Quando crei i repository, prendi in considerazione sia i processi interni per la creazione degli artefatti sia l'utilizzo degli artefatti da parte dei consumatori.
Formati dei repository
Ogni repository è associato a un formato specifico dell'artefatto. Ad esempio, un repository Docker memorizza le immagini Docker. Puoi creare più repository per ogni formato nello stesso progetto. Cloud de Confiance
Modalità del repository
Repository standard
I repository standard sono repository Artifact Registry regolari per i tuoi artefatti privati. Carichi e scarichi gli artefatti direttamente con questi repository e utilizzi Artifact Analysis per cercare vulnerabilità e altri metadati.
Per creare repository standard, segui i passaggi descritti in Creare repository standard.
Località repository
Puoi creare uno o più repository in una regione supportata. Una buona posizione del repository bilancia i costi di latenza, disponibilità e larghezza di banda per i consumatori dei dati. La tua organizzazione potrebbe anche avere requisiti di conformità specifici.Struttura del progetto
Esistono due approcci generali per configurare i repository nelle organizzazioni multi-progetto.
- Centralizzare i repository
Crea tutti i repository in un unico progetto e poi concedi l'accesso alle entità di altri progetti a livello di repository. Questo approccio può essere più efficace quando una singola persona o un singolo team gestisce l'amministrazione e l'accesso ai repository in tutta l'organizzazione.
Può anche semplificare la configurazione dei repository virtuali, poiché devi solo attivare e gestire una singola istanza di Artifact Registry.
- Repository specifici per progetto
Crea repository nei progetti che archiviano e scaricano gli artefatti. Questo approccio potrebbe essere necessario quando disponi di policy di governance dei dati o limiti di attendibilità che richiedono una maggiore separazione e un maggiore controllo delle risorse a livello di progetto.
Controllo degli accessi
I repository sono accessibili solo con le autorizzazioni appropriate, a meno che tu non li configuri per l'accesso pubblico. Puoi concedere autorizzazioni a livello di progetto o repository.
Alcuni servizi Cloud de Confiance utilizzano service account predefiniti con autorizzazioni predefinite per i repository nello stesso progetto Cloud de Confiance . Tuttavia, questi valori predefiniti potrebbero non essere adatti al tuo processo di sviluppo software o potrebbero non essere conformi ai requisiti di sicurezza o delle norme della tua organizzazione. L'amministratore del repository deve concedere esplicitamente l'accesso ai repository a questi servizi se:
- Artifact Registry si trova in un progetto diverso dal servizio che interagisce con esso.
- Stai utilizzando ruoli IAM personalizzati con i service account predefiniti anziché il ruolo predefinito.
- Non stai utilizzando il account di servizio predefinito per il servizio Cloud de Confiance.
Per altre entità che richiedono l'accesso ai repository, l'amministratore del repository deve concedere l'accesso. Seguendo il principio di sicurezza del privilegio minimo, concedi le autorizzazioni minime richieste. Ad esempio:
- Esegui il deployment delle immagini container in Artifact Registry nei cluster GKE in diversi progetti. Il account di servizio per i nodi in questi cluster richiede solo l'accesso in lettura ai repository.
- Hai un repository di sviluppo per le applicazioni in fase di sviluppo e un repository di produzione per le applicazioni rilasciate. Gli sviluppatori richiedono l'accesso in lettura e scrittura al repository di sviluppo e l'accesso di sola lettura al repository di produzione.
- Hai un repository demo con applicazioni di esempio. Il tuo team di vendita richiede solo l'accesso di sola lettura per scaricare le demo.
Crittografia dei dati
Se hai requisiti di conformità o normativi specifici relativi alle chiavi che proteggono i tuoi dati, puoi creare repository criptati con chiavi di crittografia gestite dal cliente (CMEK).Artifact Registry supporta anche i vincoli delle policy dell'organizzazione che possono richiedere CMEK per proteggere le risorse.
Etichette
Le etichette forniscono un modo per organizzare le risorse specifiche di un servizio Cloud de Confiance. In Artifact Registry, puoi aggiungere etichette ai repository in modo da raggrupparli o filtrare gli elenchi di repository in base all'etichetta. Ad esempio, puoi utilizzare le etichette per raggruppare i repository in base alla fase di sviluppo o al team per scopi di automazione o fatturazione. Per saperne di più sulla creazione e sull'utilizzo delle etichette dei repository, vedi Etichettatura dei repository.