GCP - Artifact Registry Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Google Cloud Artifact Registry, yazılım eserlerinizi yönetmenizi, depolamanızı ve güvence altına almanızı sağlayan tamamen yönetilen bir hizmettir. Temelde, Docker görüntüleri, Maven, npm paketleri ve diğer türdeki eserler gibi derleme bağımlılıklarını depolamak için bir depo işlevi görür. Yazılım geliştirme süreci sırasında üretilen eserleri depolamak ve sürümlemek için CI/CD boru hatlarında yaygın olarak kullanılır.
Artifact Registry'nin ana özellikleri şunlardır:
Birleşik Depo: Birden fazla türde eseri destekler, böylece Docker görüntüleri, dil paketleri (Java’nın Maven’i, Node.js’nin npm’i gibi) ve diğer türde eserler için tek bir depo oluşturmanıza olanak tanır, bu da tüm eserlerinizde tutarlı erişim kontrolleri ve birleşik bir görünüm sağlar.
Tamamen Yönetilen: Yönetilen bir hizmet olarak, altyapıyı, ölçeklendirmeyi ve güvenliği üstlenir, kullanıcılar için bakım yükünü azaltır.
İnce Taneli Erişim Kontrolü: Google Cloud’un Kimlik ve Erişim Yönetimi (IAM) ile entegre olur, böylece depolarınızdaki eserlere kimin erişebileceğini, yükleyebileceğini veya indirebileceğini tanımlamanıza olanak tanır.
Coğrafi Yedekleme: Eserlerin birden fazla bölgede çoğaltılmasını destekler, indirme hızını artırır ve kullanılabilirliği garanti eder.
Google Cloud Hizmetleri ile Entegrasyon: Cloud Build, Kubernetes Engine ve Compute Engine gibi diğer GCP hizmetleriyle sorunsuz bir şekilde çalışır, bu da Google Cloud ekosisteminde zaten çalışan ekipler için pratik bir seçim olmasını sağlar.
Güvenlik: Depolanan eserlerin güvenli ve bilinen güvenlik sorunlarından arındırılmış olmasını sağlamak için zafiyet taraması ve konteyner analizi gibi özellikler sunar.
Yeni bir depo oluştururken, deponun formatını/tipini Docker, Maven, npm, Python gibi birkaç seçenek arasından seçmek mümkündür ve mod genellikle bu üçünden biri olabilir:
Standart Depo: GCP'de kendi eserlerinizi (Docker görüntüleri, Maven paketleri gibi) doğrudan depolamak için varsayılan moddur. Güvenli, ölçeklenebilir ve Google Cloud ekosisteminde iyi bir şekilde entegre olur.
Uzaktan Depo (varsa): harici, kamuya açık depolardan eserleri önbelleğe almak için bir proxy olarak işlev görür. Yukarı akışta bağımlılıkların değişmesinden kaynaklanan sorunları önlemeye yardımcı olur ve sık erişilen eserleri önbelleğe alarak gecikmeyi azaltır.
Sanal Depo (varsa): birden fazla (standart veya uzaktan) depoya tek bir uç nokta üzerinden erişim sağlamak için birleşik bir arayüz sunar, bu da çeşitli depolar arasında yayılmış eserler için istemci tarafı yapılandırmasını ve erişim yönetimini basitleştirir.
Sanal bir depo için depoları seçmeniz ve onlara bir öncelik vermeniz gerekecektir (en yüksek önceliğe sahip depo kullanılacaktır).
Uzaktan ve standart depoları bir sanal depoda karıştırabilirsiniz, eğer uzaktan olanın önceliği standart olandan büyükse, uzaktan (örneğin PyPi) paketleri kullanılacaktır. Bu, Bağımlılık Karışıklığına yol açabilir.
Docker'ın Uzaktan versiyonunda, Docker Hub'a erişmek için bir kullanıcı adı ve token vermek mümkündür. Token daha sonra Secret Manager'da saklanır.
Beklendiği gibi, varsayılan olarak Google tarafından yönetilen bir anahtar kullanılır, ancak Müşteri tarafından yönetilen bir anahtar belirtilebilir (CMEK).
Eserleri sil: Eserler, temizlik politikası kriterlerine göre silinecektir.
Kuru çalıştırma: (Varsayılan) Eserler silinmeyecektir. Temizlik politikaları değerlendirilecek ve test silme olayları Cloud Audit Logging'e gönderilecektir.
Konteyner görüntüleri içindeki zafiyetleri kontrol edecek zafiyet tarayıcısını etkinleştirmek mümkündür.
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)