AWS - ECR Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Elastic Container Registry (Amazon ECR) є керованою службою реєстрації контейнерних зображень. Вона призначена для забезпечення середовища, в якому клієнти можуть взаємодіяти зі своїми контейнерними зображеннями, використовуючи відомі інтерфейси. Зокрема, підтримується використання Docker CLI або будь-якого іншого улюбленого клієнта, що дозволяє виконувати такі дії, як завантаження, вивантаження та управління контейнерними зображеннями.
ECR складається з 2 типів об'єктів: Реєстрації та Репозиторії.
Реєстрації
Кожен обліковий запис AWS має 2 реєстрації: Приватні та Публічні.
Приватні реєстрації:
Приватні за замовчуванням: Контейнерні зображення, збережені в приватній реєстрації Amazon ECR, доступні лише авторизованим користувачам у вашому обліковому записі AWS або тим, кому надано дозвіл.
URI приватного репозиторію має формат <account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>
Контроль доступу: Ви можете контролювати доступ до своїх приватних контейнерних зображень, використовуючи IAM політики, і ви можете налаштувати детальні дозволи на основі користувачів або ролей.
Інтеграція з AWS службами: Приватні реєстрації Amazon ECR можуть бути легко інтегровані з іншими службами AWS, такими як EKS, ECS...
Інші варіанти приватної реєстрації:
Стовпець незмінності тегів вказує на його статус, якщо незмінність тегів увімкнена, це запобігатиме завантаженню зображень з існуючими тегами.
Стовпець Тип шифрування вказує на властивості шифрування репозиторію, він показує типи шифрування за замовчуванням, такі як AES-256, або має KMS увімкнене шифрування.
Стовпець Кешування при витягуванні вказує на його статус, якщо статус кешування при витягуванні активний, він буде кешувати репозиторії в зовнішньому публічному репозиторії у вашому приватному репозиторії.
Специфічні IAM політики можуть бути налаштовані для надання різних дозволів.
Конфігурація сканування дозволяє сканувати на вразливості в зображеннях, збережених у репозиторії.
Публічні реєстрації:
Публічна доступність: Контейнерні зображення, збережені в публічній реєстрації ECR, доступні будь-кому в Інтернеті без аутентифікації.
URI публічного репозиторію виглядає як public.ecr.aws/<random>/<name>
. Хоча частину <random>
адміністратор може змінити на інший рядок, який легше запам'ятати.
Репозиторії
Це зображення, які знаходяться в приватній реєстрації або в публічній.
Зверніть увагу, що для завантаження зображення в репозиторій, репозиторій ECR повинен мати таку ж назву, як і зображення.
Реєстрації та репозиторії також мають політики, які можна використовувати для надання дозволів іншим принципалам/обліковим записам. Наприклад, у наступному зображенні політики репозиторію ви можете побачити, як будь-який користувач з усієї організації зможе отримати доступ до зображення:
На наступній сторінці ви можете перевірити, як зловживати дозволами ECR для підвищення привілеїв:
Вчіться та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вчіться та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)