AWS - ECR Enum

ECR

Базова інформація

Amazon Elastic Container Registry (Amazon ECR) - це керований сервіс реєстрації контейнерних зображень. Він призначений для створення середовища, де клієнти можуть взаємодіяти зі своїми контейнерними зображеннями за допомогою відомих інтерфейсів. Зокрема, підтримується використання Docker CLI або будь-якого іншого клієнта на вибір, що дозволяє виконувати дії, такі як завантаження, витягування та управління контейнерними зображеннями.

ECR складається з 2 типів об'єктів: Реєстри та Репозиторії.

Реєстри

У кожному обліковому записі AWS є 2 реєстри: Приватний та Публічний.

1. Приватні реєстри:

• Приватні за замовчуванням: Контейнерні зображення, збережені в приватному реєстрі Amazon ECR, доступні тільки авторизованим користувачам у межах вашого облікового запису AWS або тим, кому було надано дозвіл.

• URI приватного репозиторію має формат <account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>

• Контроль доступу: Ви можете контролювати доступ до своїх приватних контейнерних зображень за допомогою IAM політик, і ви можете налаштовувати дозволи з дрібними налаштуваннями на основі користувачів або ролей.

• Інтеграція з сервісами AWS: Приватні реєстри Amazon ECR можуть легко інтегруватися з іншими сервісами AWS, такими як EKS, ECS...

• Інші параметри приватного реєстру:

• Стовпець незмінності тегу показує його статус, якщо включена незмінність тегу, це запобігає завантаженню зображення з існуючими тегами, які перезаписують зображення.

• Стовпець Тип шифрування показує властивості шифрування репозиторію, він показує типи шифрування за замовчуванням, такі як AES-256, або має включені шифрування з KMS.

• Стовпець Кеш для витягування показує його статус, якщо статус кешу для витягування активний, він кешує репозиторії в зовнішньому публічному репозиторії у вашому приватному репозиторії.

• Можна налаштувати конкретні IAM політики, щоб надати різні дозволи.

• Конфігурація сканування дозволяє сканувати вразливості в зображеннях, збережених у репозиторії.

2. Публічні реєстри:

• Публічна доступність: Контейнерні зображення, збережені в публічному реєстрі ECR, доступні всім в Інтернеті без аутентифікації.

• URI публічного репозиторію виглядає як public.ecr.aws/<random>/<name>. Хоча частина <random> може бути змінена адміністратором на інший рядок, який легше запам'ятати.

Репозиторії

Це зображення, які в приватному реєстрі або публічному.

Політики реєстрів та репозиторіїв

Реєстри та репозиторії також мають політики, які можна використовувати для надання дозволів іншим принципалам/обліковим записам. Наприклад, у наступній політиці репозиторію зображень ви можете побачити, як будь-який користувач з усієї організації зможе отримати доступ до зображення:

Енумерація

# Get repos
aws ecr describe-repositories
aws ecr describe-registry

# Get image metadata
aws ecr list-images --repository-name <repo_name>
aws ecr describe-images --repository-name <repo_name>
aws ecr describe-image-replication-status --repository-name <repo_name> --image-id <image_id>
aws ecr describe-image-scan-findings --repository-name <repo_name> --image-id <image_id>
aws ecr describe-pull-through-cache-rules --repository-name <repo_name> --image-id <image_id>

# Get public repositories
aws ecr-public describe-repositories

# Get policies
aws ecr get-registry-policy
aws ecr get-repository-policy --repository-name <repo_name>

Неаутентифікований перелік

Підвищення привілеїв

На наступній сторінці ви можете перевірити, як зловживати дозволами ECR для підвищення привілеїв:

Післяексплуатаційна діяльність

Постійність

Посилання

• https://docs.aws.amazon.com/AmazonECR/latest/APIReference/Welcome.html