Herramientas para desarrolladores

Gestión de repositorios de artefactos - Base segura de gestión de paquetes con AWS CodeArtifact

Explica la construcción y operación de repositorios de artefactos con AWS CodeArtifact. Presenta la centralización de la gestión de paquetes npm, Maven, PyPI y la construcción de pipelines de build seguros con integración de CodeBuild.

約 8 分で読めます

Rol del repositorio de artefactos y descripción general de CodeArtifact

En el desarrollo de software, la gestión de bibliotecas externas y paquetes internos compartidos es clave para la calidad y la seguridad. AWS CodeArtifact es un servicio de repositorio de artefactos completamente administrado compatible con los principales gestores de paquetes como npm, Maven, PyPI, NuGet, Swift y Cargo. Actúa como proxy para la obtención de paquetes de repositorios públicos y puede proporcionar a los desarrolladores solo las versiones aprobadas internamente. Cuando se opera Nexus Repository o JFrog Artifactory on-premises, es necesario realizar el aprovisionamiento de servidores, gestión de almacenamiento, respaldos y escalado por cuenta propia. CodeArtifact delega toda esta carga operativa a AWS, permitiendo que los equipos de desarrollo se concentren en el uso y gobernanza de paquetes. CodeArtifact se puede utilizar como servicio independiente, y su gran ventaja es lograr un control de acceso consistente en todo el entorno AWS mediante políticas IAM. La estructura jerárquica de dominios y repositorios permite aplicar políticas de gestión de paquetes de forma unificada en toda la organización.

Repositorios upstream y control de flujo de paquetes

La función de repositorios upstream de CodeArtifact es un mecanismo para controlar jerárquicamente las fuentes de obtención de paquetes. Al configurar el repositorio interno como primario y los repositorios públicos (npmjs.com, Maven Central, PyPI) como upstream, se resuelven prioritariamente los paquetes internos mientras se obtienen transparentemente los paquetes externos. A continuación se muestra un ejemplo de creación de dominio y repositorio con AWS CLI y configuración del upstream de npm. ```bash # Creación del dominio aws codeartifact create-domain --domain my-org # Creación del repositorio interno aws codeartifact create-repository \ --domain my-org \ --repository internal-packages # Configurar repositorio público npm como upstream aws codeartifact create-repository \ --domain my-org \ --repository npm-store \ --upstreams repositoryName=internal-packages aws codeartifact associate-external-connection \ --domain my-org \ --repository npm-store \ --external-connection public:npmjs ``` El control de origen de paquetes permite un control detallado como limitar paquetes específicos a obtención solo externa o restringirlos a publicación interna únicamente. Como contramedida contra ataques de confusión de dependencias (Dependency Confusion Attack), se proporciona de forma estándar la configuración para bloquear la obtención de paquetes externos con el mismo nombre que los paquetes internos. La gestión de versiones de paquetes y las políticas de ciclo de vida también permiten el archivado automático de versiones antiguas y la optimización de costos de almacenamiento.

Integración con CodeBuild y pipeline de build seguro

La integración de CodeArtifact con CodeBuild es esencial para construir pipelines de build seguros. Desde el entorno de build de CodeBuild se accede a CodeArtifact usando tokens de autenticación, ejecutando builds solo con paquetes aprobados. Los tokens de autenticación tienen una validez máxima de 12 horas y se renuevan automáticamente por cada build, eliminando la necesidad de gestionar credenciales a largo plazo. A continuación se muestra un ejemplo de configuración de autenticación de CodeArtifact en buildspec.yml para obtener paquetes npm. ```yaml version: 0.2 phases: pre_build: commands: - aws codeartifact login --tool npm \ --domain my-org \ --repository npm-store - npm ci build: commands: - npm run build - npm test artifacts: files: - 'dist/**/*' ``` Usando VPC endpoints, se puede acceder a CodeArtifact desde el entorno de build sin pasar por internet, fortaleciendo aún más la seguridad de red. En entornos CI/CD on-premises, asegurar la ruta de red al repositorio privado y la configuración del firewall tiende a ser complejo, pero dentro del entorno AWS se puede configurar de forma concisa con autenticación basada en roles IAM. Para ampliar conocimientos sobre herramientas de desarrollo, también puedes utilizar libros especializados en Amazon.

Compartición entre cuentas y gobernanza organizacional

La función de dominio de CodeArtifact permite lograr la gobernanza de paquetes a nivel organizacional en coordinación con AWS Organizations. Un dominio se puede compartir entre múltiples cuentas AWS, controlando detalladamente los permisos de acceso por cuenta mediante políticas de recursos. A continuación se muestra un ejemplo de configuración de política de dominio que permite el acceso entre cuentas. ```json { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": ["codeartifact:GetAuthorizationToken", "codeartifact:ReadFromRepository"], "Resource": "*" }] } ``` Es posible otorgar permisos de escritura a los equipos que publican bibliotecas comunes y permisos de solo lectura a los equipos que las utilizan. La integración con CloudTrail registra automáticamente logs de auditoría de quién descargó o publicó qué paquete y cuándo. La integración con EventBridge permite construir mecanismos que inician automáticamente pipelines de build downstream cuando se publica una nueva versión de un paquete. Combinado con el escaneo de vulnerabilidades de paquetes, se reduce el riesgo de ataques a la cadena de suministro y se fortalece la seguridad de la cadena de suministro de software de toda la organización.

