IAM-Policys für Vulnerability Scanning

Erstellen Sie IAM-Policys, um zu kontrollieren, wer Zugriff auf Ressourcen des Oracle Cloud Infrastructure Vulnerability Scanning Service hat und welche Art von Zugriff die einzelnen Benutzergruppen haben.

Standardmäßig haben nur die Benutzer in der Gruppe Administrators Zugriff auf alle Vulnerability Scanning-Ressourcen. Informationen zu IAM-Policys finden Sie unter Erste Schritte mit Policys.

Eine vollständige Liste aller Policys in Oracle Cloud Infrastructure finden Sie in der Policy-Referenz.

Hinweis

Neben dem Gewähren von Zugriff für Benutzer auf Vulnerability Scanning-Ressourcen muss dem Vulnerability Scanning-Service selbst Zugriff auf Ihre Zielressourcen erteilt werden. Siehe Policy-Beispiele.

Ressourcentypen

Die folgenden Ressourcentypen beziehen sich auf Vulnerability Scanning.

So weisen Sie Berechtigungen für alle Vulnerability Scanning-Ressourcen zu:

vss-family

So weisen Sie Berechtigungen für einzelne Ressourcentypen zu:

container-scan-recipes
container-scan-results
container-scan-targets
host-agent-scan-results
host-cis-benchmark-scan-results
host-port-scan-results
host-scan-recipes
host-scan-targets
host-vulnerabilities
vss-vulnerabilities
vss-work-requests

Beim Vulnerability Scanning wird eine Instanz (Compute) auch als host bezeichnet.

Eine Policy, die <verb> vss-family verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <resource-type>-Anweisung für jeden einzelnen Ressourcentyp.

Unterstützte Variablen

IAM-Policys für Vulnerability Scanning unterstützen alle allgemeinen Richtlinienvariablen.

Siehe Allgemeine Variablen für alle Anforderungen.

Details zu Kombinationen aus Verb und Ressourcentyp

Identifizieren Sie die Berechtigungen und API-Vorgänge, die von jedem Verb für Vulnerability Scanning-Ressourcen abgedeckt werden.

Die Zugriffsebene ist kumulativ von inspect zu read zu use zu manage.

Ein Pluszeichen (+) in einer Tabellenzelle gibt den inkrementellen Zugriff im Vergleich zur Zelle direkt darüber an, während no extra keinen inkrementellen Zugriff angibt.

container-scan-recipes


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`VSS_CONTAINERSCANRECIPE_INSPECT`	`ListContainerScanRecipes`	Keine
`read`	`inspect+` `VSS_CONTAINERSCANRECIPE_READ`	`GetContainerScanRecipe`	Keine
`use`	`read+` `VSS_CONTAINERSCANRECIPE_UPDATE`	`UpdateContainerScanRecipe`	Keine
`manage`	`use+` `VSS_CONTAINERSCANRECIPE_CREATE` `VSS_CONTAINERSCANRECIPE_DELETE` `VSS_CONTAINERSCANRECIPE_MOVE`	`CreateContainerScanRecipe` `DeleteContainerScanRecipe` `ChangeContainerScanRecipeCompartment`	Keine

container-scan-results


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`VSS_CONTAINERSCAN_INSPECT`	`ListContainerScanResults`	Keine
`read`	`inspect+` `VSS_CONTAINERSCAN_READ`	`GetContainerScanResult`	Keine
`use`	`read+`	Keine	Keine
`manage`	`use+` `VSS_CONTAINERSCAN_DELETE` `VSS_CONTAINERSCAN_MOVE`	`DeleteContainerScanResult` `ChangeContainerScanResultCompartment`	Keine

container-scan-targets


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`VSS_CONTAINERSCANTARGET_INSPECT`	`ListContainerScanTargets`	Keine
`read`	`inspect+` `VSS_CONTAINERSCANTARGET_READ`	`GetContainerScanTarget`	Keine
`use`	`read+` `VSS_CONTAINERSCANTARGET_UPDATE`	`UpdateContainerScanTarget`	Keine
`manage`	`use+` `VSS_CONTAINERSCANTARGET_CREATE` `VSS_CONTAINERSCANTARGET_DELETE` `VSS_CONTAINERSCANTARGET_MOVE`	`CreateContainerScanTarget` `DeleteContainerScanTarget` `ChangeContainerScanTargetCompartment`	Keine

host-agent-scan-results


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`VSS_HOSTAGENTSCAN_INSPECT`	`ListHostAgentScanResults`	Keine
`read`	`inspect+` `VSS_HOSTAGENTSCAN_READ`	`GetHostAgentScanResult`	Keine
`use`	`read+`	Keine	Keine
`manage`	`use+` `VSS_HOSTAGENTSCAN_DELETE` `VSS_HOSTAGENTSCAN_EXPORT` `VSS_HOSTAGENTSCAN_MOVE`	`DeleteHostAgentScanResult` `ExportHostAgentScanResultCsv` `ChangeHostAgentScanResultCompartment`	Keine

host-cis-benchmark-scan-results


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`VSS_HOSTCISBENCHMARKSCAN_INSPECT`	`ListHostCisBenchmarkScanResults`	Keine
`read`	`inspect+` `VSS_HOSTCISBENCHMARKSCAN_READ`	`GetHostCisBenchmarkScanResult`	Keine
`use`	`read+`	Keine	Keine
`manage`	`use+` `VSS_HOSTCISBENCHMARKSCAN_DELETE` `VSS_HOSTCISBENCHMARKSCAN_MOVE`	`DeleteHostCisBenchmarkScanResult` `ChangeHostCisBenchmarkScanResultCompartment`	Keine

host-port-scan-results


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`VSS_HOSTPORTSCAN_INSPECT`	`ListHostPortScanResults`	Keine
`read`	`inspect+` `VSS_HOSTPORTSCAN_READ`	`GetHostPortScanResult`	Keine
`use`	`read+`	Keine	Keine
`manage`	`use+` `VSS_HOSTPORTSCAN_DELETE` `VSS_HOSTPORTSCAN_MOVE`	`DeleteHostPortScanResult` `ChangeHostPortScanResultCompartment`	Keine

host-scan-recipes


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`VSS_HOSTSCANRECIPE_INSPECT`	`ListHostScanRecipes`	Keine
`read`	`inspect+` `VSS_HOSTSCANRECIPE_READ`	`GetHostScanRecipe`	Keine
`use`	`read+` `VSS_HOSTSCANRECIPE_UPDATE`	`UpdateHostScanRecipe`	Keine
`manage`	`use+` `VSS_HOSTSCANRECIPE_CREATE` `VSS_HOSTSCANRECIPE_DELETE` `VSS_HOSTSCANRECIPE_MOVE`	`CreateHostScanRecipe` `DeleteHostScanRecipe` `ChangeHostScanRecipeCompartment`	Keine

host-scan-targets


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`VSS_HOSTSCANTARGET_INSPECT`	`ListHostScanTargets`	Keine
`read`	`inspect+` `VSS_HOSTSCANTARGET_READ`	`GetHostScanTarget`	Keine
`use`	`read+` `VSS_HOSTSCANTARGET_UPDATE`	`UpdateHostScanTarget`	Keine
`manage`	`use+` `VSS_HOSTSCANTARGET_CREATE` `VSS_HOSTSCANTARGET_DELETE` `VSS_HOSTSCANTARGET_MOVE`	`CreateHostScanTarget` `DeleteHostScanTarget` `ChangeHostScanTargetCompartment`	Keine

host-vulnerabilities

Hinweis

Alternativ können Sie mit vss-vulnerabilities den Zugriff sowohl auf Host- als auch auf Containersicherheitslücken verwalten.

Der Exportvorgang ist für den Ressourcentyp host-vulnerabilities und nicht für den Ressourcentyp vss-vulnerabilities verfügbar.


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`VSS_VULN_INSPECT` `VSS_VULN_HOST_INSPECT`	`ListHostVulnerabilities` `ListHostVulnerabilityImpactedHosts`	Keine
`read`	`inspect+` `VSS_VULN_READ`	`GetHostVulnerability`	Keine
`use`	`read+`	Keine	Keine
`manage`	`use+` `VSS_VULN_EXPORT`	`ExportHostVulnerabilityCsv`	Keine

vss-vulnerabilities


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`VSS_VULN_INSPECT` `VSS_VULN_HOST_INSPECT` `VSS_VULN_CONTAINER_INSPECT`	`ListVulnerabilities` `ListVulnerabilityImpactedHosts` `ListVulnerabilityImpactedContainers`	Keine
`read`	`inspect+` `VSS_VULN_READ`	`GetVulnerability`	Keine
`use`	`read+`	Keine	Keine
`manage`	`use+`	Keine	Keine

vss-work-requests


Verben	Berechtigungen	Vollständig abgedeckte APIs	Teilweise abgedeckte APIs
`inspect`	`VSS_WR_INSPECT`	`ListWorkRequests`	Keine
`read`	`inspect+` `VSS_WR_READ` `VSS_WR_ERR_READ` `VSS_WR_LOG_READ`	`GetWorkRequest` `ListWorkRequestErrors` `ListWorkRequestLogs`	Keine
`use`	`read+`	Keine	Keine
`manage`	`use+`	Keine	Keine

Für jeden API-Vorgang erforderliche Berechtigungen

In der folgenden Tabelle werden die API-Vorgänge für Vulnerability Scanning in logischer Reihenfolge nach Ressourcentyp gruppiert aufgeführt.

Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungen.


API-Vorgang	Für den Vorgang erforderliche Berechtigungen
`ChangeContainerScanRecipeCompartment`	`VSS_CONTAINERSCANRECIPE_MOVE`
`ChangeContainerScanResultCompartment`	`VSS_CONTAINERSCAN_MOVE`
`ChangeContainerScanTargetCompartment`	`VSS_CONTAINERSCANTARGET_MOVE`
`ChangeHostAgentScanResultCompartment`	`VSS_HOSTAGENTSCAN_MOVE`
`ChangeHostCisBenchmarkScanResultCompartment`	`VSS_HOSTCISBENCHMARKSCAN_MOVE`
`ChangeHostPortScanResultCompartment`	`VSS_HOSTPORTSCAN_MOVE`
`ChangeHostScanRecipeCompartment`	`VSS_HOSTSCANRECIPE_MOVE`
`ChangeHostScanTargetCompartment`	`VSS_HOSTSCANTARGET_MOVE`
`CreateContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_CREATE`
`CreateContainerScanTarget`	`VSS_CONTAINERSCANTARGET_CREATE`
`CreateHostScanRecipe`	`VSS_HOSTSCANRECIPE_CREATE`
`CreateHostScanTarget`	`VSS_HOSTSCANTARGET_CREATE`
`DeleteContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_DELETE`
`DeleteContainerScanResult`	`VSS_CONTAINERSCAN_DELETE`
`DeleteContainerScanTarget`	`VSS_CONTAINERSCANTARGET_DELETE`
`DeleteHostAgentScanResult`	`VSS_HOSTAGENTSCAN_DELETE`
`DeleteHostCisBenchmarkScanResult`	`VSS_HOSTCISBENCHMARKSCAN_DELETE`
`DeleteHostPortScanResult`	`VSS_HOSTPORTSCAN_DELETE`
`DeleteHostScanRecipe`	`VSS_HOSTSCANRECIPE_DELETE`
`DeleteHostScanTarget`	`VSS_HOSTSCANTARGET_DELETE`
`ExportHostAgentScanResultCsv`	`VSS_HOSTAGENTSCAN_EXPORT`
`ExportHostVulnerabilityCsv`	`VSS_VULN_EXPORT`
`GetContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_READ`
`GetContainerScanResult`	`VSS_CONTAINERSCAN_READ`
`GetContainerScanTarget`	`VSS_CONTAINERSCANTARGET_READ`
`GetHostAgentScanResult`	`VSS_HOSTAGENTSCAN_READ`
`GetHostCisBenchmarkScanResult`	`VSS_HOSTCISBENCHMARKSCAN_READ`
`GetHostPortScanResult`	`VSS_HOSTPORTSCAN_READ`
`GetHostScanRecipe`	`VSS_HOSTSCANRECIPE_READ`
`GetHostScanTarget`	`VSS_HOSTSCANTARGET_READ`
`GetHostVulnerability`	`VSS_VULN_READ`
`GetVulnerability`	`VSS_VULN_READ`
`GetWorkRequest`	`VSS_WR_READ`
`ListContainerScanRecipes`	`VSS_CONTAINERSCANRECIPE_INSPECT`
`ListContainerScanResults`	`VSS_CONTAINERSCAN_INSPECT`
`ListContainerScanTargets`	`VSS_CONTAINERSCANTARGET_INSPECT`
`ListHostAgentScanResults`	`VSS_HOSTAGENTSCAN_INSPECT`
`ListHostCisBenchmarkScanResults`	`VSS_HOSTCISBENCHMARKSCAN_INSPECT`
`ListHostPortScanResults`	`VSS_HOSTPORTSCAN_INSPECT`
`ListHostScanRecipes`	`VSS_HOSTSCANRECIPE_INSPECT`
`ListHostScanTargets`	`VSS_HOSTSCANTARGET_INSPECT`
`ListHostVulnerabilities`	`VSS_VULN_INSPECT`
`ListHostVulnerabilityImpactedHosts`	`VSS_VULN_HOST_INSPECT`
`ListVulnerabilities`	`VSS_VULN_INSPECT`
`ListVulnerabilityImpactedContainers`	`VSS_VULN_CONTAINER_INSPECT`
`ListVulnerabilityImpactedHosts`	`VSS_VULN_HOST_INSPECT`
`ListWorkRequests`	`VSS_WR_INSPECT`
`ListWorkRequestErrors`	`VSS_WR_ERR_READ`
`ListWorkRequestLogs`	`VSS_WR_LOG_READ`
`UpdateContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_UPDATE`
`UpdateContainerScanTarget`	`VSS_CONTAINERSCANTARGET_UPDATE`
`UpdateHostScanRecipe`	`VSS_HOSTSCANRECIPE_UPDATE`
`UpdateHostScanTarget`	`VSS_HOSTSCANTARGET_UPDATE`

Policy-Beispiele

Hier finden Sie Beispiele zu IAM-Policys für Vulnerability Scanning.

