AWS - ECR Enum
AWS - ECR Enum
ECR
मौलिक जानकारी
अमेज़न एलास्टिक कंटेनर रजिस्ट्री (Amazon ECR) एक प्रबंधित कंटेनर इमेज रजिस्ट्री सेवा है। यह उन्हें एक वातावरण प्रदान करने के लिए डिज़ाइन किया गया है जहां ग्राहक अपनी कंटेनर इमेज के साथ वेल-नोउन इंटरफेस का उपयोग कर सकते हैं। विशेष रूप से, Docker CLI या किसी भी पसंदीदा क्लाइंट का उपयोग समर्थित है, जिससे पुश, पुल और कंटेनर इमेज का प्रबंधन जैसी गतिविधियाँ संभव होती हैं।
ECR 2 प्रकार के ऑब्जेक्ट्स से मिलकर बना है: रजिस्ट्री और रिपॉजिटरी।
रजिस्ट्री
हर AWS खाते में 2 रजिस्ट्री होती हैं: निजी और सार्वजनिक।
निजी रजिस्ट्री:
डिफ़ॉल्ट रूप से निजी: अमेज़न ECR निजी रजिस्ट्री में स्टोर की गई कंटेनर इमेजेस केवल उन अधिकृत उपयोगकर्ताओं तक ही पहुंचने योग्य होती हैं जो आपके AWS खाते के भीतर हैं या जिन्हें अनुमति दी गई है।
निजी रिपॉजिटरी का URI निम्न फॉर्मेट का होता है
<खाता_आईडी>.dkr.ecr.<क्षेत्र>.amazonaws.com/<रेपो-नाम>
पहुंच नियंत्रण: आप अपनी निजी कंटेनर इमेजेस का पहुंचन IAM नीतियों का उपयोग करके नियंत्रित कर सकते हैं, और आप उपयोगकर्ताओं या भूमिकाओं के आधार पर उत्कृष्ट अनुमतियाँ कॉन्फ़िगर कर सकते हैं।
AWS सेवाओं के साथ एकीकरण: अमेज़न ECR निजी रजिस्ट्री को आसानी से अन्य AWS सेवाओं जैसे EKS, ECS के साथ एकीकृत किया जा सकता है।
अन्य निजी रजिस्ट्री विकल्प:
टैग अविकारीता स्तंभ उसकी स्थिति की सूची देता है, यदि टैग अविकारीता सक्षम है तो यह छवियों को पुनः पुश करने से रोकेगा जिनमें पूर्व मौजूद टैग्स को छवियों से अधिलेखित करने की अनुमति नहीं देगा।
एन्क्रिप्शन प्रकार स्तंभ रिपॉजिटरी की एन्क्रिप्शन गुणधर्मों की सूची देता है, यह डिफ़ॉल्ट एन्क्रिप्शन प्रकार जैसे AES-256 दिखाता है, या KMS सक्षम एन्क्रिप्शन है।
पुल थ्रू कैश स्तंभ उसकी स्थिति की सूची देता है, यदि पुल थ्रू कैश स्थिति सक्रिय है तो यह आपकी निजी रिपॉजिटरी में एक बाह्य सार्वजनिक रिपॉजिटरी में संग्रहित रिपॉजिटरी को कैश करेगा।
विभिन्न अनुमतियाँ प्रदान करने के लिए विशेष IAM नीतियाँ कॉन्फ़िगर की जा सकती हैं।
स्कैनिंग कॉन्फ़िगरेशन छवियों में मौजूद विकल्पों में विकल्पों के लिए स्कैन करने की अनुमति देता है।
सार्वजनिक रजिस्ट्री:
सार्वजनिक पहुंचनीयता: ECR सार्वजनिक रजिस्ट्री में स्टोर की गई कंटेनर इमेजेस किसी भी इंटरनेट पर बिना प्रमाणीकरण के किसी भी व्यक्ति के लिए पहुंचनीय होती हैं।
सार्वजनिक रिपॉजिटरी का URI इस प्रकार होता है
public.ecr.aws/<रैंडम>/<नाम>
। हालांकि<रैंडम>
भाग को प्रशासक द्वारा एक और स्ट्रिंग में बदला जा सकता है जो याद रखने में आसान हो।
रिपॉजिटरी
ये छवियाँ हैं जो निजी रजिस्ट्री या सार्वजनिक में होती हैं।
ध्यान दें कि छवि को रिपॉजिटरी में अपलोड करने के लिए ECR रिपॉजिटरी का नाम छवि के नाम के समान होना चाहिए।
रजिस्ट्री और रिपॉजिटरी नीतियाँ
रजिस्ट्री और रिपॉजिटरी के पास भी नीतियाँ होती हैं जो अन्य मुख्य/खातों को अनुमतियाँ प्रदान करने के लिए उपयोग की जा सकती हैं। उदाहरण के लिए, निम्नलिखित रिपॉजिटरी नीति छवि में आप देख सकते हैं कि संगठन के पूरे से कोई भी उपयोगकर्ता इमेज तक पहुंच सकेगा:
गणना
अनअथेंटिकेटेड एनुम
AWS - ECR Unauthenticated Enumप्राइवेस्क
निम्नलिखित पृष्ठ पर आप देख सकते हैं कि ECR अनुमतियों का दुरुपयोग करके विशेषाधिकारों को उन्नत कैसे किया जाता है:
AWS - ECR Privescपोस्ट एक्सप्लोइटेशन
AWS - ECR Post Exploitationस्थिरता
AWS - ECR Persistenceसंदर्भ
Last updated