Quando crei i repository, prendi in considerazione sia i processi interni per la creazione degli artefatti sia l'utilizzo degli artefatti da parte dei consumatori.
Formati dei repository
Ogni repository è associato a un formato specifico dell'artefatto. Ad esempio, un repository Docker memorizza le immagini Docker. Puoi creare più repository per ogni formato nello stesso progetto. Trusted Cloud
Modalità del repository
Repository standard
I repository standard sono repository Artifact Registry regolari per i tuoi artefatti privati. Carichi e scarichi gli artefatti direttamente con questi repository e utilizzi l'Artifact Analysis per eseguire la scansione di vulnerabilità e altri metadati.
Per creare repository standard, segui i passaggi descritti in Creare repository standard.
Località repository
Puoi creare uno o più repository in una regione supportata. Una buona posizione del repository bilancia i costi di latenza, disponibilità e larghezza di banda per i consumatori di dati. La tua organizzazione potrebbe anche avere requisiti di conformità specifici.Struttura del progetto
La gerarchia delle risorse è il modo in cui organizzi le risorse nei Trusted Cloud progetti. La struttura che scegli dipende da fattori quali i requisiti di governance dei dati, i limiti di attendibilità e la struttura del team.
Esistono due approcci generali per configurare i repository nelle organizzazioni con più progetti.
- Centralizzare i repository
- Crea tutti i repository in un unico progetto e poi concedi l'accesso ai principal di altri progetti a livello di repository. Questo approccio può essere più efficace quando una singola persona o un team gestisce l'amministrazione e l'accesso ai repository in tutta l'organizzazione.
-
- Repository specifici per progetto
- Crea repository nei progetti che archiviano e scaricano gli artefatti. Questo approccio potrebbe essere necessario quando disponi di norme di governance dei dati o limiti di attendibilità che richiedono una maggiore separazione e un maggiore controllo delle risorse a livello di progetto.
Controllo degli accessi
I repository sono accessibili solo con le autorizzazioni appropriate, a meno che tu non li configuri per l'accesso pubblico. Puoi concedere autorizzazioni a livello di progetto o repository.
Alcuni Trusted Cloud servizi utilizzano service account predefiniti con autorizzazioni predefinite per i repository nello stesso Trusted Cloud progetto. Tuttavia, questi valori predefiniti potrebbero non essere adatti al tuo processo di sviluppo software o potrebbero non essere conformi ai requisiti di sicurezza o delle norme della tua organizzazione. L'amministratore del repository deve concedere esplicitamente l'accesso ai repository a questi servizi se:
- Artifact Registry si trova in un progetto diverso dal servizio che interagisce con esso.
- Stai utilizzando ruoli IAM personalizzati con gli account di servizio predefiniti anziché il ruolo predefinito.
- Non stai utilizzando il account di servizio predefinito per il servizio Trusted Cloud.
Per altri principal che richiedono l'accesso ai repository, l'amministratore del repository deve concedere l'accesso. Segui il principio di sicurezza del privilegio minimo e concedi le autorizzazioni minime richieste. Ad esempio:
- Esegui il deployment delle immagini container in Artifact Registry nei cluster GKE in diversi progetti. Il account di servizio per i nodi in questi cluster richiede solo l'accesso in lettura ai repository.
- Hai un repository di sviluppo per le applicazioni in fase di sviluppo e un repository di produzione per le applicazioni rilasciate. Gli sviluppatori richiedono l'accesso in lettura e scrittura al repository di sviluppo e l'accesso di sola lettura al repository di produzione.
- Hai un repository demo con applicazioni di esempio. Il tuo team di vendita richiede solo l'accesso di sola lettura per scaricare le demo.
Crittografia dei dati
Per impostazione predefinita, Trusted Cloud by S3NS cripta automaticamente i dati quando sono inattivi utilizzando chiavi di crittografiabasate su Google Cloud . Se hai requisiti di conformità o normativi specifici relativi alle chiavi che proteggono i tuoi dati, puoi creare repository criptati con chiavi di crittografia gestite dal cliente (CMEK).
Artifact Registry supporta anche i vincoli delle policy dell'organizzazione che possono richiedere CMEK per proteggere le risorse.
Etichette
Le etichette forniscono un modo per organizzare le risorse specifiche di un servizio Trusted Cloud. In Artifact Registry, puoi aggiungere etichette ai repository in modo da raggrupparli o filtrare gli elenchi di repository in base all'etichetta. Ad esempio, puoi utilizzare le etichette per raggruppare i repository in base alla fase di sviluppo o al team per scopi di automazione o fatturazione. Per saperne di più sulla creazione e l'utilizzo delle etichette dei repository, vedi Etichettare i repository.