AWS - ECR Enum
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Elastic Container Registry (Amazon ECR) to zarządzana usługa rejestru obrazów kontenerów. Została zaprojektowana, aby zapewnić środowisko, w którym klienci mogą wchodzić w interakcje ze swoimi obrazami kontenerów, korzystając z dobrze znanych interfejsów. W szczególności wspierane jest użycie Docker CLI lub dowolnego preferowanego klienta, co umożliwia takie działania jak przesyłanie, pobieranie i zarządzanie obrazami kontenerów.
ECR składa się z 2 typów obiektów: Rejestrów i Repozytoriów.
Rejestry
Każde konto AWS ma 2 rejestry: Prywatne i Publiczne.
Prywatne rejestry:
Prywatne domyślnie: Obrazy kontenerów przechowywane w prywatnym rejestrze Amazon ECR są dostępne tylko dla autoryzowanych użytkowników w Twoim koncie AWS lub dla tych, którym przyznano uprawnienia.
URI prywatnego repozytorium ma format <account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>
Kontrola dostępu: Możesz kontrolować dostęp do swoich prywatnych obrazów kontenerów za pomocą polityk IAM, a także możesz skonfigurować szczegółowe uprawnienia w oparciu o użytkowników lub role.
Integracja z usługami AWS: Prywatne rejestry Amazon ECR mogą być łatwo integrowane z innymi usługami AWS, takimi jak EKS, ECS...
Inne opcje prywatnych rejestrów:
Kolumna immutability tagu wskazuje jego status, jeśli immutability tagu jest włączone, zapobiegnie to przesyłaniu obrazów z istniejącymi tagami, które mogłyby nadpisać obrazy.
Kolumna Typ szyfrowania wymienia właściwości szyfrowania repozytorium, pokazuje domyślne typy szyfrowania, takie jak AES-256, lub ma włączone szyfrowania KMS.
Kolumna Pull through cache wskazuje jego status, jeśli status Pull through cache jest aktywny, będzie buforować repozytoria w zewnętrznym publicznym repozytorium do Twojego prywatnego repozytorium.
Specyficzne polityki IAM mogą być skonfigurowane w celu przyznania różnych uprawnień.
Konfiguracja skanowania pozwala na skanowanie pod kątem luk w zabezpieczeniach w obrazach przechowywanych w repozytorium.
Publiczne rejestry:
Publiczny dostęp: Obrazy kontenerów przechowywane w publicznym rejestrze ECR są dostępne dla każdego w internecie bez uwierzytelnienia.
URI publicznego repozytorium jest jak public.ecr.aws/<random>/<name>
. Chociaż część <random>
może być zmieniana przez administratora na inny łatwiejszy do zapamiętania ciąg.
Repozytoria
To są obrazy, które znajdują się w prywatnym rejestrze lub w publicznym.
Zauważ, że aby przesłać obraz do repozytorium, repozytorium ECR musi mieć tę samą nazwę co obraz.
Rejestry i repozytoria mają również polityki, które mogą być używane do przyznawania uprawnień innym podmiotom/kontom. Na przykład, w poniższej polityce repozytorium możesz zobaczyć, jak każdy użytkownik z całej organizacji będzie mógł uzyskać dostęp do obrazu:
Na poniższej stronie możesz sprawdzić, jak nadużyć uprawnień ECR, aby eskalować uprawnienia:
AWS - ECR PrivescUcz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)