Politiques GIA pour le balayage de vulnérabilités

Créez des politiques IAM pour contrôler qui a accès aux ressources Oracle Cloud Infrastructure Vulnerability Scanning Service et pour contrôler le type d'accès pour chaque groupe d'utilisateurs.

Par défaut, seuls les utilisateurs du groupe Administrators ont accès à toutes les ressources du service de balayage de vulnérabilités. Pour en connaître davantage sur les politiques IAM, voir Marche à suivre pour commencer les politiques.

Pour obtenir la liste complète de toutes les politiques Oracle Cloud Infrastructure, voir Informations de référence sur les politiques.

Note

En plus d'accorder aux utilisateurs l'accès aux ressources de balayage de vulnérabilités, le service de balayage de vulnérabilités lui-même doit disposer d'un accès à vos ressources cibles. Voir Exemples de politique.

Types de ressource

Les types de ressource suivants sont liés au service de balayage de vulnérabilités.

Pour affecter des autorisations à toutes les ressources de balayage de vulnérabilités, utilisez le type d'agrégation :

vss-family

Pour affecter des autorisations à des types de ressource individuels :

container-scan-recipes
container-scan-results
container-scan-targets
host-agent-scan-results
host-cis-benchmark-scan-results
host-port-scan-results
host-scan-recipes
host-scan-targets
host-vulnerabilities
vss-vulnerabilities
vss-work-requests

Dans le service de balayage de vulnérabilités, une instance (calcul) est également appelée host.

Une politique qui utilise <verb> vss-family équivaut à une politique comportant un énoncé <verb> <resource-type> distinct pour chacun des types de ressource individuels.

Variables prises en charge

Les politiques IAM de balayage de vulnérabilités prennent en charge toutes les variables de politique générale.

Voir Variables générales pour toutes les demandes.

Informations détaillées sur les combinaisons Verbe + Type de ressource

Identifiez les autorisations et les opérations d'API couvertes par chaque verbe pour les ressources de balayage de vulnérabilités.

Le niveau d'accès est cumulatif au fur et à mesure que vous progressez depuis inspect à read, use et manage.

Un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule qui la précède directement, alors que la mention no extra indique qu'il n'y a aucun accès incrémentiel.

container-scan-recipes


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_CONTAINERSCANRECIPE_INSPECT`	`ListContainerScanRecipes`	aucune
`read`	`inspect+` `VSS_CONTAINERSCANRECIPE_READ`	`GetContainerScanRecipe`	aucune
`use`	`read+` `VSS_CONTAINERSCANRECIPE_UPDATE`	`UpdateContainerScanRecipe`	aucune
`manage`	`use+` `VSS_CONTAINERSCANRECIPE_CREATE` `VSS_CONTAINERSCANRECIPE_DELETE` `VSS_CONTAINERSCANRECIPE_MOVE`	`CreateContainerScanRecipe` `DeleteContainerScanRecipe` `ChangeContainerScanRecipeCompartment`	aucune

container-scan-results


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_CONTAINERSCAN_INSPECT`	`ListContainerScanResults`	aucune
`read`	`inspect+` `VSS_CONTAINERSCAN_READ`	`GetContainerScanResult`	aucune
`use`	`read+`	aucune	aucune
`manage`	`use+` `VSS_CONTAINERSCAN_DELETE` `VSS_CONTAINERSCAN_MOVE`	`DeleteContainerScanResult` `ChangeContainerScanResultCompartment`	aucune

container-scan-targets


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_CONTAINERSCANTARGET_INSPECT`	`ListContainerScanTargets`	aucune
`read`	`inspect+` `VSS_CONTAINERSCANTARGET_READ`	`GetContainerScanTarget`	aucune
`use`	`read+` `VSS_CONTAINERSCANTARGET_UPDATE`	`UpdateContainerScanTarget`	aucune
`manage`	`use+` `VSS_CONTAINERSCANTARGET_CREATE` `VSS_CONTAINERSCANTARGET_DELETE` `VSS_CONTAINERSCANTARGET_MOVE`	`CreateContainerScanTarget` `DeleteContainerScanTarget` `ChangeContainerScanTargetCompartment`	aucune

host-agent-scan-results


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_HOSTAGENTSCAN_INSPECT`	`ListHostAgentScanResults`	aucune
`read`	`inspect+` `VSS_HOSTAGENTSCAN_READ`	`GetHostAgentScanResult`	aucune
`use`	`read+`	aucune	aucune
`manage`	`use+` `VSS_HOSTAGENTSCAN_DELETE` `VSS_HOSTAGENTSCAN_EXPORT` `VSS_HOSTAGENTSCAN_MOVE`	`DeleteHostAgentScanResult` `ExportHostAgentScanResultCsv` `ChangeHostAgentScanResultCompartment`	aucune

