Políticas de IAM de Vulnerability Scanning

Cree políticas de IAM para controlar quién tiene acceso a los recursos de Oracle Cloud Infrastructure Vulnerability Scanning Service y para controlar el tipo de acceso para cada grupo de usuarios.

Por defecto, solo los usuarios del grupo Administrators tienen acceso a todos los recursos de Vulnerability Scanning. Si no está familiarizado con las políticas de IAM, consulte Getting Started with Policies.

Para obtener una lista completa de las políticas de Oracle Cloud Infrastructure, consulte la referencia de políticas.

Nota

Además de otorgar a los usuarios acceso a los recursos de Vulnerability Scanning, el propio servicio de Vulnerability Scanning debe tener acceso a los recursos de destino. Consulte Ejemplos de políticas.

Tipos de recursos

Los siguientes tipos de recursos están relacionados con Vulnerability Scanning.

Para asignar permisos a todos los recursos de Vulnerability Scanning, utilice el tipo de agregación:

vss-family

Para asignar permisos a tipos de recursos individuales:

container-scan-recipes
container-scan-results
container-scan-targets
host-agent-scan-results
host-cis-benchmark-scan-results
host-port-scan-results
host-scan-recipes
host-scan-targets
host-vulnerabilities
vss-vulnerabilities
vss-work-requests

En la exploración de vulnerabilidades, una instancia (Compute) también se denomina host.

Una política que utiliza <verb> vss-family equivale a escribir una política con una sentencia <verb> <resource-type> independiente para cada uno de los tipos de recursos individuales.

Variables soportadas

Las políticas de IAM de Vulnerability Scanning admiten todas las variables de política generales.

Consulte Variables generales para todas las solicitudes.

Detalles de las combinaciones de verbo + tipo de recurso

Identifique los permisos y las operaciones de API cubiertas por cada verbo para los recursos de Vulnerability Scanning.

El nivel de acceso es acumulativo a medida que pasa de inspect a read a use a manage.

Un signo más (+) en una celda de la tabla indica un acceso incremental en comparación con la celda precedente, mientras que "sin extra" indica que no no extra indica que no hay un acceso incremental.

container-scan-recipes


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
`inspect`	`VSS_CONTAINERSCANRECIPE_INSPECT`	`ListContainerScanRecipes`	ninguna
`read`	`inspect+` `VSS_CONTAINERSCANRECIPE_READ`	`GetContainerScanRecipe`	ninguna
`use`	`read+` `VSS_CONTAINERSCANRECIPE_UPDATE`	`UpdateContainerScanRecipe`	ninguna
`manage`	`use+` `VSS_CONTAINERSCANRECIPE_CREATE` `VSS_CONTAINERSCANRECIPE_DELETE` `VSS_CONTAINERSCANRECIPE_MOVE`	`CreateContainerScanRecipe` `DeleteContainerScanRecipe` `ChangeContainerScanRecipeCompartment`	ninguna

container-scan-results


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
`inspect`	`VSS_CONTAINERSCAN_INSPECT`	`ListContainerScanResults`	ninguna
`read`	`inspect+` `VSS_CONTAINERSCAN_READ`	`GetContainerScanResult`	ninguna
`use`	`read+`	ninguna	ninguna
`manage`	`use+` `VSS_CONTAINERSCAN_DELETE` `VSS_CONTAINERSCAN_MOVE`	`DeleteContainerScanResult` `ChangeContainerScanResultCompartment`	ninguna

container-scan-targets


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
`inspect`	`VSS_CONTAINERSCANTARGET_INSPECT`	`ListContainerScanTargets`	ninguna
`read`	`inspect+` `VSS_CONTAINERSCANTARGET_READ`	`GetContainerScanTarget`	ninguna
`use`	`read+` `VSS_CONTAINERSCANTARGET_UPDATE`	`UpdateContainerScanTarget`	ninguna
`manage`	`use+` `VSS_CONTAINERSCANTARGET_CREATE` `VSS_CONTAINERSCANTARGET_DELETE` `VSS_CONTAINERSCANTARGET_MOVE`	`CreateContainerScanTarget` `DeleteContainerScanTarget` `ChangeContainerScanTargetCompartment`	ninguna

host-agent-scan-results


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
`inspect`	`VSS_HOSTAGENTSCAN_INSPECT`	`ListHostAgentScanResults`	ninguna
`read`	`inspect+` `VSS_HOSTAGENTSCAN_READ`	`GetHostAgentScanResult`	ninguna
`use`	`read+`	ninguna	ninguna
`manage`	`use+` `VSS_HOSTAGENTSCAN_DELETE` `VSS_HOSTAGENTSCAN_EXPORT` `VSS_HOSTAGENTSCAN_MOVE`	`DeleteHostAgentScanResult` `ExportHostAgentScanResultCsv` `ChangeHostAgentScanResultCompartment`	ninguna

