저장소 개요

Artifact Registry를 사용하면 여러 아티팩트 유형을 저장하고, 단일 프로젝트에 여러 저장소를 만들고, 특정 리전 위치를 각 저장소와 연결할 수 있습니다. 이 페이지에서는 저장소의 위치와 조직을 계획하는 데 도움이 되는 고려사항을 설명합니다.

저장소를 만들 때 아티팩트를 만드는 내부 프로세스 및 아티팩트 소비자가 아티팩트를 사용하는 방법을 모두 고려하세요.

저장소 형식

각 저장소는 특정 아티팩트 형식과 연결됩니다. 예를 들어 Docker 저장소는 Docker 이미지를 저장합니다. 동일한 Trusted Cloud 프로젝트에서 각 형식에 대해 여러 저장소를 만들 수 있습니다.

저장소 모드

표준 저장소

표준 저장소는 비공개 아티팩트의 일반 Artifact Registry 저장소입니다. 이러한 저장소를 사용하여 직접 아티팩트를 업로드 및 다운로드하고 Artifact Analysis를 사용하여 취약점 및 기타 메타데이터를 스캔합니다.

표준 저장소를 만들려면 표준 저장소 만들기의 단계를 따르세요.

저장소 위치

지원되는 리전에 저장소를 하나 이상 만들 수 있습니다. 바람직한 저장소 위치는 데이터 소비자의 지연 시간, 가용성, 대역폭 비용이 균형 잡힌 위치입니다. 조직에 특정 규정 준수 요구사항이 있을 수도 있습니다.

프로젝트 구조

리소스 계층 구조는 Trusted Cloud 프로젝트 전반에서 리소스를 구성하는 방법입니다. 선택한 구조는 데이터 거버넌스 요구사항, 신뢰 경계, 팀 구조와 같은 요소에 따라 달라집니다.

다중 프로젝트 조직에서 저장소를 설정하는 일반적인 방법으로는 두 가지가 있습니다.

저장소 중앙 집중화
단일 프로젝트에 모든 저장소를 만든 다음 저장소 수준에서 다른 프로젝트의 주 구성원에게 액세스 권한을 부여합니다. 이 접근 방식은 단일 개인 또는 팀이 조직 전반에서 저장소 관리 및 저장소 액세스를 처리하는 경우 더 효과적일 수 있습니다.
프로젝트별 저장소
아티팩트를 저장하고 다운로드하는 저장소를 프로젝트에 만듭니다. 이 방법은 프로젝트 수준의 리소스 분리 및 제어가 더 필요한 데이터 거버넌스 정책 또는 신뢰 경계가 있는 경우에 필요할 수 있습니다.

액세스 제어

저장소는 공개 액세스를 위해 저장소를 구성하지 않는 한 적절한 권한이 있어야만 액세스할 수 있습니다. 프로젝트 또는 저장소 수준에서 권한을 부여할 수 있습니다.

일부 Trusted Cloud 서비스는 동일한 Trusted Cloud 프로젝트의 저장소에 대한 기본 권한이 있는 기본 서비스 계정을 사용합니다. 그러나 이러한 기본값은 소프트웨어 개발 프로세스에 적합하지 않거나 조직의 보안 또는 정책 요구사항을 준수하지 않을 수 있습니다. 다음과 같은 경우 저장소 관리자가 이러한 서비스에 저장소 액세스 권한을 명시적으로 부여해야 합니다.

  • Artifact Registry가 상호작용하는 서비스와 다른 프로젝트에 있는 경우
  • 사전 정의된 역할 대신 기본 서비스 계정을 사용하는 커스텀 IAM 역할을 사용하고 있는 경우
  • Trusted Cloud서비스의 기본 서비스 계정을 사용하지 않는 경우

저장소에 액세스해야 하는 다른 주 구성원의 경우 저장소 관리자가 액세스 권한을 부여해야 합니다. 최소 권한의 보안 원칙에 따라 필요한 최소 권한을 부여합니다. 예를 들면 다음과 같습니다.

  • Artifact Registry의 컨테이너 이미지를 여러 프로젝트의 GKE 클러스터에 배포합니다. 이러한 클러스터의 노드에 대한 서비스 계정에는 저장소에 대한 읽기 액세스 권한만 필요합니다.
  • 개발 중인 애플리케이션의 개발 저장소와 출시되는 애플리케이션을 위한 프로덕션 저장소가 있습니다. 개발자는 개발 저장소에 대해 읽기 및 쓰기 액세스 권한이 필요하며 프로덕션 저장소에 대해 읽기 전용 액세스 권한이 필요합니다.
  • 샘플 애플리케이션이 있는 데모 저장소가 있습니다. 영업팀은 데모를 다운로드하기 위한 읽기 전용 액세스 권한만 필요합니다.

데이터 암호화

기본적으로 Trusted Cloud by S3NS 는Google Cloud 기반 암호화 키를 사용하여 데이터를 저장할 때 자동으로 암호화합니다. 데이터를 보호하는 키와 관련된 특정 규정 준수 또는 규제 요구사항이 있으면 고객 관리 암호화 키 (CMEK)로 암호화된 저장소를 만들면 됩니다.

Artifact Registry는 리소스를 보호하기 위해 CMEK가 필요할 수 있는 조직 정책 제약조건도 지원합니다.

라벨

라벨을 사용하면 Trusted Cloud서비스와 관련된 리소스를 정리할 수 있습니다. Artifact Registry에서는 저장소에 라벨을 추가할 수 있으므로 저장소를 그룹화하거나 라벨별로 저장소 목록을 필터링할 수 있습니다. 예를 들어 자동화 또는 청구 목적으로 라벨을 사용하여 개발 단계 또는 팀별로 저장소를 그룹화할 수 있습니다. 저장소 라벨 만들기 및 사용에 대한 자세한 내용은 저장소 라벨 지정을 참고하세요.

다음 단계