host-cis-benchmark-scan-results


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_HOSTCISBENCHMARKSCAN_INSPECT`	`ListHostCisBenchmarkScanResults`	aucune
`read`	`inspect+` `VSS_HOSTCISBENCHMARKSCAN_READ`	`GetHostCisBenchmarkScanResult`	aucune
`use`	`read+`	aucune	aucune
`manage`	`use+` `VSS_HOSTCISBENCHMARKSCAN_DELETE` `VSS_HOSTCISBENCHMARKSCAN_MOVE`	`DeleteHostCisBenchmarkScanResult` `ChangeHostCisBenchmarkScanResultCompartment`	aucune

host-port-scan-results


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_HOSTPORTSCAN_INSPECT`	`ListHostPortScanResults`	aucune
`read`	`inspect+` `VSS_HOSTPORTSCAN_READ`	`GetHostPortScanResult`	aucune
`use`	`read+`	aucune	aucune
`manage`	`use+` `VSS_HOSTPORTSCAN_DELETE` `VSS_HOSTPORTSCAN_MOVE`	`DeleteHostPortScanResult` `ChangeHostPortScanResultCompartment`	aucune

host-scan-recipes


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_HOSTSCANRECIPE_INSPECT`	`ListHostScanRecipes`	aucune
`read`	`inspect+` `VSS_HOSTSCANRECIPE_READ`	`GetHostScanRecipe`	aucune
`use`	`read+` `VSS_HOSTSCANRECIPE_UPDATE`	`UpdateHostScanRecipe`	aucune
`manage`	`use+` `VSS_HOSTSCANRECIPE_CREATE` `VSS_HOSTSCANRECIPE_DELETE` `VSS_HOSTSCANRECIPE_MOVE`	`CreateHostScanRecipe` `DeleteHostScanRecipe` `ChangeHostScanRecipeCompartment`	aucune

host-scan-targets


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_HOSTSCANTARGET_INSPECT`	`ListHostScanTargets`	aucune
`read`	`inspect+` `VSS_HOSTSCANTARGET_READ`	`GetHostScanTarget`	aucune
`use`	`read+` `VSS_HOSTSCANTARGET_UPDATE`	`UpdateHostScanTarget`	aucune
`manage`	`use+` `VSS_HOSTSCANTARGET_CREATE` `VSS_HOSTSCANTARGET_DELETE` `VSS_HOSTSCANTARGET_MOVE`	`CreateHostScanTarget` `DeleteHostScanTarget` `ChangeHostScanTargetCompartment`	aucune

host-vulnerabilities

Note

Vous pouvez également utiliser vss-vulnerabilities pour gérer l'accès aux vulnérabilités à la fois des hôtes et des conteneurs.

L'opération d'exportation est disponible pour le type de ressource host-vulnerabilities, mais pas pour le type de ressource vss-vulnerabilities.


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_VULN_INSPECT` `VSS_VULN_HOST_INSPECT`	`ListHostVulnerabilities` `ListHostVulnerabilityImpactedHosts`	aucune
`read`	`inspect+` `VSS_VULN_READ`	`GetHostVulnerability`	aucune
`use`	`read+`	aucune	aucune
`manage`	`use+` `VSS_VULN_EXPORT`	`ExportHostVulnerabilityCsv`	aucune

vss-vulnerabilities


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_VULN_INSPECT` `VSS_VULN_HOST_INSPECT` `VSS_VULN_CONTAINER_INSPECT`	`ListVulnerabilities` `ListVulnerabilityImpactedHosts` `ListVulnerabilityImpactedContainers`	aucune
`read`	`inspect+` `VSS_VULN_READ`	`GetVulnerability`	aucune
`use`	`read+`	aucune	aucune
`manage`	`use+`	aucune	aucune

vss-work-requests


Verbes	Autorisations	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_WR_INSPECT`	`ListWorkRequests`	aucune
`read`	`inspect+` `VSS_WR_READ` `VSS_WR_ERR_READ` `VSS_WR_LOG_READ`	`GetWorkRequest` `ListWorkRequestErrors` `ListWorkRequestLogs`	aucune
`use`	`read+`	aucune	aucune
`manage`	`use+`	aucune	aucune

Autorisations requises pour chaque opération d'API

Le tableau suivant liste les opérations d'API du service de balayage de vulnérabilités dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les autorisations, voir Autorisations.


