ご自身のアーティファクトを作成するための内部プロセスと、リポジトリの作成時にコンシューマによるアーティファクトの使用の両方を考慮してください。
リポジトリ形式
各リポジトリは、特定のアーティファクト形式に関連付けられます。たとえば、Docker リポジトリは Docker イメージを保存します。同じ Trusted Cloud プロジェクト内には、形式ごとに複数のリポジトリを作成できます。
リポジトリ モード
標準リポジトリ
標準リポジトリは、非公開アーティファクト用の通常の Artifact Registry リポジトリです。こうしたリポジトリで直接アーティファクトをアップロードしてダウンロードし、Artifact Analysis を使用して脆弱性や他のメタデータをスキャンします。
標準リポジトリを作成するには、標準リポジトリを作成するの手順に沿って操作します。
リポジトリの場所
サポートされているリージョンに 1 つ以上のリポジトリを作成できます。適切なリポジトリ ロケーションによって、データ コンシューマに対するレイテンシ、可用性、帯域幅のコストのバランスをとれます。組織には、特定のコンプライアンス要件がある場合もあります。プロジェクトの構造
リソース階層は、 Trusted Cloud プロジェクト間でリソースを整理する方法です。選択する構造は、データ ガバナンスの要件、信頼境界、チーム構造などの要因によって変わります。
マルチプロジェクトの組織でリポジトリを設定するには、次の 2 つの方法があります。
- リポジトリを一元管理する
- 1 つのプロジェクトにすべてのリポジトリを作成し、リポジトリ レベルで他のプロジェクトのプリンシパルにアクセス権を付与します。この方法は、1 人の個人またはチームが組織全体でリポジトリの管理とリポジトリへのアクセス権を扱う場合に、より効果的です。
-
- プロジェクト固有のリポジトリ
- アーティファクトを保存およびダウンロードするプロジェクトにリポジトリを作成します。この方法は、データ ガバナンス ポリシーや信頼境界があり、プロジェクト レベルでリソースを分離して制御することが求められる場合に必要になる可能性があります。
アクセス制御
リポジトリは、公開アクセス用にリポジトリを構成しない限り、適切な権限を持つユーザーのみがアクセスできます。権限は、プロジェクト レベルまたはリポジトリ レベルで付与できます。
一部の Trusted Cloud サービスは、同じ Trusted Cloud プロジェクトのリポジトリに対するデフォルトの権限を持つデフォルトのサービス アカウントを使用します。ただし、これらのデフォルトは、ソフトウェア開発プロセスに適していない場合や、組織のセキュリティ要件やポリシー要件に準拠していない場合があります。次のいずれかの場合、リポジトリ管理者はこれらのサービスにリポジトリへのアクセス権を明示的に付与する必要があります。
- Artifact Registry が、操作するサービスとは異なるプロジェクトにある。
- 事前定義ロールではなく、デフォルトのサービス アカウントでカスタム IAM ロールを使用している。
- Trusted Cloudサービスにデフォルトのサービス アカウントを使用していない。
リポジトリへのアクセス権を必要とする他のプリンシパルについては、リポジトリ管理者がアクセス権を付与する必要があります。最小権限のセキュリティ原則に従って、必要最小限の権限を付与します。次に例を示します。
- Artifact Registry のコンテナ イメージを複数のプロジェクトの GKE クラスタにデプロイする。これらのクラスタ内のノードのサービス アカウントは、リポジトリへの読み取りアクセス権しか必要としません。
- 開発中のアプリケーション用の開発リポジトリと、リリースされるアプリケーション用の本番環境リポジトリがあります。デベロッパーには、開発リポジトリに対する読み取り / 書き込みアクセス権と、本番環境リポジトリに対する読み取り専用アクセス権が必要です。
- サンプル アプリケーションを含むデモリポジトリが用意されている。セールスチームは、デモをダウンロードするための読み取り専用権限しか必要としません。
データ暗号化
デフォルトでは、 Trusted Cloud by S3NS は、Google Cloud を活用した 暗号鍵を使用して、保存されているデータを自動的に暗号化します。データを保護する鍵に関連する具体的なコンプライアンス要件や規制要件がある場合は、顧客管理の暗号鍵(CMEK)で暗号化されたリポジトリを作成できます。
Artifact Registry は、組織のポリシーの制約もサポートしており、リソースを保護するために CMEK を必要とする場合があります。
ラベル
ラベルは、 Trusted Cloudサービスに固有のリソースを整理する方法を提供します。Artifact Registry では、リポジトリにラベルを追加して、リポジトリをグループ化したり、ラベルでリポジトリ リストをフィルタしたりできます。たとえば、自動化や課金を目的として、ラベルを使用して開発ステージまたはチーム別にリポジトリをグループ化できます。リポジトリ ラベルの作成と使用の詳細については、リポジトリのラベル付けをご覧ください。