AWS - ECR Enum

AWS - ECR Enum

ECR

मूल जानकारी

Amazon Elastic Container Registry (Amazon ECR) एक प्रबंधित कंटेनर इमेज रजिस्ट्री सेवा है। यह एक ऐसा वातावरण प्रदान करने के लिए डिज़ाइन किया गया है जहाँ ग्राहक अपने कंटेनर इमेज के साथ अच्छी तरह से ज्ञात इंटरफेस का उपयोग करके बातचीत कर सकते हैं। विशेष रूप से, Docker CLI या किसी भी पसंदीदा क्लाइंट का उपयोग समर्थित है, जो कंटेनर इमेज को पुश, पुल और प्रबंधित करने जैसी गतिविधियों को सक्षम बनाता है।

ECR 2 प्रकार की वस्तुओं से बना है: रजिस्ट्री और रिपोजिटरी।

रजिस्ट्री

हर AWS खाते में 2 रजिस्ट्री होती हैं: निजी और सार्वजनिक।

1. निजी रजिस्ट्री:

• डिफ़ॉल्ट रूप से निजी: Amazon ECR निजी रजिस्ट्री में संग्रहीत कंटेनर इमेज केवल अधिकृत उपयोगकर्ताओं के लिए उपलब्ध हैं जो आपके AWS खाते के भीतर हैं या जिन्हें अनुमति दी गई है।

• एक निजी रिपोजिटरी का URI इस प्रारूप का अनुसरण करता है <account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>

• एक्सेस नियंत्रण: आप IAM नीतियों का उपयोग करके अपनी निजी कंटेनर इमेज तक पहुँच को नियंत्रित कर सकते हैं, और आप उपयोगकर्ताओं या भूमिकाओं के आधार पर बारीक अनुमति कॉन्फ़िगर कर सकते हैं।

• AWS सेवाओं के साथ एकीकरण: Amazon ECR निजी रजिस्ट्री को अन्य AWS सेवाओं के साथ आसानी से एकीकृत किया जा सकता है, जैसे EKS, ECS...

• अन्य निजी रजिस्ट्री विकल्प:

• टैग अपरिवर्तनीयता कॉलम इसकी स्थिति को सूचीबद्ध करता है, यदि टैग अपरिवर्तनीयता सक्षम है तो यह पुश के साथ पूर्व-निर्धारित टैग के साथ इमेज को ओवरराइट करने से रोक देगा।

• एन्क्रिप्शन प्रकार कॉलम रिपोजिटरी की एन्क्रिप्शन विशेषताओं को सूचीबद्ध करता है, यह डिफ़ॉल्ट एन्क्रिप्शन प्रकार जैसे AES-256 दिखाता है, या KMS सक्षम एन्क्रिप्शन है।

• पुल थ्रू कैश कॉलम इसकी स्थिति को सूचीबद्ध करता है, यदि पुल थ्रू कैश स्थिति सक्रिय है तो यह एक बाहरी सार्वजनिक रिपोजिटरी में रिपोजिटरी को आपके निजी रिपोजिटरी में कैश करेगा।

• विशिष्ट IAM नीतियों को विभिन्न अनुमतियों को देने के लिए कॉन्फ़िगर किया जा सकता है।

• स्कैनिंग कॉन्फ़िगरेशन इमेज में भेद्यता के लिए स्कैन करने की अनुमति देता है जो रिपोजिटरी के अंदर संग्रहीत हैं।

1. सार्वजनिक रजिस्ट्री:

• सार्वजनिक पहुंच: ECR सार्वजनिक रजिस्ट्री में संग्रहीत कंटेनर इमेज बिना प्रमाणीकरण के इंटरनेट पर किसी के लिए भी उपलब्ध हैं।

• एक सार्वजनिक रिपोजिटरी का URI इस तरह है public.ecr.aws/<random>/<name>। हालांकि <random> भाग को व्यवस्थापक द्वारा याद रखने में आसान किसी अन्य स्ट्रिंग में बदला जा सकता है।

रिपोजिटरी

ये इमेज हैं जो निजी रजिस्ट्री में या सार्वजनिक में हैं।

रजिस्ट्री और रिपोजिटरी नीतियाँ

रजिस्ट्री और रिपोजिटरी के पास अन्य प्रिंसिपल/खातों को अनुमतियाँ देने के लिए उपयोग की जाने वाली नीतियाँ भी होती हैं। उदाहरण के लिए, निम्नलिखित रिपोजिटरी नीति छवि में आप देख सकते हैं कि कैसे संगठन के पूरे उपयोगकर्ता इमेज तक पहुँच प्राप्त कर सकेंगे:

गणना

# Get repos
aws ecr describe-repositories
aws ecr describe-registry

# Get image metadata
aws ecr list-images --repository-name <repo_name>
aws ecr describe-images --repository-name <repo_name>
aws ecr describe-image-replication-status --repository-name <repo_name> --image-id <image_id>
aws ecr describe-image-scan-findings --repository-name <repo_name> --image-id <image_id>
aws ecr describe-pull-through-cache-rules --repository-name <repo_name> --image-id <image_id>

# Get public repositories
aws ecr-public describe-repositories

# Get policies
aws ecr get-registry-policy
aws ecr get-repository-policy --repository-name <repo_name>

अनधिकृत Enum

प्रिवेस्क

अगली पृष्ठ पर आप ECR अनुमतियों का दुरुपयोग करके विशेषाधिकार बढ़ाने के तरीके की जांच कर सकते हैं:

पोस्ट एक्सप्लोइटेशन

स्थिरता

संदर्भ

• https://docs.aws.amazon.com/AmazonECR/latest/APIReference/Welcome.html