AWS - ECR Enum

ECR

मौलिक जानकारी

अमेज़न एलास्टिक कंटेनर रजिस्ट्री (Amazon ECR) एक प्रबंधित कंटेनर इमेज रजिस्ट्री सेवा है। यह उन्हें एक वातावरण प्रदान करने के लिए डिज़ाइन किया गया है जहां ग्राहक अपनी कंटेनर इमेज के साथ वेल-नोउन इंटरफेस का उपयोग कर सकते हैं। विशेष रूप से, Docker CLI या किसी भी पसंदीदा क्लाइंट का उपयोग समर्थित है, जिससे पुश, पुल और कंटेनर इमेज का प्रबंधन जैसी गतिविधियाँ संभव होती हैं।

ECR 2 प्रकार के ऑब्जेक्ट्स से मिलकर बना है: रजिस्ट्री और रिपॉजिटरी।

रजिस्ट्री

हर AWS खाते में 2 रजिस्ट्री होती हैं: निजी और सार्वजनिक।

1. निजी रजिस्ट्री:

• डिफ़ॉल्ट रूप से निजी: अमेज़न ECR निजी रजिस्ट्री में स्टोर की गई कंटेनर इमेजेस केवल उन अधिकृत उपयोगकर्ताओं तक ही पहुंचने योग्य होती हैं जो आपके AWS खाते के भीतर हैं या जिन्हें अनुमति दी गई है।

• निजी रिपॉजिटरी का URI निम्न फॉर्मेट का होता है <खाता_आईडी>.dkr.ecr.<क्षेत्र>.amazonaws.com/<रेपो-नाम>

• पहुंच नियंत्रण: आप अपनी निजी कंटेनर इमेजेस का पहुंचन IAM नीतियों का उपयोग करके नियंत्रित कर सकते हैं, और आप उपयोगकर्ताओं या भूमिकाओं के आधार पर उत्कृष्ट अनुमतियाँ कॉन्फ़िगर कर सकते हैं।

• AWS सेवाओं के साथ एकीकरण: अमेज़न ECR निजी रजिस्ट्री को आसानी से अन्य AWS सेवाओं जैसे EKS, ECS के साथ एकीकृत किया जा सकता है।

• अन्य निजी रजिस्ट्री विकल्प:

• टैग अविकारीता स्तंभ उसकी स्थिति की सूची देता है, यदि टैग अविकारीता सक्षम है तो यह छवियों को पुनः पुश करने से रोकेगा जिनमें पूर्व मौजूद टैग्स को छवियों से अधिलेखित करने की अनुमति नहीं देगा।

• एन्क्रिप्शन प्रकार स्तंभ रिपॉजिटरी की एन्क्रिप्शन गुणधर्मों की सूची देता है, यह डिफ़ॉल्ट एन्क्रिप्शन प्रकार जैसे AES-256 दिखाता है, या KMS सक्षम एन्क्रिप्शन है।

• पुल थ्रू कैश स्तंभ उसकी स्थिति की सूची देता है, यदि पुल थ्रू कैश स्थिति सक्रिय है तो यह आपकी निजी रिपॉजिटरी में एक बाह्य सार्वजनिक रिपॉजिटरी में संग्रहित रिपॉजिटरी को कैश करेगा।

• विभिन्न अनुमतियाँ प्रदान करने के लिए विशेष IAM नीतियाँ कॉन्फ़िगर की जा सकती हैं।

• स्कैनिंग कॉन्फ़िगरेशन छवियों में मौजूद विकल्पों में विकल्पों के लिए स्कैन करने की अनुमति देता है।

2. सार्वजनिक रजिस्ट्री:

• सार्वजनिक पहुंचनीयता: ECR सार्वजनिक रजिस्ट्री में स्टोर की गई कंटेनर इमेजेस किसी भी इंटरनेट पर बिना प्रमाणीकरण के किसी भी व्यक्ति के लिए पहुंचनीय होती हैं।

• सार्वजनिक रिपॉजिटरी का URI इस प्रकार होता है public.ecr.aws/<रैंडम>/<नाम>। हालांकि <रैंडम> भाग को प्रशासक द्वारा एक और स्ट्रिंग में बदला जा सकता है जो याद रखने में आसान हो।

रिपॉजिटरी

ये छवियाँ हैं जो निजी रजिस्ट्री या सार्वजनिक में होती हैं।

रजिस्ट्री और रिपॉजिटरी नीतियाँ

रजिस्ट्री और रिपॉजिटरी के पास भी नीतियाँ होती हैं जो अन्य मुख्य/खातों को अनुमतियाँ प्रदान करने के लिए उपयोग की जा सकती हैं। उदाहरण के लिए, निम्नलिखित रिपॉजिटरी नीति छवि में आप देख सकते हैं कि संगठन के पूरे से कोई भी उपयोगकर्ता इमेज तक पहुंच सकेगा:

गणना

# Get repos
aws ecr describe-repositories
aws ecr describe-registry

# Get image metadata
aws ecr list-images --repository-name <repo_name>
aws ecr describe-images --repository-name <repo_name>
aws ecr describe-image-replication-status --repository-name <repo_name> --image-id <image_id>
aws ecr describe-image-scan-findings --repository-name <repo_name> --image-id <image_id>
aws ecr describe-pull-through-cache-rules --repository-name <repo_name> --image-id <image_id>

# Get public repositories
aws ecr-public describe-repositories

# Get policies
aws ecr get-registry-policy
aws ecr get-repository-policy --repository-name <repo_name>

अनअथेंटिकेटेड एनुम

प्राइवेस्क

निम्नलिखित पृष्ठ पर आप देख सकते हैं कि ECR अनुमतियों का दुरुपयोग करके विशेषाधिकारों को उन्नत कैसे किया जाता है:

पोस्ट एक्सप्लोइटेशन

स्थिरता

संदर्भ

• https://docs.aws.amazon.com/AmazonECR/latest/APIReference/Welcome.html