AWS - ECR Enum

ECR

Temel Bilgiler

Amazon Elastic Container Registry (Amazon ECR), yönetilen bir konteyner görüntü kayıt defteri hizmetidir. Müşterilerin, tanınmış arayüzleri kullanarak konteyner görüntülerine etkileşimde bulunabilecekleri bir ortam sağlamak üzere tasarlanmıştır. Özellikle Docker CLI veya tercih edilen herhangi bir istemci kullanımına destek verilir, bu da itme, çekme ve konteyner görüntülerini yönetme gibi faaliyetleri mümkün kılar.

ECR, Kayıt Defterleri ve Depolar olmak üzere 2 tür nesneden oluşur.

Kayıt Defterleri

Her AWS hesabında 2 kayıt defteri bulunur: Özel ve Genel.

1. Özel Kayıt Defterleri:

• Varsayılan olarak özel: Amazon ECR özel bir kayıt defterinde depolanan konteyner görüntüleri, yalnızca AWS hesabınızdaki yetkilendirilmiş kullanıcılara veya izin verilenlere erişilebilir.

• Özel bir deponin URI'si, <hesap_id>.dkr.ecr.<bölge>.amazonaws.com/<repo-adı> formatını izler.

• Erişim kontrolü: Özel konteyner görüntülerinize IAM politikaları kullanarak erişimi kontrol edebilir ve kullanıcılara veya rollerle ilgili ayrıntılı izinler yapılandırabilirsiniz.

• AWS hizmetleriyle entegrasyon: Amazon ECR özel kayıt defterleri, EKS, ECS gibi diğer AWS hizmetleriyle kolayca entegre edilebilir.

• Diğer özel kayıt defteri seçenekleri:

• Etiket değişmezlik sütunu, durumunu listeler, etiket değişmezlik etkinleştirildiyse, önceden var olan etiketlerle görüntü itmelerinin görüntüleri üzerine yazılmasını engeller.

• Şifreleme türü sütunu, depo şifreleme özelliklerini listeler, AES-256 gibi varsayılan şifreleme türlerini veya KMS etkinleştirilmiş şifrelemeleri gösterir.

• Önbelleği geçir sütunu, durumunu listeler, Önbelleği geçirme durumu Etkinse, dış bir genel depodaki depoları özel depoya önbelleğe alır.

• Farklı izinler sağlamak için özel IAM politikaları yapılandırılabilir.

• Tarama yapılandırması, depoda depolanan görüntülerdeki zafiyetleri taramak için kullanılabilir.

2. Genel Kayıt Defterleri:

• Genel erişilebilirlik: ECR Genel kayıt defterinde depolanan konteyner görüntüleri, kimlik doğrulamasız olarak internet üzerindeki herkese erişilebilir.

• Genel bir deponun URI'si, public.ecr.aws/<rastgele>/<ad> şeklindedir. <rastgele> kısmı yönetici tarafından başka bir hatırlanması daha kolay dizeye değiştirilebilir.

Depolar

Bunlar, özel kayıt defterindeki veya genel olan görüntülerdir.

Kayıt Defteri ve Depo Politikaları

Kayıt defterleri ve depolar ayrıca diğer prensiplere/hesaplara izin vermek için kullanılabilecek politikalara sahiptir. Örneğin, aşağıdaki depo politikası görüntüsünde, tüm organizasyondan herhangi bir kullanıcının görüntüye erişebileceğini görebilirsiniz:

Numaralandırma

# Get repos
aws ecr describe-repositories
aws ecr describe-registry

# Get image metadata
aws ecr list-images --repository-name <repo_name>
aws ecr describe-images --repository-name <repo_name>
aws ecr describe-image-replication-status --repository-name <repo_name> --image-id <image_id>
aws ecr describe-image-scan-findings --repository-name <repo_name> --image-id <image_id>
aws ecr describe-pull-through-cache-rules --repository-name <repo_name> --image-id <image_id>

# Get public repositories
aws ecr-public describe-repositories

# Get policies
aws ecr get-registry-policy
aws ecr get-repository-policy --repository-name <repo_name>

Kimlik Doğrulama Olmadan Sıralama

Privilege Escalation

Aşağıdaki sayfada, ECR izinlerini kötüye kullanarak ayrıcalıkları yükseltme yöntemlerini kontrol edebilirsiniz:

Saldırı Sonrası

Kalıcılık

Referanslar

• https://docs.aws.amazon.com/AmazonECR/latest/APIReference/Welcome.html