Cette page a été traduite par l'API Cloud Translation.

Configurer l'authentification auprès d'Artifact Registry pour npm

Vous devez vous authentifier auprès d'Artifact Registry lorsque vous utilisez une application tierce pour vous connecter à un dépôt.

Vous n'avez pas besoin de configurer l'authentification pour Cloud Build ni pour les environnements d'exécution Google Cloud tels que Google Kubernetes Engine et Cloud Run, mais vous devez vérifier que les autorisations requises sont configurées.

Avant de commencer

Install the Google Cloud CLI, then initialize it by running the following command:
```
gcloud init
```
Note: If you installed the gcloud CLI previously, make sure you have the latest version by running gcloud components update.
(Facultatif) Configurez des valeurs par défaut pour les commandes de la CLI gcloud.
Si vous vous connectez aux dépôts à partir de Windows, installez PowerShell.
Créez un compte de service pour agir au nom de votre application.
Si vous débutez avec npm, lisez la présentation pour en savoir plus sur les packages concernés et le fichier de configuration pour vos paramètres d'authentification.

Présentation

Artifact Registry est compatible avec les méthodes d'authentification suivantes.

Utiliser un assistant d'identification: Cette option offre la plus grande flexibilité. Lorsque vous incluez l'assistant dans votre configuration npm, Artifact Registry recherche les identifiants de compte de service dans l'environnement.
Spécifier une clé de compte de service en tant qu'identifiant: Utilisez cette option lorsqu'une application n'est pas compatible avec Identifiants par défaut de l'application, mais permet l'authentification avec un nom d'utilisateur et un mot de passe.

S'authentifier à l'aide d'un assistant d'identification

google-artifactregistry-auth est une bibliothèque cliente qui obtient des identifiants pour les dépôts Artifact Registry.

Artifact Registry recherche les identifiants dans l'ordre suivant :

Identifiants par défaut de l'application (ADC), stratégie qui recherche les identifiants dans l'ordre suivant :
1. Identifiants définis dans la variable d'environnement GOOGLE_APPLICATION_CREDENTIALS.
2. Identifiants fournis par le compte de service par défaut pour Compute Engine, Google Kubernetes Engine, Cloud Run, App Engine ou les fonctions Cloud Run.
Les identifiants fournis par la Google Cloud CLI, y compris les identifiants utilisateur de la commande gcloud auth application-default login.

La variable GOOGLE_APPLICATION_CREDENTIALS rend le compte d'authentification explicite, ce qui facilite le dépannage. Si vous n'utilisez pas la variable, vérifiez que tous les comptes qu'ADC est susceptible d'utiliser ont les autorisations requises ; Par exemple, le compte de service par défaut des VM Compute Engine, des nœuds Google Kubernetes Engine et des révisions Cloud Run dispose d'un accès en lecture seule aux dépôts. Si vous à l'aide du compte de service par défaut, vous devez modifier les autorisations.

Pour créer un compte de service et définir la variable d'environnement GOOGLE_APPLICATION_CREDENTIALS :

Créez un compte de service pour agir au nom de votre application ou sélectionnez un compte de service existant que vous utilisez pour l'automatisation CI/CD.
Accordez le rôle Artifact Registry spécifique. au compte de service pour fournir l'accès au dépôt.
Attribuez l'emplacement du fichier de clé du compte de service à la variable GOOGLE_APPLICATION_CREDENTIALS afin que l'assistant d'identification Artifact Registry puisse obtenir votre clé lors de la connexion aux dépôts.
```
export GOOGLE_APPLICATION_CREDENTIALS=KEY-FILE
```
Où KEY-FILE est le chemin d'accès au fichier de clé du compte de service.

Pour configurer l'authentification :

Exécutez la commande suivante pour afficher la configuration du dépôt:
```
gcloud artifacts print-settings npm [--project=PROJECT] \
    [--repository=REPOSITORY] \
    [--location=LOCATION] \
    --scope=@SCOPE-NAME \
```
Où
- PROJECT est l'ID de projet. Si cette option est ignorée, le projet en cours ou par défaut est utilisé.
- REPOSITORY est l'ID du dépôt. Si vous avez configuré un dépôt Artifact Registry par défaut, il est utilisé lorsque cette option est omise dans la commande.
- LOCATION est l'emplacement régional ou multirégional du dépôt.
- SCOPE-NAME est le nom du champ d'application npm à associer au dépôt.
  
