguiente comando para que se pueda descargar el auxiliar de credenciales del registro público de npm en lugar de tu repositorio de Artifact Registry.
```
npm_config_registry=https://registry.npmjs.org npx google-artifactregistry-auth
```
Agrega una secuencia de comandos al archivo package.json en tu proyecto.
```
"scripts": {
 "artifactregistry-login": "npx google-artifactregistry-auth"
}
```
Ejecuta la secuencia de comandos en el directorio del proyecto de Node.js.
```
npm run artifactregistry-login
```

Artifact Registry lee la configuración del repositorio de Artifact Registry en el archivo .npmrc del proyecto y la usa para agregar credenciales de token al archivo .npmrc del usuario. Almacenar el token en el archivo .npmrc del usuario aísla tus credenciales del código fuente y del sistema de control de origen.

--repo-config es el archivo .npmrc con la configuración de tu repositorio. Si no especificas esta marca, la ubicación predeterminada es el directorio actual.
--credential-config es la ruta de acceso al archivo .npmrc en el que quieres escribir el token de acceso. El valor predeterminado es el archivo .npmrc de tu usuario.

Configura la autenticación con contraseña

Usa este enfoque cuando la aplicación de Node.js requiera la autenticación con un nombre de usuario y una contraseña especificados.

Las claves de la cuenta de servicio son credenciales de larga duración. Usa los siguientes lineamientos para limitar el acceso a tus repositorios:

Considera usar una cuenta de servicio dedicada para interactuar con los repositorios.
Otorga la función mínima de Artifact Registry que requiera la cuenta de servicio. Por ejemplo, asigna la función de lector de Artifact Registry a una cuenta de servicio que solo descargue artefactos.
Si los grupos de tu organización requieren diferentes niveles de acceso a repositorios específicos, otorga acceso a nivel de repositorio en lugar de a nivel de proyecto.
Sigue las prácticas recomendadas para administrar credenciales.

Para crear una cuenta de servicio y configurar la autenticación, haz lo siguiente:

Crea una cuenta de servicio que actúe en nombre de tu aplicación o elige una cuenta de servicio existente que uses para la automatización.

Necesitarás la ubicación del archivo de claves de la cuenta de servicio para configurar la autenticación con Artifact Registry. En las cuentas existentes, puedes ver claves y crear claves nuevas en la página Cuentas de servicio.

Ir a la página Cuentas de servicio

Nota: Las claves de cuenta de servicio son un riesgo de seguridad si no se administran de forma adecuada. Debes elegir una alternativa más segura a las claves de la cuenta de servicio siempre que sea posible. Si te debes autenticar con una clave de cuenta de servicio, eres responsable de la seguridad de la clave privada y de otras operaciones que se describen en Prácticas recomendadas para administrar claves de cuenta de servicio. Si no se te permite crear una clave de cuenta de servicio, es posible que la creación de claves de cuentas de servicio esté inhabilitada para tu organización. Para obtener más información, consulta Administra los recursos de la organización con seguridad de forma predeterminada.
Otorga el rol de Artifact Registry específico a la cuenta de servicio para proporcionar acceso al repositorio.
Si quieres activar la cuenta de servicio en la sesión actual de gcloud CLI, ejecuta el siguiente comando:
```
gcloud auth activate-service-account ACCOUNT --key-file=KEY-FILE
```
¿Por dónde
- ACCOUNT es la cuenta de usuario o servicio.
- KEY-FILE es la ruta al archivo de claves JSON de la cuenta de servicio.
Ejecuta el siguiente comando para imprimir la configuración del repositorio:
```
gcloud artifacts print-settings npm [--project=PROJECT] \
[--repository=REPOSITORY] [--location=LOCATION] --scope=@SCOPE-NAME --json-key=KEY-FILE
```
¿Por dónde
- PROJECT es el ID del proyecto. Si se omite esta marca, se usa el proyecto actual o predeterminado.
- REPOSITORY es el ID del repositorio. Si configuraste un repositorio predeterminado de Artifact Registry, se usa cuando se omite esta marca del comando.
- LOCATION es la ubicación regional o multirregional del repositorio.
- SCOPE-NAME es el nombre del permiso de la Administración de socios de red que se debe asociar con el repositorio.
  
  El uso de permisos garantiza que siempre publiques e instales paquetes desde el repositorio correcto.
  
  Los paquetes sin alcance se asocian con tu registro de npm predeterminado, que suele ser el registro público de npm. Si no especificas un permiso, la configuración que se muestra establece tu repositorio de Artifact Registry como el registro predeterminado. Esto puede causar problemas si tus proyectos de Node.js necesitan instalar paquetes del registro público de npm y de tu repositorio de Artifact Registry.
- KEY-FILE es la ruta al archivo de claves JSON de la cuenta de servicio.
Nota: Los ajustes de la configuración que se muestra incluyen una dirección de correo electrónico con marcador de posición. Se requiere una dirección de correo electrónico en la configuración de la Administración de socios de red para publicar paquetes de la Administración de socios de red. Artifact Registry no usa la dirección de correo electrónico con marcador de posición para la autenticación.
Agrega los parámetros de configuración que se muestran al archivo de configuración .npmrc en tus proyectos de Node.js. Por lo general, este archivo está en el mismo directorio que package.json. Asegúrate de incluir esta configuración en los proyectos de Node.js para los paquetes que publiques y para los proyectos que instalarán las dependencias de tu repositorio de npm.
Si tienes otros repositorios de Node.js a los que conectarte, repite los pasos anteriores para obtener la configuración y agregarla al archivo .npmrc.