AWS - ECR Persistence
ECR
Für weitere Informationen siehe:
pageAWS - ECR EnumVerstecktes Docker-Image mit bösartigem Code
Ein Angreifer könnte ein Docker-Image mit bösartigem Code hochladen und es in einem ECR-Repository verwenden, um Persistenz im Ziel-AWS-Konto aufrechtzuerhalten. Der Angreifer könnte dann das bösartige Image auf verschiedene Dienste im Konto bereitstellen, wie z. B. Amazon ECS oder EKS, auf unauffällige Weise.
Repository-Richtlinie
Fügen Sie eine Richtlinie zu einem einzelnen Repository hinzu, die Ihnen (oder allen) Zugriff auf ein Repository gewährt:
Bitte beachten Sie, dass ECR erfordert, dass Benutzer die Berechtigung haben, Anrufe an die ecr:GetAuthorizationToken
API über eine IAM-Richtlinie zu tätigen, bevor sie sich an einem Register authentifizieren und Bilder aus einem beliebigen Amazon ECR-Repository hochladen oder herunterladen können.
Register-Richtlinie & Replikation zwischen Konten
Es ist möglich, ein Register automatisch in einem externen Konto zu replizieren, indem Sie die Replikation zwischen Konten konfigurieren, wobei Sie das externe Konto angeben müssen, in dem Sie das Register replizieren möchten.
Zuerst müssen Sie dem externen Konto Zugriff auf das Register mit einer Register-Richtlinie wie folgt geben:
Dann wenden Sie die Replikationskonfiguration an:
Last updated