  L'utilisation de champs d'application garantit que vous publiez et installez toujours des packages à partir du dépôt approprié.
  
  Les packages sans champ d'application sont associés à votre registre npm par défaut, généralement le registre public npm. Si vous ne spécifiez pas un champ d'application, la configuration renvoyée définit comme registre par défaut. Cela peut causer des problèmes si votre les projets doivent installer des packages à partir du registre npm public et dans votre dépôt Artifact Registry.
Ajoutez les paramètres de configuration renvoyés au fichier .npmrc dans vos projets Node.js. Ce fichier se trouve généralement au même nom en tant que package.json.

Assurez-vous d'inclure ces paramètres dans Les projets Node.js pour les packages que vous publiez et les projets qui installera les dépendances à partir de votre dépôt npm.
Si vous avez d'autres dépôts Node.js auxquels vous connecter, répétez la procédure pour obtenir les paramètres et les ajouter aux fichiers .npmrc appropriés.
Lorsque vous êtes prêt à connecter un dépôt, obtenez un jeton d'accès pour l'authentification.

Chaque dépôt de packages Artifact Registry Node.js est associé à un point de terminaison de registre https://LOCATION-npm.pkg.dev/PROJECT/REPOSITORY

Si vous n'avez pas spécifié de champ d'application avec la commande print-settings, vous pouvez exécuter la commande suivante pour associer un niveau d'accès à un dépôt Artifact Registry ; un dépôt de clés.

npm config set @SCOPE_NAME:registry https://LOCATION-npm.pkg.dev/PROJECT/REPOSITORY/

Obtenir un jeton d'accès

Les jetons d'accès sont valides pendant 60 minutes. Générez bientôt un jeton d'accès avant d'exécuter des commandes qui interagissent avec les dépôts.

Pour obtenir un jeton, utilisez l'une des options suivantes:

Utilisez la commande npx pour actualiser le jeton d'accès.
1. Assurez-vous que les identifiants de connexion au registre npm public se trouvent dans votre fichier de configuration npm d'utilisateur ~/.npmrc.
2. Exécutez la commande suivante dans le répertoire de votre projet Node.js.
```
npx google-artifactregistry-auth
```
  Si votre dépôt Artifact Registry est défini comme registre global et que vos packages ne sont pas définis, utilisez plutôt la commande suivante afin qu'elle puisse télécharger l'assistant d'identifiants à partir du registre npm public plutôt que de votre dépôt Artifact Registry.
```
npm_config_registry=https://registry.npmjs.org npx google-artifactregistry-auth
```
Ajoutez un script au fichier package.json dans votre projet.
```
"scripts": {
 "artifactregistry-login": "npx google-artifactregistry-auth"
}
```
Exécutez le script dans le répertoire de votre projet Node.js.
```
npm run artifactregistry-login
```

Artifact Registry lit les paramètres du dépôt Artifact Registry dans le fichier .npmrc de votre projet et les utilise pour ajouter des identifiants de jeton à votre fichier .npmrc utilisateur. Le stockage du jeton dans le fichier .npmrc de l'utilisateur isole vos identifiants de votre code source et de votre système de contrôle de code source.

--repo-config est le fichier .npmrc contenant les paramètres de votre dépôt. Si vous ne spécifiez pas cet indicateur, l'emplacement par défaut est le répertoire actuel.
--credential-config correspond au chemin d'accès au fichier .npmrc dans lequel vous souhaitez écrire le jeton d'accès. La valeur par défaut est votre fichier .npmrc utilisateur.

Configurer l'authentification par mot de passe

Utilisez cette approche lorsque votre application Node.js nécessite une authentification avec un nom d'utilisateur et un mot de passe donnés.

