AWS - ECR Enum
AWS - ECR Enum
ECR
Podstawowe informacje
Amazon Elastic Container Registry (Amazon ECR) to zarządzana usługa rejestru obrazów kontenerów. Została zaprojektowana w celu zapewnienia środowiska, w którym klienci mogą współdziałać ze swoimi obrazami kontenerów za pomocą znanych interfejsów. W szczególności obsługiwane jest użycie Docker CLI lub dowolnego preferowanego klienta, umożliwiając takie działania jak przesyłanie, pobieranie i zarządzanie obrazami kontenerów.
ECR składa się z 2 typów obiektów: Rejestry i Repozytoria.
Rejestry
Każde konto AWS ma 2 rejestry: Prywatny i Publiczny.
Prywatne rejestry:
Prywatne domyślnie: Obrazy kontenerów przechowywane w prywatnym rejestrze Amazon ECR są dostępne tylko dla upoważnionych użytkowników w ramach Twojego konta AWS lub dla tych, którzy otrzymali uprawnienie.
URI prywatnego repozytorium ma format
<account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>
Kontrola dostępu: Możesz kontrolować dostęp do swoich prywatnych obrazów kontenerów za pomocą polityk IAM, oraz możesz skonfigurować uprawnienia o wysokim stopniu szczegółowości na podstawie użytkowników lub ról.
Integracja z usługami AWS: Prywatne rejestry Amazon ECR mogą być łatwo zintegrowane z innymi usługami AWS, takimi jak EKS, ECS...
Inne opcje prywatnego rejestru:
Kolumna Niezmienność tagu określa jego status, jeśli niezmienność tagu jest włączona, uniemożliwi to przesłanie obrazów z istniejącymi tagami nadpisując obrazy.
Kolumna Typ szyfrowania wyświetla właściwości szyfrowania repozytorium, pokazuje domyślne typy szyfrowania, takie jak AES-256, lub ma włączone szyfrowania z KMS.
Kolumna Pamięć podręczna przeciągania określa jej status, jeśli status pamięci podręcznej przeciągania jest Aktywny, to pamięć podręczna repozytoriów w zewnętrznym publicznym repozytorium jest buforowana w Twoim prywatnym repozytorium.
Można skonfigurować konkretne polityki IAM w celu przyznania różnych uprawnień.
Konfiguracja skanowania pozwala na skanowanie podatności w obrazach przechowywanych w repozytorium.
Publiczne rejestry:
Dostępność publiczna: Obrazy kontenerów przechowywane w rejestrze publicznym ECR są dostępne dla każdego w internecie bez uwierzytelniania.
URI publicznego repozytorium wygląda jak
public.ecr.aws/<random>/<name>
. Chociaż część<random>
może być zmieniona przez administratora na inny łańcuch łatwiejszy do zapamiętania.
Repozytoria
Są to obrazy w prywatnym rejestrze lub w publicznym.
Zauważ, że aby przesłać obraz do repozytorium, repozytorium ECR musi mieć taką samą nazwę jak obraz.
Polityki rejestru i repozytorium
Rejestry i repozytoria mają również polityki, które można użyć do przyznawania uprawnień innym podmiotom/kontom. Na przykład, w poniższej polityce repozytorium obrazu możesz zobaczyć, jak dowolny użytkownik z całej organizacji będzie mógł uzyskać dostęp do obrazu:
Wyliczanie
Nieuwierzytelniona Enumeracja
pageAWS - ECR Unauthenticated EnumPrzywłaszczenie uprawnień
Na następnej stronie możesz sprawdzić, jak wykorzystać uprawnienia ECR do eskalacji uprawnień:
pageAWS - ECR PrivescPo eksploatacji
pageAWS - ECR Post ExploitationTrwałość
pageAWS - ECR PersistenceOdnośniki
Last updated