Opération d'API	Autorisations requises pour utiliser l'opération
`ChangeContainerScanRecipeCompartment`	`VSS_CONTAINERSCANRECIPE_MOVE`
`ChangeContainerScanResultCompartment`	`VSS_CONTAINERSCAN_MOVE`
`ChangeContainerScanTargetCompartment`	`VSS_CONTAINERSCANTARGET_MOVE`
`ChangeHostAgentScanResultCompartment`	`VSS_HOSTAGENTSCAN_MOVE`
`ChangeHostCisBenchmarkScanResultCompartment`	`VSS_HOSTCISBENCHMARKSCAN_MOVE`
`ChangeHostPortScanResultCompartment`	`VSS_HOSTPORTSCAN_MOVE`
`ChangeHostScanRecipeCompartment`	`VSS_HOSTSCANRECIPE_MOVE`
`ChangeHostScanTargetCompartment`	`VSS_HOSTSCANTARGET_MOVE`
`CreateContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_CREATE`
`CreateContainerScanTarget`	`VSS_CONTAINERSCANTARGET_CREATE`
`CreateHostScanRecipe`	`VSS_HOSTSCANRECIPE_CREATE`
`CreateHostScanTarget`	`VSS_HOSTSCANTARGET_CREATE`
`DeleteContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_DELETE`
`DeleteContainerScanResult`	`VSS_CONTAINERSCAN_DELETE`
`DeleteContainerScanTarget`	`VSS_CONTAINERSCANTARGET_DELETE`
`DeleteHostAgentScanResult`	`VSS_HOSTAGENTSCAN_DELETE`
`DeleteHostCisBenchmarkScanResult`	`VSS_HOSTCISBENCHMARKSCAN_DELETE`
`DeleteHostPortScanResult`	`VSS_HOSTPORTSCAN_DELETE`
`DeleteHostScanRecipe`	`VSS_HOSTSCANRECIPE_DELETE`
`DeleteHostScanTarget`	`VSS_HOSTSCANTARGET_DELETE`
`ExportHostAgentScanResultCsv`	`VSS_HOSTAGENTSCAN_EXPORT`
`ExportHostVulnerabilityCsv`	`VSS_VULN_EXPORT`
`GetContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_READ`
`GetContainerScanResult`	`VSS_CONTAINERSCAN_READ`
`GetContainerScanTarget`	`VSS_CONTAINERSCANTARGET_READ`
`GetHostAgentScanResult`	`VSS_HOSTAGENTSCAN_READ`
`GetHostCisBenchmarkScanResult`	`VSS_HOSTCISBENCHMARKSCAN_READ`
`GetHostPortScanResult`	`VSS_HOSTPORTSCAN_READ`
`GetHostScanRecipe`	`VSS_HOSTSCANRECIPE_READ`
`GetHostScanTarget`	`VSS_HOSTSCANTARGET_READ`
`GetHostVulnerability`	`VSS_VULN_READ`
`GetVulnerability`	`VSS_VULN_READ`
`GetWorkRequest`	`VSS_WR_READ`
`ListContainerScanRecipes`	`VSS_CONTAINERSCANRECIPE_INSPECT`
`ListContainerScanResults`	`VSS_CONTAINERSCAN_INSPECT`
`ListContainerScanTargets`	`VSS_CONTAINERSCANTARGET_INSPECT`
`ListHostAgentScanResults`	`VSS_HOSTAGENTSCAN_INSPECT`
`ListHostCisBenchmarkScanResults`	`VSS_HOSTCISBENCHMARKSCAN_INSPECT`
`ListHostPortScanResults`	`VSS_HOSTPORTSCAN_INSPECT`
`ListHostScanRecipes`	`VSS_HOSTSCANRECIPE_INSPECT`
`ListHostScanTargets`	`VSS_HOSTSCANTARGET_INSPECT`
`ListHostVulnerabilities`	`VSS_VULN_INSPECT`
`ListHostVulnerabilityImpactedHosts`	`VSS_VULN_HOST_INSPECT`
`ListVulnerabilities`	`VSS_VULN_INSPECT`
`ListVulnerabilityImpactedContainers`	`VSS_VULN_CONTAINER_INSPECT`
`ListVulnerabilityImpactedHosts`	`VSS_VULN_HOST_INSPECT`
`ListWorkRequests`	`VSS_WR_INSPECT`
`ListWorkRequestErrors`	`VSS_WR_ERR_READ`
`ListWorkRequestLogs`	`VSS_WR_LOG_READ`
`UpdateContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_UPDATE`
`UpdateContainerScanTarget`	`VSS_CONTAINERSCANTARGET_UPDATE`
`UpdateHostScanRecipe`	`VSS_HOSTSCANRECIPE_UPDATE`
`UpdateHostScanTarget`	`VSS_HOSTSCANTARGET_UPDATE`

Exemples de politique

Découvrez les politiques IAM du service de balayage de vulnérabilités à l'aide d'exemples.

