Stratégies IAM pour Vulnerability Scanning

Créez des stratégies IAM pour contrôler qui a accès aux ressources Oracle Cloud Infrastructure Vulnerability Scanning Service ainsi que le type d'accès de chaque groupe d'utilisateurs.

Par défaut, seuls les utilisateurs du groupe Administrators ont accès à toutes les ressources Vulnerability Scanning. Si vous ne connaissez pas les stratégies IAM, reportez-vous à Initiation aux stratégies.

Pour obtenir la liste complète de toutes les stratégies dans Oracle Cloud Infrastructure, reportez-vous à Référence de stratégie.

Remarque

En plus d'accorder aux utilisateurs l'accès aux ressources Vulnerability Scanning, le service Vulnerability Scanning lui-même doit disposer de l'accès à vos ressources cible. Reportez-vous à Exemples de stratégie.

Types de ressource

Les types de ressource suivants sont liés à Vulnerability Scanning.

Pour affecter des autorisations à toutes les ressources Vulnerability Scanning, utilisez le type agrégé suivant :

vss-family

Pour affecter des droits d'accès à des types de ressource individuels, utilisez les types suivants :

container-scan-recipes
container-scan-results
container-scan-targets
host-agent-scan-results
host-cis-benchmark-scan-results
host-port-scan-results
host-scan-recipes
host-scan-targets
host-vulnerabilities
vss-vulnerabilities
vss-work-requests

Dans l'analyse des vulnérabilités, une instance (calcul) est également appelée host.

Une stratégie qui utilise <verbe> vss-family équivaut à écrire une stratégie avec une instruction <verbe> <type-ressource> distincte pour chaque type de ressource.

Variables prises en charge

Les stratégies IAM pour Vulnerability Scanning prennent en charge toutes les variables de stratégie générales.

Reportez-vous à Variables générales pour toutes les demandes.

Détails des combinaisons de verbe et de type de ressource

Identifiez les droits d'accès et les opérations d'API couverts par chaque verbe pour les ressources Vulnerability Scanning.

Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre, dans l'ordre suivant : inspect, read, use, manage.

Un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule précédente, tandis que la mention no extra indique l'absence d'accès incrémentiel.

container-scan-recipes


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_CONTAINERSCANRECIPE_INSPECT`	`ListContainerScanRecipes`	Aucune
`read`	`inspect+` `VSS_CONTAINERSCANRECIPE_READ`	`GetContainerScanRecipe`	Aucune
`use`	`read+` `VSS_CONTAINERSCANRECIPE_UPDATE`	`UpdateContainerScanRecipe`	Aucune
`manage`	`use+` `VSS_CONTAINERSCANRECIPE_CREATE` `VSS_CONTAINERSCANRECIPE_DELETE` `VSS_CONTAINERSCANRECIPE_MOVE`	`CreateContainerScanRecipe` `DeleteContainerScanRecipe` `ChangeContainerScanRecipeCompartment`	Aucune

container-scan-results


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_CONTAINERSCAN_INSPECT`	`ListContainerScanResults`	Aucune
`read`	`inspect+` `VSS_CONTAINERSCAN_READ`	`GetContainerScanResult`	Aucune
`use`	`read+`	Aucune	Aucune
`manage`	`use+` `VSS_CONTAINERSCAN_DELETE` `VSS_CONTAINERSCAN_MOVE`	`DeleteContainerScanResult` `ChangeContainerScanResultCompartment`	Aucune

container-scan-targets


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_CONTAINERSCANTARGET_INSPECT`	`ListContainerScanTargets`	Aucune
`read`	`inspect+` `VSS_CONTAINERSCANTARGET_READ`	`GetContainerScanTarget`	Aucune
`use`	`read+` `VSS_CONTAINERSCANTARGET_UPDATE`	`UpdateContainerScanTarget`	Aucune
`manage`	`use+` `VSS_CONTAINERSCANTARGET_CREATE` `VSS_CONTAINERSCANTARGET_DELETE` `VSS_CONTAINERSCANTARGET_MOVE`	`CreateContainerScanTarget` `DeleteContainerScanTarget` `ChangeContainerScanTargetCompartment`	Aucune

host-agent-scan-results


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_HOSTAGENTSCAN_INSPECT`	`ListHostAgentScanResults`	Aucune
`read`	`inspect+` `VSS_HOSTAGENTSCAN_READ`	`GetHostAgentScanResult`	Aucune
`use`	`read+`	Aucune	Aucune
`manage`	`use+` `VSS_HOSTAGENTSCAN_DELETE` `VSS_HOSTAGENTSCAN_EXPORT` `VSS_HOSTAGENTSCAN_MOVE`	`DeleteHostAgentScanResult` `ExportHostAgentScanResultCsv` `ChangeHostAgentScanResultCompartment`	Aucune

