AWS - ECR Persistence
ECR
詳細については、以下を確認してください:
pageAWS - ECR Enum悪意のあるコードを含む隠れたDockerイメージ
攻撃者は、ECRリポジトリに悪意のあるコードを含むDockerイメージをアップロードし、それを使用してターゲットAWSアカウントで持続性を維持することができます。その後、攻撃者は、Amazon ECSやEKSなどのアカウント内のさまざまなサービスに悪意のあるイメージをステルス的に展開できます。
リポジトリポリシー
単一のリポジトリにポリシーを追加し、自分自身(または誰でも)にリポジトリへのアクセス権を付与します:
ECRでは、ユーザーがAmazon ECRリポジトリからイメージをプッシュまたはプルする前に、IAMポリシーを介して**ecr:GetAuthorizationToken
** APIに対して呼び出しを行う権限が必要です。
レジストリポリシー&クロスアカウントレプリケーション
外部アカウントでレジストリを自動的にレプリケートすることが可能であり、クロスアカウントレプリケーションを構成する際には、レプリケートしたい外部アカウントを指定する必要があります。
まず、レジストリポリシーを使用して、外部アカウントに対してレジストリへのアクセス権を付与する必要があります。
その後、レプリケーション構成を適用します:
最終更新