host-cis-benchmark-scan-results


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
`inspect`	`VSS_HOSTCISBENCHMARKSCAN_INSPECT`	`ListHostCisBenchmarkScanResults`	ninguna
`read`	`inspect+` `VSS_HOSTCISBENCHMARKSCAN_READ`	`GetHostCisBenchmarkScanResult`	ninguna
`use`	`read+`	ninguna	ninguna
`manage`	`use+` `VSS_HOSTCISBENCHMARKSCAN_DELETE` `VSS_HOSTCISBENCHMARKSCAN_MOVE`	`DeleteHostCisBenchmarkScanResult` `ChangeHostCisBenchmarkScanResultCompartment`	ninguna

host-port-scan-results


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
`inspect`	`VSS_HOSTPORTSCAN_INSPECT`	`ListHostPortScanResults`	ninguna
`read`	`inspect+` `VSS_HOSTPORTSCAN_READ`	`GetHostPortScanResult`	ninguna
`use`	`read+`	ninguna	ninguna
`manage`	`use+` `VSS_HOSTPORTSCAN_DELETE` `VSS_HOSTPORTSCAN_MOVE`	`DeleteHostPortScanResult` `ChangeHostPortScanResultCompartment`	ninguna

host-scan-recipes


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
`inspect`	`VSS_HOSTSCANRECIPE_INSPECT`	`ListHostScanRecipes`	ninguna
`read`	`inspect+` `VSS_HOSTSCANRECIPE_READ`	`GetHostScanRecipe`	ninguna
`use`	`read+` `VSS_HOSTSCANRECIPE_UPDATE`	`UpdateHostScanRecipe`	ninguna
`manage`	`use+` `VSS_HOSTSCANRECIPE_CREATE` `VSS_HOSTSCANRECIPE_DELETE` `VSS_HOSTSCANRECIPE_MOVE`	`CreateHostScanRecipe` `DeleteHostScanRecipe` `ChangeHostScanRecipeCompartment`	ninguna

host-scan-targets


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
`inspect`	`VSS_HOSTSCANTARGET_INSPECT`	`ListHostScanTargets`	ninguna
`read`	`inspect+` `VSS_HOSTSCANTARGET_READ`	`GetHostScanTarget`	ninguna
`use`	`read+` `VSS_HOSTSCANTARGET_UPDATE`	`UpdateHostScanTarget`	ninguna
`manage`	`use+` `VSS_HOSTSCANTARGET_CREATE` `VSS_HOSTSCANTARGET_DELETE` `VSS_HOSTSCANTARGET_MOVE`	`CreateHostScanTarget` `DeleteHostScanTarget` `ChangeHostScanTargetCompartment`	ninguna

host-vulnerabilities

Nota

También puede utilizar vss-vulnerabilities para gestionar el acceso a las vulnerabilidades de host y de contenedor.

La operación de exportación está disponible para el tipo de recurso host-vulnerabilities, no para el tipo de recurso vss-vulnerabilities.


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
`inspect`	`VSS_VULN_INSPECT` `VSS_VULN_HOST_INSPECT`	`ListHostVulnerabilities` `ListHostVulnerabilityImpactedHosts`	ninguna
`read`	`inspect+` `VSS_VULN_READ`	`GetHostVulnerability`	ninguna
`use`	`read+`	ninguna	ninguna
`manage`	`use+` `VSS_VULN_EXPORT`	`ExportHostVulnerabilityCsv`	ninguna

vss-vulnerabilities


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
`inspect`	`VSS_VULN_INSPECT` `VSS_VULN_HOST_INSPECT` `VSS_VULN_CONTAINER_INSPECT`	`ListVulnerabilities` `ListVulnerabilityImpactedHosts` `ListVulnerabilityImpactedContainers`	ninguna
`read`	`inspect+` `VSS_VULN_READ`	`GetVulnerability`	ninguna
`use`	`read+`	ninguna	ninguna
`manage`	`use+`	ninguna	ninguna

vss-work-requests


Verbos	Permisos	API totalmente cubiertas	API parcialmente cubiertas
`inspect`	`VSS_WR_INSPECT`	`ListWorkRequests`	ninguna
`read`	`inspect+` `VSS_WR_READ` `VSS_WR_ERR_READ` `VSS_WR_LOG_READ`	`GetWorkRequest` `ListWorkRequestErrors` `ListWorkRequestLogs`	ninguna
`use`	`read+`	ninguna	ninguna
`manage`	`use+`	ninguna	ninguna

Permisos necesarios para cada operación de API

En la siguiente tabla se muestran las operaciones de API de Vulnerability Scanning en un orden lógico, agrupadas por tipo de recurso.

