AWS - ECR Enum
AWS - ECR Enum
ECR
Grundlegende Informationen
Amazon Elastic Container Registry (Amazon ECR) ist ein verwalteter Container-Image-Registrierungsdienst. Er wurde entwickelt, um eine Umgebung bereitzustellen, in der Kunden mit ihren Container-Images über bekannte Schnittstellen interagieren können. Insbesondere wird die Verwendung der Docker CLI oder eines bevorzugten Clients unterstützt, um Aktivitäten wie das Pushen, Pullen und Verwalten von Container-Images zu ermöglichen.
ECR besteht aus 2 Arten von Objekten: Registrierungen und Repositories.
Registrierungen
Jedes AWS-Konto hat 2 Registrierungen: Privat & Öffentlich.
Private Registrierungen:
Standardmäßig privat: Die in einem Amazon ECR-Privatregister gespeicherten Container-Images sind nur für autorisierte Benutzer innerhalb Ihres AWS-Kontos oder für diejenigen zugänglich, denen Berechtigungen erteilt wurden.
Die URI eines privaten Repositorys folgt dem Format
<account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>
Zugriffskontrolle: Sie können den Zugriff auf Ihre privaten Container-Images mithilfe von IAM-Richtlinien steuern und fein abgestimmte Berechtigungen basierend auf Benutzern oder Rollen konfigurieren.
Integration mit AWS-Diensten: Amazon ECR-Privatregister können problemlos mit anderen AWS-Diensten wie EKS, ECS... integriert werden.
Weitere Optionen für private Registrierungen:
Die Spalte Tag-Unveränderlichkeit zeigt ihren Status an. Wenn die Tag-Unveränderlichkeit aktiviert ist, wird das Überschreiben von Bildern durch Pushes mit vorhandenen Tags verhindert.
Die Spalte Verschlüsselungstyp listet die Verschlüsselungseigenschaften des Repositorys auf. Sie zeigt die Standardverschlüsselungstypen wie AES-256 oder hat Verschlüsselungen mit aktiviertem KMS.
Die Spalte Pull-Through-Cache zeigt ihren Status an. Wenn der Status des Pull-Through-Caches aktiv ist, werden Repositories in einem externen öffentlichen Repository in Ihr privates Repository zwischengespeichert.
Es können spezifische IAM-Richtlinien konfiguriert werden, um unterschiedliche Berechtigungen zu erteilen.
Die Scanning-Konfiguration ermöglicht das Scannen nach Schwachstellen in den im Repository gespeicherten Bildern.
Öffentliche Registrierungen:
Öffentliche Zugänglichkeit: Container-Images, die in einem ECR-Public-Register gespeichert sind, sind für jeden im Internet ohne Authentifizierung zugänglich.
Die URI eines öffentlichen Repositorys lautet wie
public.ecr.aws/<random>/<name>
. Obwohl der Teil<random>
vom Administrator in einen anderen String geändert werden kann, der leichter zu merken ist.
Repositories
Dies sind die Bilder, die sich im privaten Register oder im öffentlichen befinden.
Beachten Sie, dass für das Hochladen eines Bildes in ein Repository das ECR-Repository denselben Namen wie das Bild haben muss.
Registrierungs- und Repository-Richtlinien
Registrierungen & Repositories haben auch Richtlinien, die verwendet werden können, um Berechtigungen für andere Prinzipale/Konten zu erteilen. Zum Beispiel können Sie in der folgenden Repository-Richtlinie sehen, wie jeder Benutzer aus der gesamten Organisation auf das Bild zugreifen kann:
Enumeration
Nicht authentifizierte Enumeration
pageAWS - ECR Unauthenticated EnumPrivilege Escalation
Auf der folgenden Seite können Sie nachsehen, wie Sie ECR-Berechtigungen missbrauchen, um Privilegien zu eskalieren:
pageAWS - ECR PrivescPost-Exploitation
pageAWS - ECR Post ExploitationPersistenz
pageAWS - ECR PersistenceReferenzen
Last updated