host-cis-benchmark-scan-results


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_HOSTCISBENCHMARKSCAN_INSPECT`	`ListHostCisBenchmarkScanResults`	Aucune
`read`	`inspect+` `VSS_HOSTCISBENCHMARKSCAN_READ`	`GetHostCisBenchmarkScanResult`	Aucune
`use`	`read+`	Aucune	Aucune
`manage`	`use+` `VSS_HOSTCISBENCHMARKSCAN_DELETE` `VSS_HOSTCISBENCHMARKSCAN_MOVE`	`DeleteHostCisBenchmarkScanResult` `ChangeHostCisBenchmarkScanResultCompartment`	Aucune

host-port-scan-results


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_HOSTPORTSCAN_INSPECT`	`ListHostPortScanResults`	Aucune
`read`	`inspect+` `VSS_HOSTPORTSCAN_READ`	`GetHostPortScanResult`	Aucune
`use`	`read+`	Aucune	Aucune
`manage`	`use+` `VSS_HOSTPORTSCAN_DELETE` `VSS_HOSTPORTSCAN_MOVE`	`DeleteHostPortScanResult` `ChangeHostPortScanResultCompartment`	Aucune

host-scan-recipes


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_HOSTSCANRECIPE_INSPECT`	`ListHostScanRecipes`	Aucune
`read`	`inspect+` `VSS_HOSTSCANRECIPE_READ`	`GetHostScanRecipe`	Aucune
`use`	`read+` `VSS_HOSTSCANRECIPE_UPDATE`	`UpdateHostScanRecipe`	Aucune
`manage`	`use+` `VSS_HOSTSCANRECIPE_CREATE` `VSS_HOSTSCANRECIPE_DELETE` `VSS_HOSTSCANRECIPE_MOVE`	`CreateHostScanRecipe` `DeleteHostScanRecipe` `ChangeHostScanRecipeCompartment`	Aucune

host-scan-targets


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_HOSTSCANTARGET_INSPECT`	`ListHostScanTargets`	Aucune
`read`	`inspect+` `VSS_HOSTSCANTARGET_READ`	`GetHostScanTarget`	Aucune
`use`	`read+` `VSS_HOSTSCANTARGET_UPDATE`	`UpdateHostScanTarget`	Aucune
`manage`	`use+` `VSS_HOSTSCANTARGET_CREATE` `VSS_HOSTSCANTARGET_DELETE` `VSS_HOSTSCANTARGET_MOVE`	`CreateHostScanTarget` `DeleteHostScanTarget` `ChangeHostScanTargetCompartment`	Aucune

host-vulnerabilities

Remarque

Vous pouvez également utiliser vss-vulnerabilities pour gérer l'accès aux vulnérabilités d'hôte et de conteneur.

L'opération d'export est disponible pour le type de ressource host-vulnerabilities, mais pas pour le type de ressource vss-vulnerabilities.


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_VULN_INSPECT` `VSS_VULN_HOST_INSPECT`	`ListHostVulnerabilities` `ListHostVulnerabilityImpactedHosts`	Aucune
`read`	`inspect+` `VSS_VULN_READ`	`GetHostVulnerability`	Aucune
`use`	`read+`	Aucune	Aucune
`manage`	`use+` `VSS_VULN_EXPORT`	`ExportHostVulnerabilityCsv`	Aucune

vss-vulnerabilities


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_VULN_INSPECT` `VSS_VULN_HOST_INSPECT` `VSS_VULN_CONTAINER_INSPECT`	`ListVulnerabilities` `ListVulnerabilityImpactedHosts` `ListVulnerabilityImpactedContainers`	Aucune
`read`	`inspect+` `VSS_VULN_READ`	`GetVulnerability`	Aucune
`use`	`read+`	Aucune	Aucune
`manage`	`use+`	Aucune	Aucune

vss-work-requests


Verbes	Droits d'accès	API entièrement couvertes	API partiellement couvertes
`inspect`	`VSS_WR_INSPECT`	`ListWorkRequests`	Aucune
`read`	`inspect+` `VSS_WR_READ` `VSS_WR_ERR_READ` `VSS_WR_LOG_READ`	`GetWorkRequest` `ListWorkRequestErrors` `ListWorkRequestLogs`	Aucune
`use`	`read+`	Aucune	Aucune
`manage`	`use+`	Aucune	Aucune

Droits d'accès requis pour chaque opération d'API

Le tableau suivant présente les opérations d'API Vulnerability Scanning dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.


