AWS - ECR Enum

ECR

Βασικές Πληροφορίες

Το Amazon Elastic Container Registry (Amazon ECR) είναι ένα υπηρεσία διαχείρισης καταχωρητή εικόνων δοχείων. Σχεδιάστηκε για να παρέχει ένα περιβάλλον όπου οι πελάτες μπορούν να αλληλεπιδρούν με τις εικόνες των δοχείων τους χρησιμοποιώντας γνωστές διεπαφές. Ειδικότερα, υποστηρίζεται η χρήση του Docker CLI ή οποιουδήποτε προτιμώμενου πελάτη, επιτρέποντας δραστηριότητες όπως η αποστολή, η λήψη και η διαχείριση των εικόνων των δοχείων.

Το ECR αποτελείται από 2 τύπους αντικειμένων: Καταχωρητές και Αποθετήρια.

Καταχωρητές

Κάθε λογαριασμός AWS έχει 2 καταχωρητές: Ιδιωτικός & Δημόσιος.

1. Ιδιωτικοί Καταχωρητές:

• Προεπιλογή Ιδιωτικός: Οι εικόνες δοχείων που αποθηκεύονται σε έναν ιδιωτικό καταχωρητή ECR είναι προσβάσιμες μόνο από εξουσιοδοτημένους χρήστες εντός του λογαριασμού AWS σας ή από εκείνους που έχουν δοθεί άδεια.

• Η URI ενός ιδιωτικού αποθετηρίου ακολουθεί τη μορφή <account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>

• Έλεγχος πρόσβασης: Μπορείτε να ελέγξετε την πρόσβαση στις ιδιωτικές εικόνες δοχείων σας χρησιμοποιώντας πολιτικές IAM, και μπορείτε να διαμορφώσετε ακριβείς άδειες βάσει χρηστών ή ρόλων.

• Ενσωμάτωση με τις υπηρεσίες AWS: Οι ιδιωτικοί καταχωρητές ECR μπορούν να ενσωματωθούν εύκολα με άλλες υπηρεσίες AWS, όπως EKS, ECS...

• Άλλες επιλογές ιδιωτικού καταχωρητή:

• Η στήλη αναλλοίωσης ετικέτας εμφανίζει την κατάστασή της, εάν η αναλλοίωση ετικέτας είναι ενεργοποιημένη, θα αποτρέψει την αποστολή εικόνων με υπάρχουσες ετικέτες από το να αντικαταστήσουν τις εικόνες.

• Η στήλη Τύπος κρυπτογράφησης εμφανίζει τις ιδιότητες κρυπτογράφησης του αποθετηρίου, εμφανίζει τους προεπιλεγμένους τύπους κρυπτογράφησης όπως AES-256, ή έχει ενεργοποιημένες κρυπτογραφήσεις KMS.

• Η στήλη Προσωρινή μνήμη ανάκτησης εμφανίζει την κατάστασή της, εάν η κατάσταση της προσωρινής μνήμης ανάκτησης είναι ενεργή, θα αποθηκεύει αποθετήρια σε έναν εξωτερικό δημόσιο καταχωρητή στο ιδιωτικό σας αποθετήριο.

• Μπορούν να διαμορφωθούν συγκεκριμένες πολιτικές IAM για να χορηγηθούν διαφορετικές άδειες.

• Η διαμόρφωση σάρωσης επιτρέπει την ανίχνευση ευπαθειών στις εικόνες που αποθηκεύονται μέσα στο αποθετήριο.

2. Δημόσιοι Καταχωρητές:

• Δημόσια προσβασιμότητα: Οι εικόνες δοχείων που αποθηκεύονται σε έναν δημόσιο καταχωρητή ECR είναι προσβάσιμες σε οποιονδήποτε στο διαδίκτυο χωρίς πιστοποίηση.

• Η URI ενός δημόσιου αποθετηρίου είναι όπως public.ecr.aws/<random>/<name>. Αν και η μέρα <random> μπορεί να αλλάξει από τον διαχειριστή σε ένα άλλο συμβολοσειριακό πιο εύκολο να θυμάται.

Αποθετήρια

Αυτές είναι οι εικόνες που ανήκουν στο ιδιωτικό αποθετήριο ή στο δημόσιο.

Σημειώστε ότι για να μεταφορτώσετε μια

# Get repos
aws ecr describe-repositories
aws ecr describe-registry

# Get image metadata
aws ecr list-images --repository-name <repo_name>
aws ecr describe-images --repository-name <repo_name>
aws ecr describe-image-replication-status --repository-name <repo_name> --image-id <image_id>
aws ecr describe-image-scan-findings --repository-name <repo_name> --image-id <image_id>
aws ecr describe-pull-through-cache-rules --repository-name <repo_name> --image-id <image_id>

# Get public repositories
aws ecr-public describe-repositories

# Get policies
aws ecr get-registry-policy
aws ecr get-repository-policy --repository-name <repo_name>

Ανεξουσιοδότητη Απαρίθμηση

Ανέλιξη Προνομίων

Στην ακόλουθη σελίδα μπορείτε να ελέγξετε πώς να καταχραστείτε τα δικαιώματα του ECR για να αναβαθμίσετε τα προνόμια:

Μετά την Εκμετάλλευση

Διατήρηση

Αναφορές

• https://docs.aws.amazon.com/AmazonECR/latest/APIReference/Welcome.html