Les clés de compte de service sont des identifiants de longue durée. Suivez les instructions ci-dessous pour limiter l'accès à vos dépôts :

Envisagez d'utiliser un compte de service dédié pour interagir avec les dépôts.
Attribuez le rôle Artifact Registry minimal requis par le compte de service. Par exemple, attribuez le lecteur Artifact Registry à un compte de service qui télécharge les artefacts uniquement.
Si les groupes de votre organisation nécessitent différents niveaux d'accès à des dépôts spécifiques, accordez l'accès au niveau du dépôt plutôt qu'au niveau du projet.
Suivez les bonnes pratiques de gestion des identifiants.

Pour créer un compte de service et configurer l'authentification :

Créez un compte de service pour agir au nom de votre application ou sélectionnez un compte de service existant que vous utilisez pour l'automatisation.

Vous aurez besoin de l'emplacement du fichier de clé de compte de service pour configurer l'authentification avec Artifact Registry. Pour les comptes existants, vous pouvez afficher les clés et en créer sur la page "Comptes de service".

Accéder à la page "Comptes de service"

Remarque : Les clés de compte de service constituent un risque pour la sécurité si elles ne sont pas gérées correctement. Dans la mesure du possible, vous devez choisir une alternative plus sécurisée aux clés de compte de service. Si vous devez vous authentifier avec une clé de compte de service, vous êtes responsable de la sécurité de la clé privée et des autres opérations décrites dans la section Bonnes pratiques pour la gestion des clés de compte de service. Si vous ne parvenez pas à créer une clé de compte de service, la création de clé de compte de service peut être désactivée pour votre organisation. Pour en savoir plus, consultez la page Gérer les ressources d'organisation sécurisées par défaut.
Accordez le rôle Artifact Registry spécifique au compte de service afin de fournir l'accès au dépôt.
Si vous souhaitez activer le compte de service dans la session de la CLI gcloud actuelle, exécutez la commande suivante :
```
gcloud auth activate-service-account ACCOUNT --key-file=KEY-FILE
```
Où
- ACCOUNT est l'utilisateur ou le compte de service.
- KEY-FILE est le chemin d'accès au fichier de clé JSON du compte de service.
Exécutez la commande suivante pour afficher la configuration du dépôt:
```
gcloud artifacts print-settings npm [--project=PROJECT] \
[--repository=REPOSITORY] [--location=LOCATION] --scope=@SCOPE-NAME --json-key=KEY-FILE
```
Où
- PROJECT est l'ID de projet. Si cette option est ignorée, le projet en cours ou par défaut est utilisé.
- REPOSITORY est l'ID du dépôt. Si vous avez configuré un dépôt Artifact Registry par défaut, il est utilisé lorsque cette option est omise dans la commande.
- LOCATION est l'emplacement régional ou multirégional du dépôt.
- SCOPE-NAME est le nom du champ d'application npm à associer au dépôt.
  
  L'utilisation de champs d'application garantit que vous publiez et installez toujours des packages à partir du dépôt approprié.
  
  Les packages sans champ d'application sont associés à votre registre npm par défaut, généralement le registre public npm. Si vous ne spécifiez pas un champ d'application, la configuration renvoyée définit comme registre par défaut. Cela peut causer des problèmes si votre les projets doivent installer des packages à partir du registre npm public et dans votre dépôt Artifact Registry.
- KEY-FILE est le chemin d'accès au fichier de clé JSON du compte de service.
Remarque : Les paramètres de configuration renvoyés incluent une adresse e-mail d'espace réservé. Vous devez indiquer une adresse e-mail dans la configuration npm pour publier les packages npm. L'adresse e-mail d'espace réservé n'est pas utilisée par Artifact Registry pour l'authentification.
Ajoutez les paramètres de configuration renvoyés au fichier .npmrc dans vos projets Node.js. Ce fichier se trouve généralement dans le même répertoire que package.json. Assurez-vous d'inclure ces paramètres dans les projets Node.js pour les packages que vous publiez, ainsi que pour les projets qui installeront des dépendances à partir de votre dépôt npm.
Si vous avez d'autres dépôts Node.js auxquels vous connecter, répétez les étapes précédentes pour obtenir les paramètres et les ajouter au fichier .npmrc.