AWS - ECR Persistence
ECR
Per ulteriori informazioni controlla:
pageAWS - ECR EnumImmagine Docker Nascosta con Codice Dannoso
Un attaccante potrebbe caricare un'immagine Docker contenente codice dannoso in un repository ECR e usarla per mantenere la persistenza nell'account AWS di destinazione. L'attaccante potrebbe quindi distribuire l'immagine dannosa a vari servizi all'interno dell'account, come Amazon ECS o EKS, in modo stealthy.
Policy del Repository
Aggiungi una policy a un singolo repository concedendo a te stesso (o a tutti) l'accesso a un repository:
Si noti che ECR richiede che gli utenti abbiano autorizzazioni per effettuare chiamate all'API ecr:GetAuthorizationToken
tramite una policy IAM prima di potersi autenticare a un registro e caricare o scaricare immagini da un qualsiasi repository Amazon ECR.
Policy del Registro & Replica tra Account
È possibile replicare automaticamente un registro in un account esterno configurando la replica tra account, dove è necessario indicare l'account esterno dove si desidera replicare il registro.
Innanzitutto, è necessario concedere all'account esterno l'accesso al registro con una policy del registro come:
Quindi applicare la configurazione di replica:
Last updated