AWS - ECR Enum

ECR

Taarifa Msingi

Amazon Elastic Container Registry (Amazon ECR) ni huduma ya usajili wa picha za kontena iliyosimamiwa. Imelenga kutoa mazingira ambapo wateja wanaweza kuingiliana na picha zao za kontena kwa kutumia interfaces zinazojulikana. Hasa, matumizi ya Docker CLI au mteja wowote unaopendelewa yanategemewa, kuruhusu shughuli kama kusukuma, kuvuta, na kusimamia picha za kontena.

ECR inajumuisha aina 2 za vitu: Usajili na Repositories.

Usajili

Kila akaunti ya AWS ina usajili 2: Binafsi & Umma.

1. Usajili Binafsi:

• Binafsi kwa chaguo-msingi: Picha za kontena zilizohifadhiwa kwenye usajili wa binafsi wa Amazon ECR zinapatikana kwa watumiaji walioruhusiwa ndani ya akaunti yako ya AWS au kwa wale waliopewa idhini.

• URI ya repo binafsi inafuata muundo <account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>

• Kudhibiti upatikanaji: Unaweza kudhibiti upatikanaji wa picha za kontena za binafsi kwa kutumia sera za IAM, na unaweza kusanidi ruhusa za kina zinazotegemea watumiaji au majukumu.

• Ushirikiano na huduma za AWS: Usajili wa binafsi wa Amazon ECR unaweza kwa urahisi kushirikishwa na huduma zingine za AWS, kama vile EKS, ECS...

• Chaguzi zingine za usajili binafsi:

• Safu ya kutokubadilika kwa lebo inaorodhesha hali yake, ikiwa kutokubadilika kwa lebo imewezeshwa itazuia kusukuma kwa picha za kontena zenye lebo zilizopo kutoka kubadilisha picha.

• Safu ya Aina ya Ufichamishaji inaorodhesha mali za ufichamishaji wa usajili, inaonyesha aina za ufichamishaji za msingi kama AES-256, au ina ufichamishaji uliozimishwa wa KMS.

• Safu ya Kache ya Kuvuta kupitia inaorodhesha hali yake, ikiwa hali ya Kuvuta kupitia ni Aktivu itahifadhi makusanyo katika usajili wa umma wa nje ndani ya usajili wako wa binafsi.

• Sera maalum za IAM zinaweza kusanidiwa kutoa ruhusa tofauti.

• Usanidi wa uchunguzi unaruhusu kutafuta kasoro katika picha zilizohifadhiwa ndani ya repo.

2. Usajili wa Umma:

• Upatikanaji wa Umma: Picha za kontena zilizohifadhiwa kwenye usajili wa Umma wa ECR zinapatikana kwa yeyote kwenye mtandao bila uthibitisho.

• URI ya repo ya umma ni kama public.ecr.aws/<random>/<jina>. Ingawa sehemu ya <random> inaweza kubadilishwa na msimamizi kwa herufi nyingine rahisi kukumbuka.

Repositories

Hizi ni picha zilizo kwenye usajili wa binafsi au kwenye umma.

Sera za Usajili & Repository

Usajili & repositori pia zina sera zinazoweza kutumika kutoa ruhusa kwa wakala/wakaazi wengine. Kwa mfano, katika sera ya picha ya repo ifuatayo unaweza kuona jinsi mtumiaji yeyote kutoka kwa shirika lote ataweza kupata picha:

Urambazaji

# Get repos
aws ecr describe-repositories
aws ecr describe-registry

# Get image metadata
aws ecr list-images --repository-name <repo_name>
aws ecr describe-images --repository-name <repo_name>
aws ecr describe-image-replication-status --repository-name <repo_name> --image-id <image_id>
aws ecr describe-image-scan-findings --repository-name <repo_name> --image-id <image_id>
aws ecr describe-pull-through-cache-rules --repository-name <repo_name> --image-id <image_id>

# Get public repositories
aws ecr-public describe-repositories

# Get policies
aws ecr get-registry-policy
aws ecr get-repository-policy --repository-name <repo_name>

Kuchunguza Bila Kuidhinishwa

Privesc

Kwenye ukurasa ufuatao unaweza kuangalia jinsi ya kutumia vibali vya ECR kwa kujiongezea mamlaka:

Baada ya Uvamizi

Uthabiti

Marejeo

• https://docs.aws.amazon.com/AmazonECR/latest/APIReference/Welcome.html