AWS - ECR Enum

ECR

Podstawowe informacje

Amazon Elastic Container Registry (Amazon ECR) to zarządzana usługa rejestru obrazów kontenerów. Została zaprojektowana w celu zapewnienia środowiska, w którym klienci mogą współdziałać ze swoimi obrazami kontenerów za pomocą znanych interfejsów. W szczególności obsługiwane jest użycie Docker CLI lub dowolnego preferowanego klienta, umożliwiając takie działania jak przesyłanie, pobieranie i zarządzanie obrazami kontenerów.

ECR składa się z 2 typów obiektów: Rejestry i Repozytoria.

Rejestry

Każde konto AWS ma 2 rejestry: Prywatny i Publiczny.

1. Prywatne rejestry:

• Prywatne domyślnie: Obrazy kontenerów przechowywane w prywatnym rejestrze Amazon ECR są dostępne tylko dla upoważnionych użytkowników w ramach Twojego konta AWS lub dla tych, którzy otrzymali uprawnienie.

• URI prywatnego repozytorium ma format <account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>

• Kontrola dostępu: Możesz kontrolować dostęp do swoich prywatnych obrazów kontenerów za pomocą polityk IAM, oraz możesz skonfigurować uprawnienia o wysokim stopniu szczegółowości na podstawie użytkowników lub ról.

• Integracja z usługami AWS: Prywatne rejestry Amazon ECR mogą być łatwo zintegrowane z innymi usługami AWS, takimi jak EKS, ECS...

• Inne opcje prywatnego rejestru:

• Kolumna Niezmienność tagu określa jego status, jeśli niezmienność tagu jest włączona, uniemożliwi to przesłanie obrazów z istniejącymi tagami nadpisując obrazy.

• Kolumna Typ szyfrowania wyświetla właściwości szyfrowania repozytorium, pokazuje domyślne typy szyfrowania, takie jak AES-256, lub ma włączone szyfrowania z KMS.

• Kolumna Pamięć podręczna przeciągania określa jej status, jeśli status pamięci podręcznej przeciągania jest Aktywny, to pamięć podręczna repozytoriów w zewnętrznym publicznym repozytorium jest buforowana w Twoim prywatnym repozytorium.

• Można skonfigurować konkretne polityki IAM w celu przyznania różnych uprawnień.

• Konfiguracja skanowania pozwala na skanowanie podatności w obrazach przechowywanych w repozytorium.

2. Publiczne rejestry:

• Dostępność publiczna: Obrazy kontenerów przechowywane w rejestrze publicznym ECR są dostępne dla każdego w internecie bez uwierzytelniania.

• URI publicznego repozytorium wygląda jak public.ecr.aws/<random>/<name>. Chociaż część <random> może być zmieniona przez administratora na inny łańcuch łatwiejszy do zapamiętania.

Repozytoria

Są to obrazy w prywatnym rejestrze lub w publicznym.

Polityki rejestru i repozytorium

Rejestry i repozytoria mają również polityki, które można użyć do przyznawania uprawnień innym podmiotom/kontom. Na przykład, w poniższej polityce repozytorium obrazu możesz zobaczyć, jak dowolny użytkownik z całej organizacji będzie mógł uzyskać dostęp do obrazu:

Wyliczanie

# Get repos
aws ecr describe-repositories
aws ecr describe-registry

# Get image metadata
aws ecr list-images --repository-name <repo_name>
aws ecr describe-images --repository-name <repo_name>
aws ecr describe-image-replication-status --repository-name <repo_name> --image-id <image_id>
aws ecr describe-image-scan-findings --repository-name <repo_name> --image-id <image_id>
aws ecr describe-pull-through-cache-rules --repository-name <repo_name> --image-id <image_id>

# Get public repositories
aws ecr-public describe-repositories

# Get policies
aws ecr get-registry-policy
aws ecr get-repository-policy --repository-name <repo_name>

Nieuwierzytelniona Enumeracja

Przywłaszczenie uprawnień

Na następnej stronie możesz sprawdzić, jak wykorzystać uprawnienia ECR do eskalacji uprawnień:

Po eksploatacji

Trwałość

Odnośniki

• https://docs.aws.amazon.com/AmazonECR/latest/APIReference/Welcome.html