Opération d'API	Droits d'accès requis pour utiliser l'opération
`ChangeContainerScanRecipeCompartment`	`VSS_CONTAINERSCANRECIPE_MOVE`
`ChangeContainerScanResultCompartment`	`VSS_CONTAINERSCAN_MOVE`
`ChangeContainerScanTargetCompartment`	`VSS_CONTAINERSCANTARGET_MOVE`
`ChangeHostAgentScanResultCompartment`	`VSS_HOSTAGENTSCAN_MOVE`
`ChangeHostCisBenchmarkScanResultCompartment`	`VSS_HOSTCISBENCHMARKSCAN_MOVE`
`ChangeHostPortScanResultCompartment`	`VSS_HOSTPORTSCAN_MOVE`
`ChangeHostScanRecipeCompartment`	`VSS_HOSTSCANRECIPE_MOVE`
`ChangeHostScanTargetCompartment`	`VSS_HOSTSCANTARGET_MOVE`
`CreateContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_CREATE`
`CreateContainerScanTarget`	`VSS_CONTAINERSCANTARGET_CREATE`
`CreateHostScanRecipe`	`VSS_HOSTSCANRECIPE_CREATE`
`CreateHostScanTarget`	`VSS_HOSTSCANTARGET_CREATE`
`DeleteContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_DELETE`
`DeleteContainerScanResult`	`VSS_CONTAINERSCAN_DELETE`
`DeleteContainerScanTarget`	`VSS_CONTAINERSCANTARGET_DELETE`
`DeleteHostAgentScanResult`	`VSS_HOSTAGENTSCAN_DELETE`
`DeleteHostCisBenchmarkScanResult`	`VSS_HOSTCISBENCHMARKSCAN_DELETE`
`DeleteHostPortScanResult`	`VSS_HOSTPORTSCAN_DELETE`
`DeleteHostScanRecipe`	`VSS_HOSTSCANRECIPE_DELETE`
`DeleteHostScanTarget`	`VSS_HOSTSCANTARGET_DELETE`
`ExportHostAgentScanResultCsv`	`VSS_HOSTAGENTSCAN_EXPORT`
`ExportHostVulnerabilityCsv`	`VSS_VULN_EXPORT`
`GetContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_READ`
`GetContainerScanResult`	`VSS_CONTAINERSCAN_READ`
`GetContainerScanTarget`	`VSS_CONTAINERSCANTARGET_READ`
`GetHostAgentScanResult`	`VSS_HOSTAGENTSCAN_READ`
`GetHostCisBenchmarkScanResult`	`VSS_HOSTCISBENCHMARKSCAN_READ`
`GetHostPortScanResult`	`VSS_HOSTPORTSCAN_READ`
`GetHostScanRecipe`	`VSS_HOSTSCANRECIPE_READ`
`GetHostScanTarget`	`VSS_HOSTSCANTARGET_READ`
`GetHostVulnerability`	`VSS_VULN_READ`
`GetVulnerability`	`VSS_VULN_READ`
`GetWorkRequest`	`VSS_WR_READ`
`ListContainerScanRecipes`	`VSS_CONTAINERSCANRECIPE_INSPECT`
`ListContainerScanResults`	`VSS_CONTAINERSCAN_INSPECT`
`ListContainerScanTargets`	`VSS_CONTAINERSCANTARGET_INSPECT`
`ListHostAgentScanResults`	`VSS_HOSTAGENTSCAN_INSPECT`
`ListHostCisBenchmarkScanResults`	`VSS_HOSTCISBENCHMARKSCAN_INSPECT`
`ListHostPortScanResults`	`VSS_HOSTPORTSCAN_INSPECT`
`ListHostScanRecipes`	`VSS_HOSTSCANRECIPE_INSPECT`
`ListHostScanTargets`	`VSS_HOSTSCANTARGET_INSPECT`
`ListHostVulnerabilities`	`VSS_VULN_INSPECT`
`ListHostVulnerabilityImpactedHosts`	`VSS_VULN_HOST_INSPECT`
`ListVulnerabilities`	`VSS_VULN_INSPECT`
`ListVulnerabilityImpactedContainers`	`VSS_VULN_CONTAINER_INSPECT`
`ListVulnerabilityImpactedHosts`	`VSS_VULN_HOST_INSPECT`
`ListWorkRequests`	`VSS_WR_INSPECT`
`ListWorkRequestErrors`	`VSS_WR_ERR_READ`
`ListWorkRequestLogs`	`VSS_WR_LOG_READ`
`UpdateContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_UPDATE`
`UpdateContainerScanTarget`	`VSS_CONTAINERSCANTARGET_UPDATE`
`UpdateHostScanRecipe`	`VSS_HOSTSCANRECIPE_UPDATE`
`UpdateHostScanTarget`	`VSS_HOSTSCANTARGET_UPDATE`

Exemples de stratégie

Découvrez les stratégies IAM pour Vulnerability Scanning à l'aide d'exemples.

