Configurer l'authentification pour npm

Vous devez vous authentifier auprès d'Artifact Registry lorsque vous utilisez une application tierce pour vous connecter à un dépôt.

Vous n'avez pas besoin de configurer l'authentification pour les environnements d'exécution Cloud Build ou Google Cloud tels que Google Kubernetes Engine et Cloud Run, mais vous devez vérifier que les autorisations requises sont configurées. (Installation de Python groupée).

Avant de commencer

  1. Si le dépôt cible n'existe pas, créez un dépôt.
  2. Si vous vous connectez à des dépôts depuis Windows, installez PowerShell.
  3. Installez et initialisez le SDK Cloud.
  4. (Facultatif) Configurez des valeurs par défaut pour les commandes gcloud.
  5. Créez un compte de service pour agir au nom de votre application.
  6. Si vous débutez avec npm, lisez la présentation pour en savoir plus sur les packages concernés et le fichier de configuration pour vos paramètres d'authentification.

Présentation

Artifact Registry est compatible avec les méthodes d'authentification suivantes.

Utiliser un assistant d'identification
Cette option offre la plus grande flexibilité. Lorsque vous incluez l'assistant dans votre configuration npm, Artifact Registry recherche les identifiants de compte de service dans l'environnement.
Spécifier une clé de compte de service en tant qu'identifiant
Utilisez cette option lorsqu'une application n'est pas compatible avec Identifiants par défaut de l'application, mais permet l'authentification avec un nom d'utilisateur et un mot de passe.

S'authentifier à l'aide d'un assistant d'identification

google-artifactregistry-auth est une bibliothèque cliente qui obtient les identifiants pour les dépôts Artifact Registry.

Artifact Registry recherche les identifiants dans l'ordre suivant:

  1. Identifiants par défaut de l'application (ADC), stratégie qui recherche les identifiants dans l'ordre suivant :

    1. Identifiants définis dans la variable d'environnement GOOGLE_APPLICATION_CREDENTIALS.

    2. Identifiants fournis par le compte de service par défaut pour Compute Engine, Google Kubernetes Engine, Cloud Run, App Engine ou Cloud Functions.

  2. Identifiants fournis par le SDK Cloud, y compris les identifiants utilisateur de la commande gcloud auth application-default login.

La variable GOOGLE_APPLICATION_CREDENTIALS rend le compte explicite pour l'authentification, ce qui facilite le dépannage. Si vous n'utilisez pas la variable, vérifiez que tous les comptes susceptibles d'être utilisés par l'ADC disposent des autorisations requises. Par exemple, le compte de service par défaut des VM Compute Engine, des nœuds Google Kubernetes Engine et des révisions Cloud Run dispose d'un accès en lecture seule aux dépôts. Si vous avez l'intention d'effectuer une importation depuis ces environnements à l'aide du compte de service par défaut, vous devez modifier les autorisations.

Pour créer un compte de service et définir la variable d'environnement GOOGLE_APPLICATION_CREDENTIALS, procédez comme suit:

  1. Créez un compte de service pour agir au nom de votre application ou sélectionnez un compte de service existant que vous utilisez pour l'automatisation CI/CD.

  2. Accordez le rôle Artifact Registry approprié au compte de service afin de fournir l'accès au dépôt.

  3. Attribuez l'emplacement du fichier de clé du compte de service à la variable GOOGLE_APPLICATION_CREDENTIALS afin que l'assistant d'identification Artifact Registry puisse obtenir votre clé lors de la connexion aux dépôts.

    export GOOGLE_APPLICATION_CREDENTIALS=KEY-FILE
    

    KEY-FILE est le chemin d'accès au fichier de clé du compte de service.

Pour configurer l'authentification :

  1. Exécutez la commande suivante pour imprimer la configuration du dépôt:

    gcloud artifacts print-settings npm [--project=PROJECT] \
        [--repository=REPOSITORY] \
        [--location=LOCATION] \
        --scope=@SCOPE-NAME \
    

    Où :

    • PROJECT est l'ID de projet. Si cette option est ignorée, le projet en cours ou par défaut est utilisé.
    • REPOSITORY est l'ID du dépôt. Si vous avez configuré un dépôt Artifact Registry par défaut, il est utilisé lorsque cette option est omise dans la commande.
    • LOCATION est l'emplacement régional ou multirégional du dépôt.
    • SCOPE-NAME est le nom du champ d'application npm à associer au dépôt.

      L'utilisation de champs d'application vous permet de toujours publier et installer des packages à partir du dépôt approprié.

      Les packages sans champ d'application sont associés à votre registre npm par défaut, généralement le registre public npm. Si vous ne spécifiez pas de champ d'application, la configuration renvoyée définit votre dépôt Artifact Registry comme registre par défaut. Cela peut poser des problèmes si vos projets Node.js doivent installer des packages à partir du registre npm public et de votre dépôt Artifact Registry.

  2. Ajoutez les paramètres de configuration renvoyés au fichier de configuration .npmrc dans vos projets Node.js. Ce fichier se trouve généralement dans le même répertoire que package.json.

    Veillez à inclure ces paramètres dans les projets Node.js pour les packages que vous publiez, ainsi que pour les projets qui installeront des dépendances à partir de votre dépôt npm.

  3. Si vous devez vous connecter à d'autres dépôts Node.js, répétez les étapes précédentes pour obtenir les paramètres et les ajouter aux fichiers .npmrc appropriés.

