AWS - ECR Enum

ECR

Osnovne informacije

Amazon Elastic Container Registry (Amazon ECR) je upravljačka usluga registra kontejnerskih slika. Namijenjena je pružanju okruženja u kojem korisnici mogu interagovati sa svojim kontejnerskim slikama koristeći dobro poznate interfejse. Konkretno, podržana je upotreba Docker CLI ili bilo klijenta po izboru, omogućavajući aktivnosti poput slanja, povlačenja i upravljanja kontejnerskim slikama.

ECR se sastoji od 2 vrste objekata: Registri i Repositorijumi.

Registri

Svaki AWS nalog ima 2 registra: Privatni i Javni.

1. Privatni Registri:

• Privatni po podrazumevanju: Kontejnerske slike smeštene u Amazon ECR privatnom registru su dostupne samo ovlašćenim korisnicima unutar vašeg AWS naloga ili onima kojima je odobren pristup.

• URI privatnog repozitorijuma prati format <account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>

• Kontrola pristupa: Možete kontrolisati pristup svojim privatnim kontejnerskim slikama koristeći IAM politike, i možete konfigurisati precizne dozvole zasnovane na korisnicima ili ulogama.

• Integracija sa AWS uslugama: Amazon ECR privatni registri se lako mogu integrirati sa drugim AWS uslugama, poput EKS, ECS...

• Druge opcije privatnog registra:

• Kolona Imutabilnosti oznake prikazuje njen status, ako je imutabilnost oznake omogućena, sprečiće se slanje slike sa prethodno postojećim oznakama da prepiše slike.

• Kolona Tip enkripcije prikazuje enkripcijska svojstva repozitorijuma, prikazuje podrazumevane tipove enkripcije poput AES-256, ili ima enkripcije omogućene putem KMS.

• Kolona Provlačenje keša prikazuje njen status, ako je status Provlačenje keša Aktivno, keširaće repozitorijume u spoljnom javnom repozitorijumu u vaš privatni repozitorijum.

• Specifične IAM politike mogu biti konfigurisane da dodele različite dozvole.

• Konfiguracija skeniranja omogućava skeniranje ranjivosti u slikama smeštenim unutar repozitorijuma.

2. Javni Registri:

• Javna dostupnost: Kontejnerske slike smeštene u ECR javnom registru su dostupne svima na internetu bez autentikacije.

• URI javnog repozitorijuma je poput public.ecr.aws/<random>/<name>. Iako se deo <random> može promeniti od strane administratora u drugi string lakši za pamćenje.

Repositorijumi

To su slike koje se nalaze u privatnom registru ili u javnom.

Politike Registra i Repozitorijuma

Registri i repozitorijumi takođe imaju politike koje se mogu koristiti za dodelu dozvola drugim principima/nalozima. Na primer, u sledećoj politici repozitorijuma možete videti kako će bilo koji korisnik iz cele organizacije moći pristupiti slici:

Enumeracija

# Get repos
aws ecr describe-repositories
aws ecr describe-registry

# Get image metadata
aws ecr list-images --repository-name <repo_name>
aws ecr describe-images --repository-name <repo_name>
aws ecr describe-image-replication-status --repository-name <repo_name> --image-id <image_id>
aws ecr describe-image-scan-findings --repository-name <repo_name> --image-id <image_id>
aws ecr describe-pull-through-cache-rules --repository-name <repo_name> --image-id <image_id>

# Get public repositories
aws ecr-public describe-repositories

# Get policies
aws ecr get-registry-policy
aws ecr get-repository-policy --repository-name <repo_name>

Neovlašćeno nabrajanje

Privesc

Na sledećoj stranici možete proveriti kako zloupotrebiti ECR dozvole za eskalaciju privilegija:

Post Eksploatacija

Upornost

Reference

• https://docs.aws.amazon.com/AmazonECR/latest/APIReference/Welcome.html