Para obtener información sobre los permisos, consulte Permisos.


Operación de API	Permisos necesarios para utilizar la operación
`ChangeContainerScanRecipeCompartment`	`VSS_CONTAINERSCANRECIPE_MOVE`
`ChangeContainerScanResultCompartment`	`VSS_CONTAINERSCAN_MOVE`
`ChangeContainerScanTargetCompartment`	`VSS_CONTAINERSCANTARGET_MOVE`
`ChangeHostAgentScanResultCompartment`	`VSS_HOSTAGENTSCAN_MOVE`
`ChangeHostCisBenchmarkScanResultCompartment`	`VSS_HOSTCISBENCHMARKSCAN_MOVE`
`ChangeHostPortScanResultCompartment`	`VSS_HOSTPORTSCAN_MOVE`
`ChangeHostScanRecipeCompartment`	`VSS_HOSTSCANRECIPE_MOVE`
`ChangeHostScanTargetCompartment`	`VSS_HOSTSCANTARGET_MOVE`
`CreateContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_CREATE`
`CreateContainerScanTarget`	`VSS_CONTAINERSCANTARGET_CREATE`
`CreateHostScanRecipe`	`VSS_HOSTSCANRECIPE_CREATE`
`CreateHostScanTarget`	`VSS_HOSTSCANTARGET_CREATE`
`DeleteContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_DELETE`
`DeleteContainerScanResult`	`VSS_CONTAINERSCAN_DELETE`
`DeleteContainerScanTarget`	`VSS_CONTAINERSCANTARGET_DELETE`
`DeleteHostAgentScanResult`	`VSS_HOSTAGENTSCAN_DELETE`
`DeleteHostCisBenchmarkScanResult`	`VSS_HOSTCISBENCHMARKSCAN_DELETE`
`DeleteHostPortScanResult`	`VSS_HOSTPORTSCAN_DELETE`
`DeleteHostScanRecipe`	`VSS_HOSTSCANRECIPE_DELETE`
`DeleteHostScanTarget`	`VSS_HOSTSCANTARGET_DELETE`
`ExportHostAgentScanResultCsv`	`VSS_HOSTAGENTSCAN_EXPORT`
`ExportHostVulnerabilityCsv`	`VSS_VULN_EXPORT`
`GetContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_READ`
`GetContainerScanResult`	`VSS_CONTAINERSCAN_READ`
`GetContainerScanTarget`	`VSS_CONTAINERSCANTARGET_READ`
`GetHostAgentScanResult`	`VSS_HOSTAGENTSCAN_READ`
`GetHostCisBenchmarkScanResult`	`VSS_HOSTCISBENCHMARKSCAN_READ`
`GetHostPortScanResult`	`VSS_HOSTPORTSCAN_READ`
`GetHostScanRecipe`	`VSS_HOSTSCANRECIPE_READ`
`GetHostScanTarget`	`VSS_HOSTSCANTARGET_READ`
`GetHostVulnerability`	`VSS_VULN_READ`
`GetVulnerability`	`VSS_VULN_READ`
`GetWorkRequest`	`VSS_WR_READ`
`ListContainerScanRecipes`	`VSS_CONTAINERSCANRECIPE_INSPECT`
`ListContainerScanResults`	`VSS_CONTAINERSCAN_INSPECT`
`ListContainerScanTargets`	`VSS_CONTAINERSCANTARGET_INSPECT`
`ListHostAgentScanResults`	`VSS_HOSTAGENTSCAN_INSPECT`
`ListHostCisBenchmarkScanResults`	`VSS_HOSTCISBENCHMARKSCAN_INSPECT`
`ListHostPortScanResults`	`VSS_HOSTPORTSCAN_INSPECT`
`ListHostScanRecipes`	`VSS_HOSTSCANRECIPE_INSPECT`
`ListHostScanTargets`	`VSS_HOSTSCANTARGET_INSPECT`
`ListHostVulnerabilities`	`VSS_VULN_INSPECT`
`ListHostVulnerabilityImpactedHosts`	`VSS_VULN_HOST_INSPECT`
`ListVulnerabilities`	`VSS_VULN_INSPECT`
`ListVulnerabilityImpactedContainers`	`VSS_VULN_CONTAINER_INSPECT`
`ListVulnerabilityImpactedHosts`	`VSS_VULN_HOST_INSPECT`
`ListWorkRequests`	`VSS_WR_INSPECT`
`ListWorkRequestErrors`	`VSS_WR_ERR_READ`
`ListWorkRequestLogs`	`VSS_WR_LOG_READ`
`UpdateContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_UPDATE`
`UpdateContainerScanTarget`	`VSS_CONTAINERSCANTARGET_UPDATE`
`UpdateHostScanRecipe`	`VSS_HOSTSCANRECIPE_UPDATE`
`UpdateHostScanTarget`	`VSS_HOSTSCANTARGET_UPDATE`

Ejemplos de políticas

Obtenga información sobre las políticas de IAM de Vulnerability Scanning mediante ejemplos.

