AWS - ECR Enum
AWS - ECR Enum
ECR
Informations de base
Amazon Elastic Container Registry (Amazon ECR) est un service de registre d'images de conteneurs géré. Il est conçu pour fournir un environnement où les clients peuvent interagir avec leurs images de conteneurs en utilisant des interfaces bien connues. En particulier, l'utilisation de l'interface en ligne de commande Docker ou de tout client préféré est prise en charge, permettant des activités telles que le push, le pull et la gestion des images de conteneurs.
ECR est composé de 2 types d'objets : Registres et Répertoires.
Registres
Chaque compte AWS a 2 registres : Privé & Public.
Registres privés :
Privé par défaut : Les images de conteneurs stockées dans un registre privé Amazon ECR ne sont accessibles qu'aux utilisateurs autorisés au sein de votre compte AWS ou à ceux auxquels des autorisations ont été accordées.
L'URI d'un répertoire privé suit le format
<account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>
Contrôle d'accès : Vous pouvez contrôler l'accès à vos images de conteneurs privées en utilisant des politiques IAM, et vous pouvez configurer des autorisations fines basées sur les utilisateurs ou les rôles.
Intégration avec les services AWS : Les registres privés Amazon ECR peuvent être facilement intégrés avec d'autres services AWS, tels que EKS, ECS...
Autres options de registre privé :
La colonne Immutabilité des balises indique son statut, si l'immutabilité des balises est activée, elle empêchera les poussées d'images avec des balises préexistantes d'écraser les images.
La colonne Type de chiffrement répertorie les propriétés de chiffrement du répertoire, elle affiche les types de chiffrement par défaut tels que AES-256, ou a des chiffrements activés par KMS.
La colonne Cache de passage liste son statut, si le statut du Cache de passage est Actif, il mettra en cache les répertoires d'un référentiel public externe dans votre référentiel privé.
Des politiques IAM spécifiques peuvent être configurées pour accorder différentes autorisations.
La configuration de balayage permet de rechercher des vulnérabilités dans les images stockées à l'intérieur du répertoire.
Registres publics :
Accessibilité publique : Les images de conteneurs stockées dans un registre public ECR sont accessibles à toute personne sur Internet sans authentification.
L'URI d'un répertoire public est comme
public.ecr.aws/<aléatoire>/<nom>
. Bien que la partie<aléatoire>
puisse être modifiée par l'administrateur en une autre chaîne plus facile à retenir.
Répertoires
Ce sont les images qui se trouvent dans le registre privé ou dans le public.
Notez que pour télécharger une image dans un répertoire, le répertoire ECR doit avoir le même nom que l'image.
Politiques de registre et de répertoire
Les registres et répertoires ont également des politiques qui peuvent être utilisées pour accorder des autorisations à d'autres principaux/comptes. Par exemple, dans la politique de répertoire suivante, vous pouvez voir comment tout utilisateur de l'organisation entière pourra accéder à l'image :
Énumération
Énumération non authentifiée
AWS - ECR Unauthenticated EnumÉlévation de privilèges
Sur la page suivante, vous pouvez vérifier comment abuser des autorisations ECR pour escalader les privilèges :
AWS - ECR PrivescPost-exploitation
AWS - ECR Post ExploitationPersistance
AWS - ECR PersistenceRéférences
Last updated