AWS - ECR Enum

AWS - ECR Enum

ECR

Βασικές Πληροφορίες

Η Amazon Elastic Container Registry (Amazon ECR) είναι μια διαχειριζόμενη υπηρεσία καταχώρισης εικόνων κοντέινερ. Σχεδιάστηκε για να παρέχει ένα περιβάλλον όπου οι πελάτες μπορούν να αλληλεπιδρούν με τις εικόνες κοντέινερ τους χρησιμοποιώντας γνωστές διεπαφές. Συγκεκριμένα, υποστηρίζεται η χρήση του Docker CLI ή οποιουδήποτε προτιμώμενου πελάτη, επιτρέποντας δραστηριότητες όπως η αποστολή, η λήψη και η διαχείριση εικόνων κοντέινερ.

Το ECR αποτελείται από 2 τύπους αντικειμένων: Καταχωρίσεις και Αποθετήρια.

Καταχωρίσεις

Κάθε λογαριασμός AWS έχει 2 καταχωρίσεις: Ιδιωτικές & Δημόσιες.

1. Ιδιωτικές Καταχωρίσεις:

• Ιδιωτικές από προεπιλογή: Οι εικόνες κοντέινερ που αποθηκεύονται σε μια ιδιωτική καταχώριση Amazon ECR είναι προσβάσιμες μόνο σε εξουσιοδοτημένους χρήστες εντός του λογαριασμού AWS σας ή σε εκείνους που έχουν λάβει άδεια.

• Η URI ενός ιδιωτικού αποθετηρίου ακολουθεί τη μορφή <account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>

• Έλεγχος πρόσβασης: Μπορείτε να ελέγξετε την πρόσβαση στις ιδιωτικές εικόνες κοντέινερ σας χρησιμοποιώντας πολιτικές IAM, και μπορείτε να διαμορφώσετε λεπτομερείς άδειες με βάση τους χρήστες ή τους ρόλους.

• Ενσωμάτωση με υπηρεσίες AWS: Οι ιδιωτικές καταχωρίσεις Amazon ECR μπορούν να ενσωματωθούν εύκολα με άλλες υπηρεσίες AWS, όπως EKS, ECS...

• Άλλες επιλογές ιδιωτικής καταχώρισης:

• Η στήλη αμεταβλητότητας ετικετών αναφέρει την κατάσταση της, αν η αμεταβλητότητα ετικετών είναι ενεργοποιημένη θα αποτρέπει τις αποστολές εικόνας με προϋπάρχουσες ετικέτες από το να αντικαθιστούν τις εικόνες.

• Η στήλη Τύπος κρυπτογράφησης αναφέρει τις ιδιότητες κρυπτογράφησης του αποθετηρίου, δείχνει τους προεπιλεγμένους τύπους κρυπτογράφησης όπως AES-256, ή έχει KMS ενεργοποιημένες κρυπτογραφήσεις.

• Η στήλη Pull through cache αναφέρει την κατάσταση της, αν η κατάσταση Pull through cache είναι Ενεργή θα αποθηκεύει αποθετήρια σε μια εξωτερική δημόσια καταχώριση στο ιδιωτικό σας αποθετήριο.

• Συγκεκριμένες πολιτικές IAM μπορούν να διαμορφωθούν για να παραχωρήσουν διαφορετικές άδειες.

• Η διαμόρφωση σάρωσης επιτρέπει τη σάρωση για ευπάθειες στις εικόνες που αποθηκεύονται μέσα στο αποθετήριο.

1. Δημόσιες Καταχωρίσεις:

• Δημόσια προσβασιμότητα: Οι εικόνες κοντέινερ που αποθηκεύονται σε μια δημόσια καταχώριση ECR είναι προσβάσιμες σε οποιονδήποτε στο διαδίκτυο χωρίς αυθεντικοποίηση.

• Η URI ενός δημόσιου αποθετηρίου είναι όπως public.ecr.aws/<random>/<name>. Αν και το <random> μέρος μπορεί να αλλάξει από τον διαχειριστή σε μια άλλη συμβολοσειρά πιο εύκολη στην απομνημόνευση.

Αποθετήρια

Αυτές είναι οι εικόνες που βρίσκονται στην ιδιωτική καταχώριση ή στην δημόσια.

Πολιτικές Καταχώρισης & Αποθετηρίου

Καταχωρίσεις & αποθετήρια έχουν επίσης πολιτικές που μπορούν να χρησιμοποιηθούν για να παραχωρήσουν άδειες σε άλλους φορείς/λογαριασμούς. Για παράδειγμα, στην παρακάτω πολιτική αποθετηρίου μπορείτε να δείτε πώς οποιοσδήποτε χρήστης από ολόκληρη την οργάνωση θα μπορεί να έχει πρόσβαση στην εικόνα:

Αριθμητική

# Get repos
aws ecr describe-repositories
aws ecr describe-registry

# Get image metadata
aws ecr list-images --repository-name <repo_name>
aws ecr describe-images --repository-name <repo_name>
aws ecr describe-image-replication-status --repository-name <repo_name> --image-id <image_id>
aws ecr describe-image-scan-findings --repository-name <repo_name> --image-id <image_id>
aws ecr describe-pull-through-cache-rules --repository-name <repo_name> --image-id <image_id>

# Get public repositories
aws ecr-public describe-repositories

# Get policies
aws ecr get-registry-policy
aws ecr get-repository-policy --repository-name <repo_name>

Μη Αυθεντικοποιημένη Enum

Privesc

Στην επόμενη σελίδα μπορείτε να δείτε πώς να καταχραστείτε τις άδειες ECR για να κλιμακώσετε τα δικαιώματα:

Μετά την Εκμετάλλευση

Επιμονή

Αναφορές

• https://docs.aws.amazon.com/AmazonECR/latest/APIReference/Welcome.html