Cuando crees tus repositorios, ten en cuenta tanto los procesos internos para crear tus artefactos como el uso que hacen los consumidores de ellos.
Formatos de repositorio
Cada repositorio está asociado a un formato de artefacto específico. Por ejemplo, un repositorio de Docker almacena imágenes Docker. Puedes crear varios repositorios para cada formato en el mismo proyecto. Cloud de Confiance
Modos de repositorio
Repositorio estándar
Los repositorios estándar son repositorios normales de Artifact Registry para tus artefactos privados. Puedes subir y descargar artefactos directamente con estos repositorios y usar Artifact Analysis para buscar vulnerabilidades y otros metadatos.
Para crear repositorios estándar, sigue los pasos que se indican en Crear repositorios estándar.
Ubicación del repositorio
Puedes crear uno o varios repositorios en una región admitida. Una buena ubicación del repositorio equilibra la latencia, la disponibilidad y los costes de ancho de banda para los consumidores de datos. Es posible que tu organización también tenga requisitos de cumplimiento específicos.Estructura del proyecto
La jerarquía de recursos es la forma de organizar los recursos en los Cloud de Confiance proyectos. La estructura que elijas dependerá de factores como los requisitos de gobernanza de datos, los límites de confianza y la estructura del equipo.
Hay dos enfoques generales para configurar tus repositorios en organizaciones con varios proyectos.
- Centralizar repositorios
- Crea todos los repositorios en un solo proyecto y, a continuación, concede acceso a las entidades de otros proyectos a nivel de repositorio. Este enfoque puede ser más eficaz cuando una sola persona o un equipo gestiona la administración y el acceso a los repositorios de toda la organización.
-
- Repositorios específicos de proyectos
- Crea repositorios en proyectos que almacenen y descarguen artefactos. Este enfoque puede ser necesario cuando tengas políticas de gobierno de datos o límites de confianza que requieran una mayor separación a nivel de proyecto y un mayor control de los recursos.
Control de acceso
Solo se puede acceder a los repositorios con los permisos adecuados, a menos que configures el repositorio para que sea de acceso público. Puede conceder permisos a nivel de proyecto o de repositorio.
Algunos Cloud de Confiance servicios usan cuentas de servicio predeterminadas con permisos predeterminados para repositorios del mismo Cloud de Confiance proyecto. Sin embargo, estos valores predeterminados pueden no ser adecuados para tu proceso de desarrollo de software o no cumplir los requisitos de seguridad o de las políticas de tu organización. El administrador del repositorio debe conceder explícitamente acceso a estos servicios a los repositorios si se da alguna de las siguientes circunstancias:
- Artifact Registry está en un proyecto diferente al del servicio que interactúa con él.
- Estás usando roles de gestión de identidades y accesos personalizados con las cuentas de servicio predeterminadas en lugar del rol predefinido.
- No estás usando la cuenta de servicio predeterminada para el Cloud de Confiance servicio.
En el caso de otras entidades que requieran acceso a los repositorios, el administrador del repositorio debe concederlo. Sigue el principio de seguridad de mínimos accesos y concede los permisos mínimos necesarios. Por ejemplo:
- Despliega imágenes de contenedor en Artifact Registry en clústeres de GKE de varios proyectos. La cuenta de servicio de los nodos de estos clústeres solo requiere acceso de lectura a los repositorios.
- Tienes un repositorio de desarrollo para las aplicaciones que están en desarrollo y un repositorio de producción para las aplicaciones que se han lanzado. Los desarrolladores necesitan acceso de lectura y escritura al repositorio de desarrollo y acceso de solo lectura al repositorio de producción.
- Tienes un repositorio de demostración con aplicaciones de ejemplo. Tu equipo de ventas solo necesita acceso de lectura para descargar las demos.
Encriptado de datos
De forma predeterminada, Cloud de Confiance by S3NS se encriptan automáticamente los datos en reposocon claves de cifrado propiedad de Google y gestionadas por Google . Si tienes requisitos de cumplimiento o normativos específicos relacionados con las claves que protegen tus datos, puedes crear repositorios cifrados con claves de cifrado gestionadas por el cliente (CMEK).
Artifact Registry también admite restricciones de políticas de organización que pueden requerir que se use CMEK para proteger los recursos.
Etiquetas
Las etiquetas permiten organizar los recursos específicos de un Cloud de Confiance servicio. En Artifact Registry, puede añadir etiquetas a los repositorios para agruparlos o filtrar listas de repositorios por etiqueta. Por ejemplo, puedes usar etiquetas para agrupar repositorios por fase de desarrollo o por equipo con fines de automatización o facturación. Para obtener más información sobre cómo crear y usar etiquetas de repositorio, consulta Etiquetar repositorios.