Oracle Cloud Infrastructure-Dokumentation

Erforderliche IAM-Policy für Compute-Scanrezepte

Um Oracle Cloud Infrastructure verwenden zu können, benötigen Sie den erforderlichen Zugriffstyp in einer von einem Administrator geschriebenen Policy (IAM) . Geben Sie dabei an, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden.

Tipp

Wenn Sie versuchen, eine Aktion auszuführen, und eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen Sie den Administrator, welcher Zugriffstyp Ihnen erteilt wurde und in welchem Compartment Sie arbeiten sollen.

Beispiel: So erlauben Benutzer in der Gruppe SecurityAdmins das Erstellen, Aktualisieren und Löschen aller Vulnerability Scanning-Ressourcen im Compartment SalesApps:

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Wichtig

Wenn Sie Agent-basierte Qualys-Policys einrichten: Richten Sie zuerst die Agent-basierten Standard-Policys ein, und richten Sie dann Agent-basierte Qualys-Policys ein.

Agent-basierte Standard-Policys

Repositorys für VSS OCIR-Containerimagescans lesen

So ermöglichen Sie Benutzern in einer Gruppe das Lesen von Repositorys für VSS OCIR-Containerimagescans: 

Allow group VSSAdmins to read repos in tenancy

Oracle Cloud Agent bereitstellen

Wenn Sie in Ihrem Rezept Agent-basierte Scans aktivieren, müssen Sie dem Vulnerability Scanning-Service die Berechtigung erteilen, den Oracle Cloud Agent auf Ihren Ziel-Compute-Instanzen bereitzustellen.

Lesen Sie die VNIC (virtuelle Netzwerkschnittstellenkarte)

Der Vulnerability Scanning-Service muss auch die VNIC (virtuelle Netzwerkkarte) auf Ihren Compute-Zielinstanzen lesen können.

Beispiel: So erteilen Sie diese Berechtigung für alle Compute-Instanzen im gesamten Mandanten:

Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

So erteilen Sie diese Berechtigung für alle Compute-Instanzen in einem bestimmten Compartment:

Allow service vulnerability-scanning-service to manage instances in compartment <compartment_name>
Allow service vulnerability-scanning-service to read compartments in compartment <compartment_name>
Allow service vulnerability-scanning-service to read vnics in compartment <compartment_name>
Allow service vulnerability-scanning-service to read vnic-attachments in compartment <compartment_name>

Eine VNIC befindet sich möglicherweise in einem anderen Compartment als die Compute-Instanz. Erteilen Sie VNIC-Berechtigungen entweder für den gesamten Mandanten oder für das spezifische Compartment, in dem sich die VNIC befindet, sowie für die Compartments der Compute-Instanzen:

Allow service vulnerability-scanning-service to read vnics in compartment <vnic_compartment_name>
Allow service vulnerability-scanning-service to read vnic-attachments in compartment <vnic_compartment_name>

Agent-basierte Qualys-Policys

Voraussetzungen:
  • Agent-basierte Qualys Policys einrichten.
  • Erstellen Sie eine dynamische Gruppe von Instanzen, die Sie scannen möchten. Siehe Dynamische Gruppen verwalten. Instanzen, die den Kriterien einer dieser Regeln entsprechen, werden in die dynamische Gruppe aufgenommen. Beispiel: 
    All {instance.compartment.id = <compartment_ocid>}
    Hinweis

    Sie können einen gesamten Mandanten angeben.

Zugriff auf Secrets und von Qualys zurückgesendete Daten für dynamische Gruppen erteilen

Um das agentenbasierte Scannen von Qualys in Ihrem Rezept zu verwenden, schreiben Sie eine Policy, die der dynamischen Gruppe Berechtigungen für den Zugriff auf Secrets und den Zugriff auf die von Qualys zurückgesendeten Daten erteilt.

So erteilen Sie der dynamischen Gruppe Zugriff auf Secrets: 

Allow dynamic-group <dynamic_group_name> to read vaults in tenancy
Allow dynamic-group <dynamic_group_name> to read keys in tenancy
Allow dynamic-group <dynamic_group_name> to read secret-family in tenancy

So greifen Sie auf die von Qualys zurückgesendeten Daten zu:

Define tenancy ocivssprod as ocid1.tenancy.oc1..aaaaaaaa6zt5ejxod5pgthsq4apr5z2uzde7dmbpduc5ua3mic4zv3g5ttma 
Endorse dynamic-group <dynamic_group_name> to read objects in tenancy ocivssprod

Weitere Informationen und Beispiele finden Sie in: