AWS - ECR Enum

AWS - ECR Enum

ECR

Temel Bilgiler

Amazon Elastic Container Registry (Amazon ECR), yönetilen bir konteyner görüntü kayıt hizmetidir. Müşterilerin konteyner görüntüleriyle tanınmış arayüzler kullanarak etkileşimde bulunabilecekleri bir ortam sağlamak için tasarlanmıştır. Özellikle, Docker CLI veya tercih edilen herhangi bir istemcinin kullanımı desteklenir ve bu, görüntüleri itme, çekme ve yönetme gibi etkinlikleri mümkün kılar.

ECR, 2 tür nesneden oluşur: Kayıtlar ve Depolar.

Kayıtlar

Her AWS hesabının 2 kaydı vardır: Özel ve Halka Açık.

1. Özel Kayıtlar:

• Varsayılan olarak özel: Amazon ECR özel kaydında depolanan konteyner görüntüleri, yalnızca AWS hesabınızdaki yetkili kullanıcılar veya izin verilmiş olanlar tarafından erişilebilir.

• Bir özel depo URI'si <account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name> formatını takip eder.

• Erişim kontrolü: Özel konteyner görüntülerinize erişimi IAM politikaları kullanarak kontrol edebilirsiniz ve kullanıcılar veya roller bazında ince ayar izinleri yapılandırabilirsiniz.

• AWS hizmetleriyle entegrasyon: Amazon ECR özel kayıtları, EKS, ECS gibi diğer AWS hizmetleriyle kolayca entegrasyon sağlayabilir.

• Diğer özel kayıt seçenekleri:

• Etiket değişmezliği sütunu, durumunu listeler; etiket değişmezliği etkinleştirildiğinde, önceden var olan etiketlerle görüntü itmelerinin üzerine yazılmasını önler.

• Şifreleme türü sütunu, deponun şifreleme özelliklerini listeler; varsayılan şifreleme türleri olarak AES-256 gibi türleri gösterir veya KMS etkin şifrelemeleri içerir.

• Ön bellek üzerinden çekme sütunu, durumunu listeler; Ön bellek üzerinden çekme durumu Aktif olduğunda, dış bir halka açık depodaki depoları özel deponuza önbelleğe alır.

• Farklı izinler vermek için belirli IAM politikaları yapılandırılabilir.

• Tarama yapılandırması, depoda saklanan görüntülerdeki güvenlik açıklarını taramak için olanak tanır.

1. Halka Açık Kayıtlar:

• Halka açık erişim: ECR Halka Açık kaydında depolanan konteyner görüntüleri, kimlik doğrulama olmaksızın internet üzerindeki herkes tarafından erişilebilir.

• Bir halka açık depo URI'si public.ecr.aws/<random>/<name> gibidir. <random> kısmı, yönetici tarafından hatırlanması daha kolay başka bir dize ile değiştirilebilir.

Depolar

Bunlar, özel kayıtta veya halka açık olan görüntülerdir.

Kayıt & Depo Politikaları

Kayıtlar & depolar, diğer ilkeler/hesaplar için izin vermek amacıyla kullanılabilecek politikalara da sahiptir. Örneğin, aşağıdaki depo politikası görüntüsünde, tüm organizasyondan herhangi bir kullanıcının görüntüye erişebileceğini görebilirsiniz:

Sayım

# Get repos
aws ecr describe-repositories
aws ecr describe-registry

# Get image metadata
aws ecr list-images --repository-name <repo_name>
aws ecr describe-images --repository-name <repo_name>
aws ecr describe-image-replication-status --repository-name <repo_name> --image-id <image_id>
aws ecr describe-image-scan-findings --repository-name <repo_name> --image-id <image_id>
aws ecr describe-pull-through-cache-rules --repository-name <repo_name> --image-id <image_id>

# Get public repositories
aws ecr-public describe-repositories

# Get policies
aws ecr get-registry-policy
aws ecr get-repository-policy --repository-name <repo_name>

Kimlik Doğrulamasız Enum

Privesc

Aşağıdaki sayfada ECR izinlerini kötüye kullanarak ayrıcalıkları artırma yöntemini kontrol edebilirsiniz:

İstismar Sonrası

Süreklilik

Referanslar

• https://docs.aws.amazon.com/AmazonECR/latest/APIReference/Welcome.html