Precios de CodeArtifact

El almacenamiento de CodeArtifact cuesta aproximadamente 0.05 dólares por GB al mes, y las solicitudes cuestan aproximadamente 0.05 dólares por cada 10,000. Los paquetes públicos almacenados en caché desde upstream también están sujetos a cargos de almacenamiento. No hay cargos adicionales al compartir dominios con Organizations. Se gestionan los costos de almacenamiento eliminando automáticamente versiones antiguas con políticas de ciclo de vida.

Resumen - Optimización de la estrategia de repositorio de artefactos

AWS CodeArtifact, como repositorio de artefactos completamente administrado con soporte multi-lenguaje, reduce significativamente la complejidad de la gestión de paquetes. En la actualidad, donde la seguridad de la cadena de suministro de software es cada vez más importante, CodeArtifact estandariza la gestión de paquetes de las organizaciones de desarrollo y centraliza la obtención de paquetes desde repositorios upstream, mejorando la visibilidad y seguridad de las dependencias.

Servicios relacionados

AWS CodeArtifactUn repositorio de artefactos completamente administrado para almacenar y compartir paquetes de software de forma seguraAWS CodeBuildUn servicio de compilación completamente administrado que ejecuta automáticamente la compilación y pruebas del código fuente

Artículos relacionados

Automatización de pipelines CI/CD - Entrega continua con AWS CodePipelineAprenda sobre la automatización de pipelines CI/CD usando AWS CodePipeline y CodeBuild.Infraestructura de gestión de paquetes con AWS CodeArtifact - Repositorios privados de npm, Maven y PyPIConstruya repositorios privados de npm, Maven y PyPI, y asegure la estabilidad de compilación con caché upstream. Prevenga ataques de confusión de dependencias con el control de origen de paquetes.Revisión de código y perfilado - Mejora de calidad y optimización de rendimiento con Amazon CodeGuruExplicamos la automatización de revisiones de código y técnicas de perfilado de aplicaciones con Amazon CodeGuru. Presentamos la integración de puertas de calidad en pipelines CI/CD con CodeBuild y la optimización del rendimiento en producción.

Más sobre este tema

El desarrollo de software transformado por AI-DLC - Guía práctica de las 3 fases Inception, Construction y OperationExplicamos la visión general de la metodología AI-DLC que sitúa la IA en el centro del proceso de desarrollo. Presentamos las 3 fases Inception, Construction y Operation, y los métodos prácticos con Kiro y Amazon Q Developer.Taller práctico AI-DLC Unicorn Gym - Domina AI-DLC con desarrollo en equipoPresentamos el contenido completo del taller práctico de 3 días para experimentar AI-DLC con desarrollo en equipo. Explicamos cómo llevar a cabo Mob Elaboration y Mob Construction, y cómo aprovechar los flujos de trabajo de código abierto.Diseño visual de aplicaciones serverless con AWS Application Composer - Generación automática de plantillas IaCExplica el diseño visual de arquitecturas serverless con Application Composer, la generación automática de plantillas SAM y la integración con VS Code.El mecanismo de throttling de las API de AWS - El algoritmo Token Bucket y la verdad detrás del error 429Explicamos cómo el rate limiting de las API de AWS se implementa con el algoritmo Token Bucket, el concepto de burst capacity, las diferencias en los límites según el servicio, y las medidas prácticas para evitar el throttling.¿Por qué las API de AWS devuelven XML? - La historia de la evolución desde Query API hasta REST JSONExplicamos las razones históricas por las que las API de S3 y EC2 devuelven respuestas XML, las diferencias entre Query API y REST API, la evolución de la autenticación de Signature V2 a V4, y la complejidad que los SDK ocultan.Por qué los endpoints de API de AWS difieren por región - Diseño de servicios globales y regionalesExplicamos las razones de diseño por las que existen endpoints regionales como ec2.us-east-1.amazonaws.com y endpoints globales como iam.amazonaws.com, así como los endpoints dual-stack y FIPS.Entorno de shell basado en navegador - Acceso CLI instantáneo con AWS CloudShellExplica el entorno de shell basado en navegador con AWS CloudShell. Cubre el entorno CLI disponible instantáneamente desde la consola de administración de AWS, herramientas de desarrollo preinstaladas, integración automática de autenticación IAM, gestión segura de archivos y consejos prácticos para mejorar la eficiencia operativa.IaC con lenguajes de programación usando AWS CDK - Diseño de Constructs y StacksAprenda sobre la definición de infraestructura con TypeScript/Python usando CDK, la elección entre constructs L1/L2/L3 y técnicas de pruebas.

Artículos y servicios similares

Infraestructura de gestión de paquetes con AWS CodeArtifact - Repositorios privados de npm, Maven y PyPIConstruya repositorios privados de npm, Maven y PyPI, y asegure la estabilidad de compilación con caché upstream. Prevenga ataques de confusión de dependencias con el control de origen de paquetes.AWS CodeArtifactServicio de gestión de artefactos completamente administrado que proporciona repositorios de paquetes para npm, Maven, PyPI y NuGetGestión de imágenes de contenedor con Amazon ECR - Políticas de ciclo de vida y escaneo de imágenesPresentamos patrones operativos para eliminar automáticamente imágenes antiguas con políticas de ciclo de vida en repositorios privados y detectar vulnerabilidades con escaneo de imágenes.