Einfache Policy-Beispiele

Benutzern in der Gruppe SecurityAdmins erlauben, alle Vulnerability Scanning-Ressourcen im gesamten Mandanten zu erstellen, zu aktualisieren und zu löschen:
```
Allow group SecurityAdmins to manage vss-family in tenancy
```
Benutzer in der Gruppe SecurityAdmins können alle Vulnerability Scanning-Ressourcen im Compartment SalesApps erstellen, aktualisieren und löschen:
```
Allow group SecurityAdmins to manage vss-family in compartment SalesApps
```
Benutzern in Gruppe SecurityAuditors erlauben, alle Vulnerability Scanning-Ressourcen im Compartment SalesApps anzuzeigen:
```
Allow group SecurityAuditors to read vss-family in compartment SalesApps
```

Benutzern in der Gruppe SecurityAuditors erlauben, alle Vulnerability Scanning-Ressourcen im Compartment SalesApps anzuzeigen und die Ergebnisse zu exportieren:

Allow group SecurityAuditors to read vss-family in compartment SalesApps
Allow group SecurityAuditors to manage host-agent-scan-results in compartment SalesApps where request.operation = 'ExportHostAgentScanResultCsv'
Allow group SecurityAuditors to manage host-vulnerabilities in compartment SalesApps where request.operation = 'ExportHostVulnerabilityCsv'

Hinweis

Der Exportvorgang ist für den Ressourcentyp host-vulnerabilities und nicht für den Ressourcentyp vss-vulnerabilities verfügbar.

Benutzern in der Gruppe SecurityAdmins das Erstellen, Aktualisieren und Löschen von Compute-(Host-)Rezepten im gesamten Mandanten erlauben:
```
Allow group SecurityAdmins to manage host-scan-recipes in tenancy
```

Benutzer in der Gruppe SecurityAuditors können alle Compute-(Host-)Scanergebnisse im Compartment SalesApps anzeigen:

Allow group SecurityAuditors to read host-agent-scan-results in compartment SalesApps
Allow group SecurityAuditors to read host-port-scan-results in compartment SalesApps
Allow group SecurityAuditors to read host-cis-benchmark-scan-results in compartment SalesApps
Allow group SecurityAuditors to read container-scan-results in compartment SalesApps
Allow group SecurityAuditors to read vss-vulnerabilities in compartment SalesApps

Beispiele für Compute-(Host-)Scan-Policys

Zum Verwenden des Agent-basierten Scans von Compute-Instanzen müssen Sie außerdem Folgendes ausführen:

Erteilen Sie dem Vulnerability Scanning-Service die Berechtigung, den Oracle Cloud Agent für Ihre Ziel-Compute-Instanzen bereitzustellen.
Erteilen Sie dem Vulnerability Scanning-Service die Berechtigung, die VNIC (virtuelle Netzwerkkarte) auf Ihren Compute-Zielinstanzen zu lesen.

Beispiele:

Zulassen, dass der Vulnerability Scanning-Service und die Benutzer in der Gruppe SecurityAdmins Agent-basierte Scans im gesamten Mandanten ausführen:

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

Zulassen, dass der Vulnerability Scanning-Service und die Benutzer in der Gruppe SecurityAdmins Agent-basierte Scans für Instanzen im Compartment SalesApps ausführen:

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesApps
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesApps

Zulassen, dass der Vulnerability Scanning-Service und die Benutzer in der Gruppe SecurityAdmins Agent-basierte Scans für Instanzen im Compartment SalesApps ausführen. Die VNICs dieser Instanzen befinden sich im Compartment SalesNetwork:

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesNetwork
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesNetwork

Weitere Informationen zu Compute- und Netzwerk-Policys finden Sie unter Policy-Referenz für Coreservices.

Beispiele für Containerimagescan-Policys

Um Images in Container Registry zu scannen, müssen Sie dem Vulnerability Scanning-Service auch die Berechtigung erteilen, Images aus Container Registry abzurufen.

Beispiele:

Zulassen, dass der Vulnerability Scanning-Service und die Benutzer in der Gruppe SecurityAdmins alle Containerimages im gesamten Mandanten scannen:

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to read repos in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy

Zulassen, dass der Vulnerability Scanning-Service und die Benutzer in der Gruppe SecurityAdmins Containerimages im Compartment SalesApps scannen:

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to read repos in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps

Weitere Informationen finden Sie in der Policy-Referenz für Container Registry.