Ejemplos de políticas básicas

Permitir a los usuarios del grupo SecurityAdmins crear, actualizar y suprimir todos los recursos de Vulnerability Scanning de todo el arrendamiento:
```
Allow group SecurityAdmins to manage vss-family in tenancy
```
Permita a los usuarios del grupo SecurityAdmins crear, actualizar y suprimir todos los recursos de Vulnerability Scanning del compartimento SalesApps:
```
Allow group SecurityAdmins to manage vss-family in compartment SalesApps
```
Permita a los usuarios del grupo SecurityAuditors ver todos los recursos de Vulnerability Scanning del compartimento SalesApps:
```
Allow group SecurityAuditors to read vss-family in compartment SalesApps
```

Permita a los usuarios del grupo SecurityAuditors ver todos los recursos de Vulnerability Scanning en el compartimento SalesApps y exportar los resultados:

Allow group SecurityAuditors to read vss-family in compartment SalesApps
Allow group SecurityAuditors to manage host-agent-scan-results in compartment SalesApps where request.operation = 'ExportHostAgentScanResultCsv'
Allow group SecurityAuditors to manage host-vulnerabilities in compartment SalesApps where request.operation = 'ExportHostVulnerabilityCsv'

Nota

La operación de exportación está disponible para el tipo de recurso host-vulnerabilities, no para el tipo de recurso vss-vulnerabilities.

Permita a los usuarios del grupo SecurityAdmins crear, actualizar y suprimir recetas de exploración de Compute (host) en todo el arrendamiento:
```
Allow group SecurityAdmins to manage host-scan-recipes in tenancy
```

Permita a los usuarios del grupo SecurityAuditors ver todos los resultados de exploración de Compute (host) en el compartimento SalesApps:

Allow group SecurityAuditors to read host-agent-scan-results in compartment SalesApps
Allow group SecurityAuditors to read host-port-scan-results in compartment SalesApps
Allow group SecurityAuditors to read host-cis-benchmark-scan-results in compartment SalesApps
Allow group SecurityAuditors to read container-scan-results in compartment SalesApps
Allow group SecurityAuditors to read vss-vulnerabilities in compartment SalesApps

Ejemplos de políticas de exploración de recurso informático (host)

Para utilizar la exploración basada en agente de las instancias informáticas, también debe:

Otorgar al servicio Vulnerability Scanning permiso para desplegar Oracle Cloud Agent en las instancias informáticas de destino.
Otorgar al servicio Vulnerability Scanning permiso para leer la VNIC (tarjeta de interfaz de red virtual) en las instancias informáticas de destino.

Ejemplos:

Permita que el servicio Vulnerability Scanning y los usuarios del grupo SecurityAdmins realicen una exploración basada en agente en todo el arrendamiento:

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

Permita que el servicio Vulnerability Scanning y los usuarios del grupo SecurityAdmins realicen una exploración basada en agente en instancias del compartimento SalesApps:

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesApps
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesApps

Permita que el servicio Vulnerability Scanning y los usuarios del grupo SecurityAdmins realicen una exploración basada en agente en instancias del compartimento SalesApps. Las VNIC de estas instancias están en el compartimento SalesNetwork:

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesNetwork
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesNetwork

Para obtener más información sobre las políticas de Compute y de red, consulte Policy Reference for Core Services.

Ejemplos de políticas de exploración de imágenes de contenedor

Para explorar imágenes en Container Registry, también debe otorgar al servicio Vulnerability Scanning permiso para extraer imágenes de Container Registry.

Ejemplos:

Permita que el servicio Vulnerability Scanning y los usuarios del grupo SecurityAdmins exploren todas las imágenes de contenedor en todo el arrendamiento:

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to read repos in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy

Permita que el servicio Vulnerability Scanning y los usuarios del grupo SecurityAdmins exploren imágenes de contenedor del compartimento SalesApps:

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to read repos in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps

Para obtener más información, consulte Referencia de políticas para Container Registry.