GCP - Artifact Registry Enum
Last updated
Last updated
Apprenez et pratiquez le hacking AWS :Formation HackTricks AWS Red Team Expert (ARTE) Apprenez et pratiquez le hacking GCP : Formation HackTricks GCP Red Team Expert (GRTE)
Google Cloud Artifact Registry est un service entièrement géré qui vous permet de gérer, stocker et sécuriser vos artefacts logiciels. C'est essentiellement un dépôt pour stocker les dépendances de construction, telles que les images Docker, les packages Maven, npm et d'autres types d'artefacts. Il est couramment utilisé dans les pipelines CI/CD pour stocker et versionner les artefacts produits lors du processus de développement logiciel.
Les principales caractéristiques de l'Artifact Registry incluent :
Dépôt unifié : Il prend en charge plusieurs types d'artefacts, vous permettant d'avoir un seul dépôt pour les images Docker, les packages de langage (comme Maven de Java, npm de Node.js) et d'autres types d'artefacts, permettant des contrôles d'accès cohérents et une vue unifiée de tous vos artefacts.
Entièrement géré : En tant que service géré, il s'occupe de l'infrastructure sous-jacente, de la mise à l'échelle et de la sécurité, réduisant ainsi la charge de maintenance pour les utilisateurs.
Contrôle d'accès granulaire : Il s'intègre à l'Identity and Access Management (IAM) de Google Cloud, vous permettant de définir qui peut accéder, télécharger ou télécharger des artefacts dans vos dépôts.
Géo-réplication : Il prend en charge la réplication des artefacts à travers plusieurs régions, améliorant la vitesse des téléchargements et garantissant la disponibilité.
Intégration avec les services Google Cloud : Il fonctionne de manière transparente avec d'autres services GCP comme Cloud Build, Kubernetes Engine et Compute Engine, ce qui en fait un choix pratique pour les équipes travaillant déjà dans l'écosystème Google Cloud.
Sécurité : Offre des fonctionnalités telles que l'analyse des vulnérabilités et l'analyse des conteneurs pour aider à garantir que les artefacts stockés sont sécurisés et exempts de problèmes de sécurité connus.
Lors de la création d'un nouveau dépôt, il est possible de sélectionner le format/type du dépôt parmi plusieurs comme Docker, Maven, npm, Python... et le mode qui peut généralement être l'un de ces trois :
Dépôt standard : Mode par défaut pour stocker vos propres artefacts (comme les images Docker, les packages Maven) directement dans GCP. C'est sécurisé, évolutif et s'intègre bien dans l'écosystème Google Cloud.
Dépôt distant (si disponible) : Agit comme un proxy pour mettre en cache des artefacts provenant de dépôts externes, publics. Cela aide à prévenir les problèmes dus aux changements de dépendances en amont et réduit la latence en mettant en cache les artefacts fréquemment accédés.
Dépôt virtuel (si disponible) : Fournit une interface unifiée pour accéder à plusieurs dépôts (standards ou distants) via un seul point de terminaison, simplifiant la configuration côté client et la gestion des accès pour les artefacts répartis sur divers dépôts.
Pour un dépôt virtuel, vous devrez sélectionner des dépôts et leur donner une priorité (le dépôt avec la plus grande priorité sera utilisé).
Vous pouvez mélanger des dépôts distants et standards dans un dépôt virtuel, si la priorité du distant est plus grande que celle du standard, les packages du distant (PyPi par exemple) seront utilisés. Cela pourrait conduire à une confusion de dépendance.
Notez que dans la version distante de Docker, il est possible de donner un nom d'utilisateur et un token pour accéder à Docker Hub. Le token est ensuite stocké dans le Secret Manager.
Comme prévu, par défaut, une clé gérée par Google est utilisée, mais une clé gérée par le client peut être indiquée (CMEK).
Supprimer les artefacts : Les artefacts seront supprimés selon les critères de la politique de nettoyage.
Exécution à blanc : (Par défaut) Les artefacts ne seront pas supprimés. Les politiques de nettoyage seront évaluées et des événements de suppression de test envoyés à Cloud Audit Logging.
Il est possible d'activer le scanner de vulnérabilités qui vérifiera les vulnérabilités à l'intérieur des images de conteneurs.
Apprenez et pratiquez le Hacking AWS :HackTricks Training AWS Red Team Expert (ARTE) Apprenez et pratiquez le Hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)