  4. Lorsque vous êtes prêt à connecter un dépôt, procurez-vous un jeton d'accès pour l'authentification.

Chaque dépôt de packages Node.js Artifact Registry est associé à un point de terminaison de registre https://LOCATION-npm.pkg.dev/PROJECT/REPOSITORY

Si vous n'avez pas spécifié de champ d'application avec la commande print-settings, vous pouvez exécuter la commande suivante pour associer un champ d'application à un dépôt Artifact Registry.

npm config set @SCOPE_NAME:registry https://LOCATION-npm.pkg.dev/PROJECT/REPOSITORY/

Obtenir un jeton d'accès

Les jetons d'accès sont valides pendant 60 minutes. Générez un jeton d'accès peu de temps avant d'exécuter des commandes qui interagissent avec les dépôts.

Pour obtenir un jeton, utilisez l'une des options suivantes:

  • Utilisez la commande npx pour actualiser le jeton d'accès.

    1. Assurez-vous que les identifiants de connexion au registre npm public se trouvent dans votre fichier de configuration npm d'utilisateur ~/.npmrc.

    2. Exécutez la commande suivante dans le répertoire de votre projet Node.js.

      npx google-artifactregistry-auth
      
  • Ajoutez un script au fichier package.json dans votre projet.

    "scripts": {
     "artifactregistry-login": "npx google-artifactregistry-auth"
    }
    

    Exécutez le script dans le répertoire de votre projet Node.js.

    npm run artifactregistry-login
    

Artifact Registry lit les paramètres du dépôt Artifact Registry dans votre fichier de projet .npmrc et les utilise pour ajouter des identifiants de jeton à votre fichier utilisateur .npmrc. Le stockage du jeton dans votre fichier .npmrc utilisateur isole vos identifiants de votre code source et de votre système de contrôle des sources.

  • --repo-config est le fichier .npmrc avec vos paramètres de dépôt. Si vous ne spécifiez pas cette option, l'emplacement par défaut est le répertoire actuel.
  • --credential-config est le chemin d'accès au fichier .npmrc dans lequel vous souhaitez écrire le jeton d'accès. La valeur par défaut est votre fichier .npmrc utilisateur.

Configurer l'authentification par mot de passe

Utilisez cette approche lorsque votre application Node.js nécessite une authentification avec un nom d'utilisateur et un mot de passe donnés.

Les clés de compte de service sont des identifiants de longue durée. Suivez les instructions ci-dessous pour limiter l'accès à vos dépôts :

  • Envisagez d'utiliser un compte de service dédié pour interagir avec les dépôts.
  • Attribuez le rôle Artifact Registry minimal requis par le compte de service. Par exemple, attribuez le lecteur Artifact Registry à un compte de service qui télécharge les artefacts uniquement.
  • Si les groupes de votre organisation nécessitent différents niveaux d'accès à des dépôts spécifiques, accordez l'accès au niveau du dépôt plutôt qu'au niveau du projet.
  • Suivez les bonnes pratiques de gestion des identifiants.

Pour créer un compte de service et configurer l'authentification :

  1. Créez un compte de service pour agir au nom de votre application ou sélectionnez un compte de service existant que vous utilisez pour l'automatisation.

    Vous aurez besoin de l'emplacement du fichier de clé de compte de service pour configurer l'authentification avec Artifact Registry. Pour les comptes existants, vous pouvez afficher les clés et en créer sur la page "Comptes de service".

    Accéder à la page "Comptes de service"

  2. Accordez le rôle Artifact Registry approprié au compte de service afin de fournir l'accès au dépôt.

  3. Si vous souhaitez activer le compte de service dans la session du SDK Cloud actuelle, exécutez la commande suivante :

    gcloud auth activate-service-account ACCOUNT --key-file=KEY-FILE
    

    Où :

    • ACCOUNT est l'utilisateur ou le compte de service.
    • KEY-FILE est le chemin d'accès au fichier de clé JSON du compte de service.
  4. Exécutez la commande suivante pour imprimer la configuration du dépôt:

    gcloud artifacts print-settings npm [--project=PROJECT] \
    [--repository=REPOSITORY] [--location=LOCATION] --scope=@SCOPE-NAME --json-key=KEY-FILE
    

    Où :

    • PROJECT est l'ID de projet. Si cette option est ignorée, le projet en cours ou par défaut est utilisé.
    • REPOSITORY est l'ID du dépôt. Si vous avez configuré un dépôt Artifact Registry par défaut, il est utilisé lorsque cette option est omise dans la commande.
    • LOCATION est l'emplacement régional ou multirégional du dépôt.
    • SCOPE-NAME est le nom du champ d'application npm à associer au dépôt.

      L'utilisation de champs d'application vous permet de toujours publier et installer des packages à partir du dépôt approprié.

      Les packages sans champ d'application sont associés à votre registre npm par défaut, généralement le registre public npm. Si vous ne spécifiez pas de champ d'application, la configuration renvoyée définit votre dépôt Artifact Registry comme registre par défaut. Cela peut poser des problèmes si vos projets Node.js doivent installer des packages à partir du registre npm public et de votre dépôt Artifact Registry.

    • KEY-FILE est le chemin d'accès au fichier de clé JSON du compte de service.

  5. Ajoutez les paramètres de configuration renvoyés au fichier de configuration .npmrc dans vos projets Node.js. Ce fichier se trouve généralement dans le même répertoire que package.json. Veillez à inclure ces paramètres dans les projets Node.js pour les packages que vous publiez, ainsi que pour les projets qui installeront des dépendances à partir de votre dépôt npm.

  6. Si vous devez vous connecter à d'autres dépôts Node.js, répétez les étapes précédentes pour obtenir les paramètres et les ajouter au fichier .npmrc.

Étape suivante