AWS - ECR Persistence
ECR
Для отримання додаткової інформації перегляньте:
pageAWS - ECR EnumПрихований Docker-образ зі зловмисним кодом
Атакувальник може завантажити Docker-образ, що містить зловмисний код, до репозиторію ECR і використовувати його для збереження постійності в цільовому обліковому записі AWS. Після цього атакувальник може розгорнути зловмисний образ на різних службах в обліковому записі, таких як Amazon ECS або EKS, у непомітний спосіб.
Політика репозиторію
Додайте політику до одного репозиторію, надаючи собі (або всім) доступ до репозиторію:
Зверніть увагу, що для ECR користувачі повинні мати дозвіл на виклик API ecr:GetAuthorizationToken
через політику IAM перш ніж вони зможуть аутентифікуватися в реєстрі та завантажувати або витягувати будь-які зображення з будь-якого репозиторію Amazon ECR.
Політика реєстру та реплікація між обліковими записами
Можливо автоматично реплікувати реєстр в зовнішньому обліковому записі, налаштувавши реплікацію між обліковими записами, де вам потрібно вказати зовнішній обліковий запис, куди ви хочете реплікувати реєстр.
Спочатку вам потрібно надати зовнішньому обліковому запису доступ до реєстру за допомогою політики реєстру такої:
Потім застосуйте конфігурацію реплікації:
Last updated