GCP - Artifact Registry Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Google Cloud Artifact Registry एक पूरी तरह से प्रबंधित सेवा है जो आपको अपने सॉफ़्टवेयर आर्टिफैक्ट्स को प्रबंधित, स्टोर और सुरक्षित करने की अनुमति देती है। यह मूल रूप से बिल्ड निर्भरताओं के लिए एक भंडार है, जैसे कि Docker छवियाँ, Maven, npm पैकेज, और अन्य प्रकार के आर्टिफैक्ट्स। इसका सामान्यत: CI/CD पाइपलाइनों में उपयोग किया जाता है जो सॉफ़्टवेयर विकास प्रक्रिया के दौरान उत्पन्न आर्टिफैक्ट्स को स्टोर और संस्करणित करता है।
Artifact Registry की प्रमुख विशेषताएँ शामिल हैं:
एकीकृत भंडार: यह कई प्रकार के आर्टिफैक्ट्स का समर्थन करता है, जिससे आप Docker छवियों, भाषा पैकेज (जैसे Java का Maven, Node.js का npm), और अन्य प्रकार के आर्टिफैक्ट्स के लिए एकल भंडार रख सकते हैं, जिससे सभी आर्टिफैक्ट्स के लिए सुसंगत पहुँच नियंत्रण और एकीकृत दृश्य सक्षम होता है।
पूर्ण रूप से प्रबंधित: एक प्रबंधित सेवा के रूप में, यह अंतर्निहित बुनियादी ढाँचे, स्केलिंग, और सुरक्षा का ध्यान रखता है, जिससे उपयोगकर्ताओं के लिए रखरखाव का बोझ कम होता है।
सूक्ष्म पहुँच नियंत्रण: यह Google Cloud के पहचान और पहुँच प्रबंधन (IAM) के साथ एकीकृत होता है, जिससे आप यह परिभाषित कर सकते हैं कि कौन आपके भंडार में आर्टिफैक्ट्स को एक्सेस, अपलोड, या डाउनलोड कर सकता है।
भौगोलिक पुनरुत्पादन: यह कई क्षेत्रों में आर्टिफैक्ट्स के पुनरुत्पादन का समर्थन करता है, डाउनलोड की गति में सुधार करता है और उपलब्धता सुनिश्चित करता है।
Google Cloud सेवाओं के साथ एकीकरण: यह अन्य GCP सेवाओं जैसे Cloud Build, Kubernetes Engine, और Compute Engine के साथ निर्बाध रूप से काम करता है, जिससे यह उन टीमों के लिए एक सुविधाजनक विकल्प बनता है जो पहले से ही Google Cloud पारिस्थितिकी तंत्र में काम कर रही हैं।
सुरक्षा: यह कमजोरी स्कैनिंग और कंटेनर विश्लेषण जैसी सुविधाएँ प्रदान करता है ताकि यह सुनिश्चित किया जा सके कि स्टोर किए गए आर्टिफैक्ट्स सुरक्षित हैं और ज्ञात सुरक्षा समस्याओं से मुक्त हैं।
जब एक नया भंडार बनाते हैं तो यह संभव है कि आप भंडार के फॉर्मेट/प्रकार का चयन करें जैसे Docker, Maven, npm, Python... और मोड जो आमतौर पर इनमें से एक हो सकता है:
मानक भंडार: अपने स्वयं के आर्टिफैक्ट्स (जैसे Docker छवियाँ, Maven पैकेज) को सीधे GCP में स्टोर करने के लिए डिफ़ॉल्ट मोड। यह सुरक्षित, स्केलेबल है, और Google Cloud पारिस्थितिकी तंत्र के भीतर अच्छी तरह से एकीकृत होता है।
रिमोट भंडार (यदि उपलब्ध हो): बाहरी, सार्वजनिक भंडारों से आर्टिफैक्ट्स को कैश करने के लिए एक प्रॉक्सी के रूप में कार्य करता है। यह उपरोक्त निर्भरताओं में बदलाव से समस्याओं को रोकने में मदद करता है और अक्सर एक्सेस किए जाने वाले आर्टिफैक्ट्स को कैश करके विलंबता को कम करता है।
वर्चुअल भंडार (यदि उपलब्ध हो): एक एकीकृत इंटरफ़ेस प्रदान करता है जो कई (मानक या रिमोट) भंडारों तक पहुँचने के लिए एकल एंडपॉइंट के माध्यम से, विभिन्न भंडारों में फैले आर्टिफैक्ट्स के लिए क्लाइंट-साइड कॉन्फ़िगरेशन और पहुँच प्रबंधन को सरल बनाता है।
एक वर्चुअल भंडार के लिए आपको भंडारों का चयन करना होगा और उन्हें प्राथमिकता देना होगा (जिस भंडार की प्राथमिकता सबसे बड़ी होगी उसका उपयोग किया जाएगा)।
आप रिमोट और मानक भंडारों को एक वर्चुअल में मिला सकते हैं, यदि रिमोट की प्राथमिकता मानक से बड़ी है, तो रिमोट से पैकेज (उदाहरण के लिए PyPi) का उपयोग किया जाएगा। इससे निर्भरता भ्रम हो सकता है।
ध्यान दें कि Docker के रिमोट संस्करण में Docker Hub तक पहुँचने के लिए एक उपयोगकर्ता नाम और टोकन देना संभव है। टोकन फिर Secret Manager में स्टोर किया जाता है।
जैसा कि अपेक्षित था, डिफ़ॉल्ट रूप से एक Google-प्रबंधित कुंजी का उपयोग किया जाता है लेकिन एक ग्राहक-प्रबंधित कुंजी को इंगित किया जा सकता है (CMEK)।
आर्टिफैक्ट्स को हटाएँ: आर्टिफैक्ट्स को साफ़ करने की नीति मानदंडों के अनुसार हटाया जाएगा।
ड्राई रन: (डिफ़ॉल्ट) आर्टिफैक्ट्स हटाए नहीं जाएंगे। साफ़ करने की नीतियों का मूल्यांकन किया जाएगा, और क्लाउड ऑडिट लॉगिंग के लिए परीक्षण हटाने की घटनाएँ भेजी जाएँगी।
यह संभव है कि कमजोरी स्कैनर को सक्षम किया जाए जो कंटेनर छवियों के अंदर कमजोरियों की जाँच करेगा।
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
