AWS - ECR Persistence
ECR
Para mais informações, confira:
Imagem Docker Oculta com Código Malicioso
Um atacante poderia fazer upload de uma imagem Docker contendo código malicioso para um repositório ECR e usá-la para manter persistência na conta AWS alvo. O atacante poderia então implantar a imagem maliciosa em vários serviços dentro da conta, como Amazon ECS ou EKS, de maneira furtiva.
Política do Repositório
Adicione uma política a um único repositório concedendo a si mesmo (ou a todos) acesso a um repositório:
Observe que o ECR requer que os usuários tenham permissão para fazer chamadas à API ecr:GetAuthorizationToken
através de uma política IAM antes que possam se autenticar em um registro e enviar ou puxar quaisquer imagens de qualquer repositório Amazon ECR.
Política de Registro e Replicação entre Contas
É possível replicar automaticamente um registro em uma conta externa configurando a replicação entre contas, onde você precisa indicar a conta externa onde deseja replicar o registro.
Primeiro, você precisa dar à conta externa acesso ao registro com uma política de registro como:
Então aplique a configuração de replicação:
Last updated