AWS - ECR Persistence
ECR
Для отримання додаткової інформації перегляньте:
Схована Docker-образ з шкідливим кодом
Зловмисник може завантажити Docker-образ, що містить шкідливий код до репозиторію ECR і використовувати його для підтримки стійкості в цільовому обліковому записі AWS. Потім зловмисник може розгорнути шкідливий образ на різних службах в обліковому записі, таких як Amazon ECS або EKS, у прихований спосіб.
Політика репозиторію
Додайте політику до одного репозиторію, надаючи собі (або всім) доступ до репозиторію:
Зверніть увагу, що ECR вимагає, щоб користувачі мали дозвіл на виклик ecr:GetAuthorizationToken
API через IAM політику перед тим, як вони зможуть аутентифікуватися в реєстрі та завантажувати або вивантажувати будь-які зображення з будь-якого репозиторію Amazon ECR.
Політика реєстру та крос-акаунтне реплікація
Можливо автоматично реплікувати реєстр в зовнішньому акаунті, налаштувавши крос-акаунтну реплікацію, де вам потрібно вказати зовнішній акаунт, в якому ви хочете реплікувати реєстр.
Спочатку вам потрібно надати зовнішньому акаунту доступ до реєстру за допомогою політики реєстру на зразок:
Тоді застосуйте конфігурацію реплікації:
Last updated