Política de IAM necesaria para destinos de exploración de recursos informáticos
Para usar Oracle Cloud Infrastructure, debe contar con el tipo de acceso necesario en una política (IAM) escrita por un administrador, tanto si utiliza la consola como la API de REST con un SDK, una CLI u otra herramienta.
Si intenta realizar una acción y obtiene un mensaje que indica que no tiene permiso o no está autorizado, confirme con el administrador el tipo de acceso que se le otorgó y en qué compartimento se supone que va a trabajar.
Por ejemplo, para permitir a los usuarios del grupo SecurityAdmins crear, actualizar y suprimir todos los recursos de Vulnerability Scanning en el compartimento SalesApps:
Allow group SecurityAdmins to manage vss-family in compartment SalesAppsSi está configurando Políticas de Qualys basadas en agentes: primero configure las Políticas estándar basadas en agentes y, a continuación, configure las Políticas de Qualys basadas en agentes.
Políticas estándar basadas en agentes
Leer los repositorios para exploraciones de imágenes de contenedor de OCIR de VSS
Para permitir a los usuarios de un grupo leer repositorios para exploraciones de imágenes de contenedor de OCIR de VSS:
Allow group VSSAdmins to read repos in tenancyDespliegue de Oracle Cloud Agent
Si activa la exploración basada en agentes en la receta, debe otorgar al servicio Vulnerability Scanning permiso para desplegar Oracle Cloud Agent en las instancias informáticas de destino.
Lea la VNIC (tarjeta de interfaz de red virtual)
El servicio Vulnerability Scanning también debe poder leer la VNIC ( tarjeta de interfaz de red virtual) en las instancias informáticas de destino.
Por ejemplo, para otorgar este permiso para todas las instancias informáticas de todo el arrendamiento:
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancyPara otorgar este permiso para todas las instancias de Compute de un compartimento específico:
Allow service vulnerability-scanning-service to manage instances in compartment <compartment_name>
Allow service vulnerability-scanning-service to read compartments in compartment <compartment_name>
Allow service vulnerability-scanning-service to read vnics in compartment <compartment_name>
Allow service vulnerability-scanning-service to read vnic-attachments in compartment <compartment_name>Una VNIC puede estar en un compartimento diferente al de la instancia informática. Otorgue permisos de VNIC para todo el arrendamiento o para el compartimento específico en el que se encuentra la VNIC, así como para los compartimentos de las instancias informáticas:
Allow service vulnerability-scanning-service to read vnics in compartment <vnic_compartment_name>
Allow service vulnerability-scanning-service to read vnic-attachments in compartment <vnic_compartment_name>Políticas de Qualys basadas en agentes
- Configuración de Políticas de Qualys Basadas en Agente.
- Cree un grupo dinámico de instancias que desee explorar. Consulte Gestión de grupos dinámicos. Las instancias que cumplan los criterios definidos por cualquiera de estas reglas se incluyen en el grupo dinámico. Por ejemplo:
All {instance.compartment.id = <compartment_ocid>}Nota
Puede especificar un arrendamiento completo.
Otorgar acceso de grupo dinámico a los secretos y a los datos devueltos desde Qualys
Para utilizar la exploración basada en agente de Qualys en la receta, escriba una política que otorgue permiso al grupo dinámico para acceder a secretos y acceder a los datos enviados de vuelta desde Qualys.
Para otorgar permiso para que el grupo dinámico acceda a secretos:
Allow dynamic-group <dynamic_group_name> to read vaults in tenancy
Allow dynamic-group <dynamic_group_name> to read keys in tenancy
Allow dynamic-group <dynamic_group_name> to read secret-family in tenancy
Para acceder a los datos devueltos desde Qualys:
Define tenancy ocivssprod as ocid1.tenancy.oc1..aaaaaaaa6zt5ejxod5pgthsq4apr5z2uzde7dmbpduc5ua3mic4zv3g5ttma
Endorse dynamic-group <dynamic_group_name> to read objects in tenancy ocivssprod
Para obtener más información y ejemplos, consulte: