Documentation sur Oracle Cloud Infrastructure

Politique IAM requise pour les cibles de balayage d'instance de calcul

Pour utiliser Oracle Cloud Infrastructure, le type d'accès requis doit vous être accordé dans une politique (IAM) écrite par un administrateur, que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil.

Conseil

Si vous tentez d'effectuer une action et que vous voyez s'afficher un message indiquant que vous ne disposez pas de l'autorisation requise, vérifiez avec votre administrateur le type d'accès qui vous a été octroyé et le compartiment que vous êtes censé utiliser.

Par exemple, pour permettre aux utilisateurs du groupe SecurityAdmins de créer, de mettre à jour et de supprimer toutes les ressources de balayage de vulnérabilités dans le compartiment SalesApps :

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Important

Si vous configurez des politiques de qualification basées sur un agent : Configurez d'abord les politiques standard basées sur un agent, puis configurez des politiques de qualification basées sur un agent.

Politiques standard basées sur un agent

Lire les référentiels pour les balayages d'image de conteneur VSS OCIR

Pour permettre aux utilisateurs d'un groupe de lire les référentiels pour les balayages d'image de conteneur OCIR VSS : 

Allow group VSSAdmins to read repos in tenancy

Déployer Oracle Cloud Agent

Si vous activez le balayage basé sur un agent dans votre recette, vous devez accorder au service de balayage de vulnérabilités l'autorisation de déployer Oracle Cloud Agent sur vos instances de calcul cibles.

Lire la carte d'interface réseau virtuelle

Le service de balayage de vulnérabilités doit également pouvoir lire la carte d'interface réseau virtuelle (VNIC) sur vos instances de calcul cibles.

Par exemple, pour accorder cette autorisation pour toutes les instances de calcul de l'ensemble de la location :

Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

Pour accorder cette autorisation pour toutes les instances de calcul dans un compartiment particulier :

Allow service vulnerability-scanning-service to manage instances in compartment <compartment_name>
Allow service vulnerability-scanning-service to read compartments in compartment <compartment_name>
Allow service vulnerability-scanning-service to read vnics in compartment <compartment_name>
Allow service vulnerability-scanning-service to read vnic-attachments in compartment <compartment_name>

Une carte VNIC peut être dans un compartiment différent de celui de votre instance de calcul. Accordez des autorisations de carte VNIC pour l'ensemble de la location ou pour le compartiment spécifique dans lequel se trouve la carte VNIC, ainsi que pour les compartiments des instances de calcul :

Allow service vulnerability-scanning-service to read vnics in compartment <vnic_compartment_name>
Allow service vulnerability-scanning-service to read vnic-attachments in compartment <vnic_compartment_name>

Politiques de qualification basées sur un agent

Conditions requises :
  • Configuration de politiques de qualification basées sur un agent.
  • Créez un groupe dynamique d'instances à balayer. Voir Gestion des groupes dynamiques. Les instances qui répondent aux critères définis par l'une de ces règles sont incluses dans le groupe dynamique. Par exemple : 
    All {instance.compartment.id = <compartment_ocid>}
    Note

    Vous pouvez spécifier une location entière.

Accorder au groupe dynamique l'accès aux clés secrètes et aux données renvoyées à partir de Qualys

Pour utiliser le balayage basé sur un agent Qualys dans votre recette, écrivez une politique qui accorde au groupe dynamique l'autorisation d'accéder aux clés secrètes et d'accéder aux données renvoyées par Qualys.

Pour accorder l'autorisation au groupe dynamique d'accéder aux clés secrètes : 

Allow dynamic-group <dynamic_group_name> to read vaults in tenancy
Allow dynamic-group <dynamic_group_name> to read keys in tenancy
Allow dynamic-group <dynamic_group_name> to read secret-family in tenancy

Pour accéder aux données renvoyées par Qualys :

Define tenancy ocivssprod as ocid1.tenancy.oc1..aaaaaaaa6zt5ejxod5pgthsq4apr5z2uzde7dmbpduc5ua3mic4zv3g5ttma 
Endorse dynamic-group <dynamic_group_name> to read objects in tenancy ocivssprod

Pour obtenir plus informations et des exemples, consultez la rubrique :