Exemples de politique de base

Autoriser les utilisateurs du groupe SecurityAdmins à créer, mettre à jour et supprimer toutes les ressources de balayage de vulnérabilités dans l'ensemble de la location :
```
Allow group SecurityAdmins to manage vss-family in tenancy
```
Autoriser les utilisateurs du groupe SecurityAdmins à créer, mettre à jour et supprimer toutes les ressources de balayage de vulnérabilités dans le compartiment SalesApps :
```
Allow group SecurityAdmins to manage vss-family in compartment SalesApps
```
Autoriser les utilisateurs du groupe SecurityAuditors à voir toutes les ressources de balayage de vulnérabilités dans le compartiment SalesApps :
```
Allow group SecurityAuditors to read vss-family in compartment SalesApps
```

Permettre aux utilisateurs du groupe SecurityAuditors de voir toutes les ressources de balayage de vulnérabilités dans le compartiment SalesApps et d'exporter les résultats :

Allow group SecurityAuditors to read vss-family in compartment SalesApps
Allow group SecurityAuditors to manage host-agent-scan-results in compartment SalesApps where request.operation = 'ExportHostAgentScanResultCsv'
Allow group SecurityAuditors to manage host-vulnerabilities in compartment SalesApps where request.operation = 'ExportHostVulnerabilityCsv'

Note

L'opération d'exportation est disponible pour le type de ressource host-vulnerabilities, mais pas pour vss-vulnerabilities.

Autoriser les utilisateurs du groupe SecurityAdmins à créer, mettre à jour et supprimer des recettes de balayage de calcul (hôte) dans toute la location :
```
Allow group SecurityAdmins to manage host-scan-recipes in tenancy
```

Autoriser les utilisateurs du groupe SecurityAuditors à voir tous les résultats de balayage de calcul (hôte) dans le compartiment SalesApps :

Allow group SecurityAuditors to read host-agent-scan-results in compartment SalesApps
Allow group SecurityAuditors to read host-port-scan-results in compartment SalesApps
Allow group SecurityAuditors to read host-cis-benchmark-scan-results in compartment SalesApps
Allow group SecurityAuditors to read container-scan-results in compartment SalesApps
Allow group SecurityAuditors to read vss-vulnerabilities in compartment SalesApps

Exemples de politiques pour le balayage de calcul (hôte)

Pour utiliser l'analyse basée sur un agent des instances de calcul, vous devez également :

Accorder au service de balayage de vulnérabilités l'autorisation de déployer l'agent Oracle Cloud sur vos instances de calcul cibles.
Accorder au service de balayage de vulnérabilités l'autorisation de lire la carte d'interface réseau virtuelle (VNIC) sur vos instances de calcul cibles.

Exemples :

Autoriser le service de balayage de vulnérabilités et les utilisateurs du groupe SecurityAdmins à effectuer un balayage basé sur un agent dans l'ensemble de la location :

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

Autoriser le service de balayage de vulnérabilités et les utilisateurs du groupe SecurityAdmins à effectuer un balayage basé sur un agent sur les instances dans le compartiment SalesApps :

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesApps
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesApps

Autoriser le service de balayage de vulnérabilités et les utilisateurs du groupe SecurityAdmins à effectuer un balayage basé sur un agent sur les instances dans le compartiment SalesApps. Les cartes vNIC de ces instances se trouvent dans le compartiment SalesNetwork :

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesNetwork
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesNetwork

Pour plus d'informations sur les politiques pour les services de calcul et de réseau, voir Référence sur les politiques pour les services de base.

Exemples de politique de balayage d'image de conteneur

Pour analyser les images du registre de conteneurs, vous devez également accorder au service de balayage de vulnérabilités l'autorisation d'extraire des images du registre de conteneurs.

Exemples :

Autoriser le service de balayage de vulnérabilités et les utilisateurs du groupe SecurityAdmins à analyser toutes les images de conteneur dans l'ensemble de la location :

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to read repos in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy

Autoriser le service de balayage de vulnérabilités et les utilisateurs du groupe SecurityAdmins à analyser les images de conteneur dans le compartiment SalesApps :

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to read repos in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps

Pour plus d'informations, voir Informations de référence sur les politiques pour le registre de conteneurs.