Stratégie IAM requise pour les cibles d'analyse de calcul

Pour utiliser Oracle Cloud Infrastructure, vous devez obtenir le type d'accès requis dans une stratégie (IAM) écrite par un administrateur, que vous utilisiez la console ou l'API REST avec un kit SDK, une interface de ligne de commande ou un autre outil.

Conseil

Si vous essayez d'effectuer une action et qu'un message indique que vous n'y êtes pas autorisé, vérifiez auprès de l'administrateur le type d'accès qui vous a été accordé et le compartiment dans lequel vous devez travailler.

Par exemple, pour autoriser les utilisateurs du groupe SecurityAdmins à créer, à mettre à jour et à supprimer toutes les ressources Vulnerability Scanning du compartiment SalesApps, utilisez ce qui suit :

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Important

Si vous configurez des stratégies Qualys basées sur un agent : configurez d'abord les stratégies standard basées sur un agent, puis les stratégies Qualys basées sur un agent.

Stratégies standard basées sur un agent

Lire les référentiels pour les analyses d'image de conteneur OCIR VSS

Afin d'autoriser les utilisateurs d'un groupe à lire les référentiels pour les analyses d'image de conteneur OCIR VSS, procédez comme suit :

Allow group VSSAdmins to read repos in tenancy

Déployer l'agent Oracle Cloud

Si vous activez l'analyse basée sur un agent dans la recette, vous devez autoriser le service Vulnerability Scanning à déployer l'agent Oracle Cloud vers vos instances de calcul cible.

Lisez la VNIC (carte d'interface réseau virtuelle)

Le service Vulnerability Scanning doit également être en mesure de lire la carte d'interface réseau virtuelle sur vos instances de calcul cible.

Par exemple, afin d'accorder ce droit d'accès pour toutes les instances Compute de l'ensemble de la location, utilisez ce qui suit :

Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

Afin d'accorder ce droit d'accès pour toutes les instances Compute d'un compartiment spécifique, procédez comme suit :

Allow service vulnerability-scanning-service to manage instances in compartment <compartment_name>
Allow service vulnerability-scanning-service to read compartments in compartment <compartment_name>
Allow service vulnerability-scanning-service to read vnics in compartment <compartment_name>
Allow service vulnerability-scanning-service to read vnic-attachments in compartment <compartment_name>

Une VNIC peut se trouver dans un compartiment différent de celui de l'instance Compute. Accordez des droits d'accès à la carte d'interface réseau virtuelle pour l'ensemble de la location ou pour le compartiment spécifique dans lequel la carte d'interface réseau virtuelle se trouve, ainsi que pour les compartiments des instances Compute :

Allow service vulnerability-scanning-service to read vnics in compartment <vnic_compartment_name>
Allow service vulnerability-scanning-service to read vnic-attachments in compartment <vnic_compartment_name>

Stratégies Qualys basées sur un agent

Conditions préalables :
  • Configuration de stratégies Qualys basées sur un agent.
  • Créez un groupe dynamique d'instances à analyser. Reportez-vous à Gestion des groupes dynamiques. Les instances qui remplissent les critères définis par l'une de ces règles sont incluses dans le groupe dynamique. Par exemple :
    All {instance.compartment.id = <compartment_ocid>}
    Remarque

    Vous pouvez indiquer une location entière.

Accorder à un groupe dynamique l'accès aux clés secrètes et aux données renvoyées par Qualys

Pour utiliser l'analyse basée sur un agent Qualys dans votre recette, écrivez une stratégie qui autorise le groupe dynamique à accéder aux clés secrètes et aux données renvoyées par Qualys.

Pour autoriser le groupe dynamique à accéder aux clés secrètes, procédez comme suit :

Allow dynamic-group <dynamic_group_name> to read vaults in tenancy
Allow dynamic-group <dynamic_group_name> to read keys in tenancy
Allow dynamic-group <dynamic_group_name> to read secret-family in tenancy

Pour accéder aux données renvoyées par Qualys :

Define tenancy ocivssprod as ocid1.tenancy.oc1..aaaaaaaa6zt5ejxod5pgthsq4apr5z2uzde7dmbpduc5ua3mic4zv3g5ttma 
Endorse dynamic-group <dynamic_group_name> to read objects in tenancy ocivssprod

Pour obtenir plus d'informations et d'exemples, reportez-vous à: