AWS CodeArtifact

Servicio de gestión de artefactos completamente administrado que proporciona repositorios de paquetes para npm, Maven, PyPI y NuGet

Unos 4 min de lectura

Descripción general

AWS CodeArtifact es un servicio que proporciona repositorios de paquetes de software de forma completamente administrada. Compatible con los principales gestores de paquetes como npm, Maven, PyPI, NuGet, Swift y Cargo, permite el almacenamiento en caché de paquetes desde registros públicos y la gestión centralizada de paquetes privados internos. Con control de acceso granular mediante políticas IAM, uso compartido entre cuentas y garantía de inmutabilidad de versiones de paquetes, contribuye al fortalecimiento de la seguridad de la cadena de suministro.

Diseño jerárquico de dominios y repositorios

La estructura de recursos de CodeArtifact se compone de 2 niveles jerárquicos: dominios y repositorios. El dominio define el límite de gestión de paquetes para toda la organización, y dentro del mismo dominio se realiza automáticamente la deduplicación de paquetes entre repositorios, optimizando los costos de almacenamiento. Los repositorios se crean por equipo, proyecto o entorno, cada uno con políticas de acceso independientes. En la práctica, es común separar un repositorio para bibliotecas internas compartidas, uno para el equipo de producto y otro para caché de paquetes públicos. Para la encriptación a nivel de dominio se puede especificar una clave administrada por el cliente de AWS KMS, encriptando todos los activos de paquetes almacenados. El uso compartido entre cuentas se controla mediante políticas de dominio, permitiendo que múltiples cuentas dentro de Organizations accedan a los repositorios del mismo dominio para mantener la consistencia de paquetes en toda la organización.

Conexiones upstream y caché de paquetes

Las conexiones upstream de CodeArtifact son un mecanismo que almacena automáticamente en caché los paquetes de registros públicos (npmjs.com, PyPI, Maven Central, NuGet Gallery, etc.). Cuando un desarrollador solicita un paquete, primero se busca en el repositorio local, si no se encuentra se recorren los repositorios upstream en orden, y finalmente se obtiene del registro público y se almacena en caché. Una vez almacenado en caché, el paquete se mantiene localmente, sin verse afectado por fallos del registro público o latencia de red. Este mecanismo también es efectivo como defensa contra ataques a la cadena de suministro. Al configurar el control de origen de paquetes, se puede restringir la incorporación automática de nuevos paquetes desde registros públicos, previniendo ataques de confusión de dependencias (Dependency Confusion). Incluso si se publica un paquete público con el mismo nombre que uno interno, el control de origen prioriza la versión interna. La gestión de estados de versiones de paquetes (Published, Unlisted, Archived, Disposed) también permite restringir gradualmente el uso de versiones obsoletas.

Integración de autenticación con pipelines CI/CD

La autenticación de CodeArtifact funciona mediante la emisión de tokens de autenticación temporales. Se obtiene un token válido por hasta 12 horas con el comando aws codeartifact get-authorization-token y se configura como credencial de autenticación para gestores de paquetes como npm, pip o Maven. En la integración con CodeBuild, el patrón estándar es otorgar permisos de acceso a CodeArtifact al rol IAM del proyecto de build y obtener el token en la fase pre_build del buildspec.yml para configurar el gestor de paquetes. Desde servicios CI externos como GitHub Actions o GitLab CI, se asume un rol IAM mediante federación OIDC para obtener el token. Para npm se configura la URL del registro y el token en el archivo .npmrc, y para pip se especifica la URL del repositorio con la opción --index-url. Separando los permisos de publicación (publish) y obtención (read) de paquetes mediante políticas IAM, se puede prevenir la publicación no intencionada de paquetes desde pipelines CI. Limitando el acceso a través de VPC endpoints mediante políticas de endpoint del repositorio, también se asegura la seguridad de la ruta de red.

共有するXB!

Términos relacionados

AWS CodeBuildAWS CodePipelineAmazon CodeCatalystAWS IAMAWS KMS

Servicios relacionados

AWS CodeBuildAWS CodePipelineAmazon CodeCatalystAWS IAMAWS KMS

Artículos relacionados

Automatización de pipelines CI/CD - Entrega continua con AWS CodePipelineAprenda sobre la automatización de pipelines CI/CD usando AWS CodePipeline y CodeBuild.Flujo de trabajo de desarrollo integrado con Amazon CodeCatalyst - Desde gestión de proyectos hasta CI/CDExplicamos la gestión de proyectos, la configuración de entornos basada en blueprints y la integración de flujos de trabajo CI/CD con CodeCatalyst.Pipeline CI/CD con AWS CodePipeline - Automatización desde el código fuente hasta el despliegueAutomatice desde la detección de cambios en el código fuente hasta la compilación, pruebas y despliegue. Presentamos filtros de trigger V2, acciones de aprobación manual y diseño de despliegue entre cuentas.Codificación acelerada con Amazon CodeWhisperer - Sugerencias de código con IA y escaneo de seguridadGenera sugerencias de código en tiempo real dentro del IDE, proporcionando simultáneamente escaneo de seguridad OWASP Top 10 y detección de referencias de licencias de código abierto. También presentamos consejos para un uso efectivo.Módulos de seguridad de hardware - Gestión dedicada de claves criptográficas con AWS CloudHSMAprende sobre la gestión dedicada de claves criptográficas con AWS CloudHSM. Cubre cuándo elegir CloudHSM sobre KMS, cumplimiento FIPS 140-2 Level 3, descarga TLS e integración con Oracle TDE.

Términos y artículos similares

Infraestructura de gestión de paquetes con AWS CodeArtifact - Repositorios privados de npm, Maven y PyPIConstruya repositorios privados de npm, Maven y PyPI, y asegure la estabilidad de compilación con caché upstream. Prevenga ataques de confusión de dependencias con el control de origen de paquetes.AWS CodeArtifactUn repositorio de artefactos completamente administrado para almacenar y compartir paquetes de software de forma seguraGestión de repositorios de artefactos - Base segura de gestión de paquetes con AWS CodeArtifactExplica la construcción y operación de repositorios de artefactos con AWS CodeArtifact. Presenta la centralización de la gestión de paquetes npm, Maven, PyPI y la construcción de pipelines de build seguros con integración de CodeBuild.Gestión de imágenes de contenedor con Amazon ECR - Políticas de ciclo de vida y escaneo de imágenesPresentamos patrones operativos para eliminar automáticamente imágenes antiguas con políticas de ciclo de vida en repositorios privados y detectar vulnerabilidades con escaneo de imágenes.Amazon ECRServicio de registro de contenedores completamente administrado para almacenar, gestionar y distribuir imágenes de contenedores Docker de forma segura