Exemples de stratégie de base

Permet aux utilisateurs du groupe SecurityAdmins de créer, de mettre à jour et de supprimer toutes les ressources Vulnerability Scanning dans l'ensemble de la location :
```
Allow group SecurityAdmins to manage vss-family in tenancy
```
Permet aux utilisateurs du groupe SecurityAdmins de créer, de mettre à jour et de supprimer toutes les ressources Vulnerability Scanning dans le compartiment SalesApps :
```
Allow group SecurityAdmins to manage vss-family in compartment SalesApps
```
Autorisez les utilisateurs du groupe SecurityAuditors à visualiser toutes les ressources Vulnerability Scanning du compartiment SalesApps :
```
Allow group SecurityAuditors to read vss-family in compartment SalesApps
```

Autoriser les utilisateurs du groupe SecurityAuditors à visualiser toutes les ressources Vulnerability Scanning du compartiment SalesApps et à exporter les résultats :

Allow group SecurityAuditors to read vss-family in compartment SalesApps
Allow group SecurityAuditors to manage host-agent-scan-results in compartment SalesApps where request.operation = 'ExportHostAgentScanResultCsv'
Allow group SecurityAuditors to manage host-vulnerabilities in compartment SalesApps where request.operation = 'ExportHostVulnerabilityCsv'

Remarque

: l'opération d'export est disponible pour le type de ressource host-vulnerabilities, mais pas pour le type de ressource vss-vulnerabilities.

Autoriser les utilisateurs du groupe SecurityAdmins à créer, à mettre à jour et à supprimer des recettes d'analyse de calcul (hôte) dans l'ensemble de la location :
```
Allow group SecurityAdmins to manage host-scan-recipes in tenancy
```

Autoriser les utilisateurs du groupe SecurityAuditors à visualiser tous les résultats d'analyse de calcul (hôte) dans le compartiment SalesApps

Allow group SecurityAuditors to read host-agent-scan-results in compartment SalesApps
Allow group SecurityAuditors to read host-port-scan-results in compartment SalesApps
Allow group SecurityAuditors to read host-cis-benchmark-scan-results in compartment SalesApps
Allow group SecurityAuditors to read container-scan-results in compartment SalesApps
Allow group SecurityAuditors to read vss-vulnerabilities in compartment SalesApps

Exemples de stratégie d'analyse de calcul (hôte)

Pour utiliser l'analyse basée sur un agent des instances Compute, vous devez également :

Autorisez le service Vulnerability Scanning à déployer l'agent Oracle Cloud vers vos instances de calcul cible.
Autorisez le service Vulnerability Scanning à lire la carte d'interface réseau virtuelle sur vos instances Compute cible.

Exemples :

Autoriser le service Vulnerability Scanning et les utilisateurs du groupe SecurityAdmins à effectuer des analyses basées sur un agent dans l'ensemble de la location :

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

Autoriser le service Vulnerability Scanning et les utilisateurs du groupe SecurityAdmins à effectuer des analyses basées sur un agent sur les instances du compartiment SalesApps :

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesApps
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesApps

Autoriser le service Vulnerability Scanning et les utilisateurs du groupe SecurityAdmins à effectuer des analyses basées sur un agent sur les instances du compartiment SalesApps sachant que les cartes d'interface réseau virtuelles de ces instances se trouvent dans le compartiment SalesNetwork :

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesNetwork
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesNetwork

Pour plus d'informations sur les stratégies Compute et de réseau, reportez-vous à Référence de stratégie pour les services de base.

Exemples de stratégie d'analyse d'image de conteneur

Pour analyser des images dans Container Registry, vous devez également autoriser le service Vulnerability Scanning à extraire des images de Container Registry.

Exemples :

Autoriser le service Vulnerability Scanning et les utilisateurs du groupe SecurityAdmins à analyser toutes les images de conteneur dans l'ensemble de la location :

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to read repos in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy

Autoriser le service Vulnerability Scanning et les utilisateurs du groupe SecurityAdmins à analyser les images de conteneur dans le compartiment SalesApps :

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to read repos in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps

Pour plus d'informations, reportez-vous à Référence de stratégie pour Container Registry.