AWS - ECR Enum
AWS - ECR Enum
ECR
Taarifa Msingi
Amazon Elastic Container Registry (Amazon ECR) ni huduma ya usajili wa picha za kontena iliyosimamiwa. Imelenga kutoa mazingira ambapo wateja wanaweza kuingiliana na picha zao za kontena kwa kutumia interfaces zinazojulikana. Hasa, matumizi ya Docker CLI au mteja wowote unaopendelewa yanategemewa, kuruhusu shughuli kama kusukuma, kuvuta, na kusimamia picha za kontena.
ECR inajumuisha aina 2 za vitu: Usajili na Repositories.
Usajili
Kila akaunti ya AWS ina usajili 2: Binafsi & Umma.
Usajili Binafsi:
Binafsi kwa chaguo-msingi: Picha za kontena zilizohifadhiwa kwenye usajili wa binafsi wa Amazon ECR zinapatikana kwa watumiaji walioruhusiwa ndani ya akaunti yako ya AWS au kwa wale waliopewa idhini.
URI ya repo binafsi inafuata muundo
<account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>
Kudhibiti upatikanaji: Unaweza kudhibiti upatikanaji wa picha za kontena za binafsi kwa kutumia sera za IAM, na unaweza kusanidi ruhusa za kina zinazotegemea watumiaji au majukumu.
Ushirikiano na huduma za AWS: Usajili wa binafsi wa Amazon ECR unaweza kwa urahisi kushirikishwa na huduma zingine za AWS, kama vile EKS, ECS...
Chaguzi zingine za usajili binafsi:
Safu ya kutokubadilika kwa lebo inaorodhesha hali yake, ikiwa kutokubadilika kwa lebo imewezeshwa itazuia kusukuma kwa picha za kontena zenye lebo zilizopo kutoka kubadilisha picha.
Safu ya Aina ya Ufichamishaji inaorodhesha mali za ufichamishaji wa usajili, inaonyesha aina za ufichamishaji za msingi kama AES-256, au ina ufichamishaji uliozimishwa wa KMS.
Safu ya Kache ya Kuvuta kupitia inaorodhesha hali yake, ikiwa hali ya Kuvuta kupitia ni Aktivu itahifadhi makusanyo katika usajili wa umma wa nje ndani ya usajili wako wa binafsi.
Sera maalum za IAM zinaweza kusanidiwa kutoa ruhusa tofauti.
Usanidi wa uchunguzi unaruhusu kutafuta kasoro katika picha zilizohifadhiwa ndani ya repo.
Usajili wa Umma:
Upatikanaji wa Umma: Picha za kontena zilizohifadhiwa kwenye usajili wa Umma wa ECR zinapatikana kwa yeyote kwenye mtandao bila uthibitisho.
URI ya repo ya umma ni kama
public.ecr.aws/<random>/<jina>
. Ingawa sehemu ya<random>
inaweza kubadilishwa na msimamizi kwa herufi nyingine rahisi kukumbuka.
Repositories
Hizi ni picha zilizo kwenye usajili wa binafsi au kwenye umma.
Tafadhali kumbuka kwamba ili kupakia picha kwenye repo, repo ya ECR inahitaji kuwa na jina sawa na picha.
Sera za Usajili & Repository
Usajili & repositori pia zina sera zinazoweza kutumika kutoa ruhusa kwa wakala/wakaazi wengine. Kwa mfano, katika sera ya picha ya repo ifuatayo unaweza kuona jinsi mtumiaji yeyote kutoka kwa shirika lote ataweza kupata picha:
Urambazaji
Kuchunguza Bila Kuidhinishwa
AWS - ECR Unauthenticated EnumPrivesc
Kwenye ukurasa ufuatao unaweza kuangalia jinsi ya kutumia vibali vya ECR kwa kujiongezea mamlaka:
AWS - ECR PrivescBaada ya Uvamizi
AWS - ECR Post ExploitationUthabiti
AWS - ECR PersistenceMarejeo
Last updated