AWS - ECR Enum
AWS - ECR Enum
ECR
Базова інформація
Amazon Elastic Container Registry (Amazon ECR) - це керований сервіс реєстрації контейнерних зображень. Він призначений для створення середовища, де клієнти можуть взаємодіяти зі своїми контейнерними зображеннями за допомогою відомих інтерфейсів. Зокрема, підтримується використання Docker CLI або будь-якого іншого клієнта на вибір, що дозволяє виконувати дії, такі як завантаження, витягування та управління контейнерними зображеннями.
ECR складається з 2 типів об'єктів: Реєстри та Репозиторії.
Реєстри
У кожному обліковому записі AWS є 2 реєстри: Приватний та Публічний.
Приватні реєстри:
Приватні за замовчуванням: Контейнерні зображення, збережені в приватному реєстрі Amazon ECR, доступні тільки авторизованим користувачам у межах вашого облікового запису AWS або тим, кому було надано дозвіл.
URI приватного репозиторію має формат
<account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>
Контроль доступу: Ви можете контролювати доступ до своїх приватних контейнерних зображень за допомогою IAM політик, і ви можете налаштовувати дозволи з дрібними налаштуваннями на основі користувачів або ролей.
Інтеграція з сервісами AWS: Приватні реєстри Amazon ECR можуть легко інтегруватися з іншими сервісами AWS, такими як EKS, ECS...
Інші параметри приватного реєстру:
Стовпець незмінності тегу показує його статус, якщо включена незмінність тегу, це запобігає завантаженню зображення з існуючими тегами, які перезаписують зображення.
Стовпець Тип шифрування показує властивості шифрування репозиторію, він показує типи шифрування за замовчуванням, такі як AES-256, або має включені шифрування з KMS.
Стовпець Кеш для витягування показує його статус, якщо статус кешу для витягування активний, він кешує репозиторії в зовнішньому публічному репозиторії у вашому приватному репозиторії.
Можна налаштувати конкретні IAM політики, щоб надати різні дозволи.
Конфігурація сканування дозволяє сканувати вразливості в зображеннях, збережених у репозиторії.
Публічні реєстри:
Публічна доступність: Контейнерні зображення, збережені в публічному реєстрі ECR, доступні всім в Інтернеті без аутентифікації.
URI публічного репозиторію виглядає як
public.ecr.aws/<random>/<name>
. Хоча частина<random>
може бути змінена адміністратором на інший рядок, який легше запам'ятати.
Репозиторії
Це зображення, які в приватному реєстрі або публічному.
Зверніть увагу, що для завантаження зображення в репозиторій, репозиторій ECR повинен мати таке ж ім'я, як і зображення.
Політики реєстрів та репозиторіїв
Реєстри та репозиторії також мають політики, які можна використовувати для надання дозволів іншим принципалам/обліковим записам. Наприклад, у наступній політиці репозиторію зображень ви можете побачити, як будь-який користувач з усієї організації зможе отримати доступ до зображення:
Енумерація
Неаутентифікований перелік
AWS - ECR Unauthenticated EnumПідвищення привілеїв
На наступній сторінці ви можете перевірити, як зловживати дозволами ECR для підвищення привілеїв:
AWS - ECR PrivescПісляексплуатаційна діяльність
AWS - ECR Post ExploitationПостійність
AWS - ECR PersistenceПосилання
Last updated