AWS - ECR Persistence
ECR
Pour plus d'informations, consultez :
Image Docker Cachée avec Code Malveillant
Un attaquant pourrait télécharger une image Docker contenant du code malveillant dans un dépôt ECR et l'utiliser pour maintenir la persistance dans le compte AWS cible. L'attaquant pourrait ensuite déployer l'image malveillante sur divers services au sein du compte, tels qu'Amazon ECS ou EKS, de manière furtive.
Politique de Dépôt
Ajoutez une politique à un seul dépôt vous accordant (ou à tout le monde) l'accès à un dépôt :
Notez que ECR exige que les utilisateurs aient la permission d'effectuer des appels à l'API ecr:GetAuthorizationToken
via une politique IAM avant de pouvoir s'authentifier auprès d'un registre et pousser ou tirer des images de tout dépôt Amazon ECR.
Politique de Registre & Réplication Inter-comptes
Il est possible de répliquer automatiquement un registre dans un compte externe en configurant la réplication inter-comptes, où vous devez indiquer le compte externe dans lequel vous souhaitez répliquer le registre.
Tout d'abord, vous devez donner au compte externe l'accès au registre avec une politique de registre comme :
Ensuite, appliquez la configuration de réplication :
Last updated