GCP - Artifact Registry Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Google Cloud Artifact Registry - це повністю керована служба, яка дозволяє вам управляти, зберігати та захищати ваші програмні артефакти. Це, по суті, репозиторій для зберігання залежностей збірки, таких як Docker образи, Maven, npm пакети та інші типи артефактів. Він зазвичай використовується в CI/CD конвеєрах для зберігання та версіонування артефактів, що виробляються під час процесу розробки програмного забезпечення.
Ключові особливості Artifact Registry включають:
Уніфікований репозиторій: Він підтримує декілька типів артефактів, що дозволяє мати один репозиторій для Docker образів, мовних пакетів (таких як Maven для Java, npm для Node.js) та інших типів артефактів, що забезпечує послідовний контроль доступу та уніфікований вигляд для всіх ваших артефактів.
Повністю керований: Як керована служба, вона піклується про підлягаючу інфраструктуру, масштабування та безпеку, зменшуючи витрати на обслуговування для користувачів.
Детальний контроль доступу: Інтегрується з управлінням ідентифікацією та доступом (IAM) Google Cloud, що дозволяє визначити, хто може отримувати доступ, завантажувати або завантажувати артефакти у ваших репозиторіях.
Геореплікація: Підтримує реплікацію артефактів через кілька регіонів, покращуючи швидкість завантажень і забезпечуючи доступність.
Інтеграція з сервісами Google Cloud: Працює безперешкодно з іншими сервісами GCP, такими як Cloud Build, Kubernetes Engine та Compute Engine, що робить його зручним вибором для команд, які вже працюють в екосистемі Google Cloud.
Безпека: Пропонує функції, такі як сканування вразливостей та аналіз контейнерів, щоб допомогти забезпечити, що збережені артефакти є безпечними та вільними від відомих проблем безпеки.
Коли ви створюєте новий репозиторій, ви можете вибрати формат/тип репозиторію серед кількох, таких як Docker, Maven, npm, Python... та режим, який зазвичай може бути одним з цих трьох:
Стандартний репозиторій: Режим за замовчуванням для зберігання ваших власних артефактів (таких як Docker образи, пакети Maven) безпосередньо в GCP. Він безпечний, масштабований і добре інтегрується в екосистему Google Cloud.
Віддалений репозиторій (якщо доступний): Діє як проксі для кешування артефактів з зовнішніх, публічних репозиторіїв. Це допомагає запобігти проблемам, пов'язаним зі зміною залежностей вгору по ланцюгу, і зменшує затримки, кешуючи часто використовувані артефакти.
Віртуальний репозиторій (якщо доступний): Надає уніфікований інтерфейс для доступу до кількох (стандартних або віддалених) репозиторіїв через одну точку доступу, спрощуючи конфігурацію на стороні клієнта та управління доступом для артефактів, розподілених по різних репозиторіях.
Для віртуального репозиторію вам потрібно вибрати репозиторії та надати їм пріоритет (репозиторій з найбільшим пріоритетом буде використовуватися).
Ви можете поєднувати віддалені та стандартні репозиторії в віртуальному, якщо пріоритет віддаленого є більшим, ніж стандартний, пакети з віддаленого (наприклад, PyPi) будуть використовуватися. Це може призвести до плутанини залежностей.
Зверніть увагу, що в віддаленій версії Docker можливо вказати ім'я користувача та токен для доступу до Docker Hub. Токен потім зберігається в Secret Manager.
Як і очікувалося, за замовчуванням використовується ключ, керований Google, але можна вказати ключ, керований клієнтом (CMEK).
Видалити артефакти: Артефакти будуть видалені відповідно до критеріїв політики очищення.
Сухий запуск: (За замовчуванням) Артефакти не будуть видалені. Політики очищення будуть оцінені, а тестові події видалення надіслані до Cloud Audit Logging.
Можливо увімкнути сканер вразливостей, який перевірятиме наявність вразливостей у контейнерних образах.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)