Criteri IAM per la scansione delle vulnerabilità

Crea criteri IAM per controllare chi ha accesso alle risorse di Oracle Cloud Infrastructure Vulnerability Scanning Service e per controllare il tipo di accesso per ogni gruppo di utenti.

Per impostazione predefinita, solo gli utenti del gruppo Administrators possono accedere a tutte le risorse di analisi delle vulnerabilità. Se non conosci i criteri IAM, consulta la Guida introduttiva ai criteri.

Per un elenco completo di tutti i criteri in Oracle Cloud Infrastructure, consulta il riferimento ai criteri.

Nota

Oltre a concedere agli utenti l'accesso alle risorse di analisi delle vulnerabilità, al servizio di analisi delle vulnerabilità deve essere concesso l'accesso alle risorse di destinazione. Vedere Esempi di criteri.

Tipi di risorse

I tipi di risorsa riportati di seguito sono correlati alla scansione delle vulnerabilità.

Per assegnare le autorizzazioni a tutte le risorse di analisi delle vulnerabilità, utilizzare il tipo di aggregazione:

vss-family

Per assegnare autorizzazioni a singoli tipi di risorsa:

container-scan-recipes
container-scan-results
container-scan-targets
host-agent-scan-results
host-cis-benchmark-scan-results
host-port-scan-results
host-scan-recipes
host-scan-targets
host-vulnerabilities
vss-vulnerabilities
vss-work-requests

In Vulnerability Scanning, un'istanza (Computazione) è anche denominata host.

Un criterio che utilizza <verb> vss-family equivale a scrivere un criterio con un'istruzione <verb> <resource-type> separata per ciascuno dei singoli tipi di risorsa.

Variabili supportate

I criteri IAM di analisi delle vulnerabilità supportano tutte le variabili dei criteri generali.

Vedere Variabili generali per tutte le richieste.

Dettagli per le combinazioni verbo-tipo di risorsa

Identifica le autorizzazioni e le operazioni API coperte da ciascun verbo per le risorse di analisi delle vulnerabilità.

Il livello di accesso è cumulativo quando si passa da inspect a read a use a manage.

Un segno più (+) in una cella di tabella indica un accesso incrementale rispetto alla cella precedente, mentre no extra non indica alcun accesso incrementale.

ricette container-scan


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
`inspect`	`VSS_CONTAINERSCANRECIPE_INSPECT`	`ListContainerScanRecipes`	nessuno
`read`	`inspect+` `VSS_CONTAINERSCANRECIPE_READ`	`GetContainerScanRecipe`	nessuno
`use`	`read+` `VSS_CONTAINERSCANRECIPE_UPDATE`	`UpdateContainerScanRecipe`	nessuno
`manage`	`use+` `VSS_CONTAINERSCANRECIPE_CREATE` `VSS_CONTAINERSCANRECIPE_DELETE` `VSS_CONTAINERSCANRECIPE_MOVE`	`CreateContainerScanRecipe` `DeleteContainerScanRecipe` `ChangeContainerScanRecipeCompartment`	nessuno

risultati scansione container


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
`inspect`	`VSS_CONTAINERSCAN_INSPECT`	`ListContainerScanResults`	nessuno
`read`	`inspect+` `VSS_CONTAINERSCAN_READ`	`GetContainerScanResult`	nessuno
`use`	`read+`	nessuno	nessuno
`manage`	`use+` `VSS_CONTAINERSCAN_DELETE` `VSS_CONTAINERSCAN_MOVE`	`DeleteContainerScanResult` `ChangeContainerScanResultCompartment`	nessuno

destinazioni container-scan


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
`inspect`	`VSS_CONTAINERSCANTARGET_INSPECT`	`ListContainerScanTargets`	nessuno
`read`	`inspect+` `VSS_CONTAINERSCANTARGET_READ`	`GetContainerScanTarget`	nessuno
`use`	`read+` `VSS_CONTAINERSCANTARGET_UPDATE`	`UpdateContainerScanTarget`	nessuno
`manage`	`use+` `VSS_CONTAINERSCANTARGET_CREATE` `VSS_CONTAINERSCANTARGET_DELETE` `VSS_CONTAINERSCANTARGET_MOVE`	`CreateContainerScanTarget` `DeleteContainerScanTarget` `ChangeContainerScanTargetCompartment`	nessuno

host-agent-scan-results


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
`inspect`	`VSS_HOSTAGENTSCAN_INSPECT`	`ListHostAgentScanResults`	nessuno
`read`	`inspect+` `VSS_HOSTAGENTSCAN_READ`	`GetHostAgentScanResult`	nessuno
`use`	`read+`	nessuno	nessuno
`manage`	`use+` `VSS_HOSTAGENTSCAN_DELETE` `VSS_HOSTAGENTSCAN_EXPORT` `VSS_HOSTAGENTSCAN_MOVE`	`DeleteHostAgentScanResult` `ExportHostAgentScanResultCsv` `ChangeHostAgentScanResultCompartment`	nessuno

host-cis-benchmark-scan-results


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
`inspect`	`VSS_HOSTCISBENCHMARKSCAN_INSPECT`	`ListHostCisBenchmarkScanResults`	nessuno
`read`	`inspect+` `VSS_HOSTCISBENCHMARKSCAN_READ`	`GetHostCisBenchmarkScanResult`	nessuno
`use`	`read+`	nessuno	nessuno
`manage`	`use+` `VSS_HOSTCISBENCHMARKSCAN_DELETE` `VSS_HOSTCISBENCHMARKSCAN_MOVE`	`DeleteHostCisBenchmarkScanResult` `ChangeHostCisBenchmarkScanResultCompartment`	nessuno

host-port-scan-results


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
`inspect`	`VSS_HOSTPORTSCAN_INSPECT`	`ListHostPortScanResults`	nessuno
`read`	`inspect+` `VSS_HOSTPORTSCAN_READ`	`GetHostPortScanResult`	nessuno
`use`	`read+`	nessuno	nessuno
`manage`	`use+` `VSS_HOSTPORTSCAN_DELETE` `VSS_HOSTPORTSCAN_MOVE`	`DeleteHostPortScanResult` `ChangeHostPortScanResultCompartment`	nessuno

host-scan-recipes


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
`inspect`	`VSS_HOSTSCANRECIPE_INSPECT`	`ListHostScanRecipes`	nessuno
`read`	`inspect+` `VSS_HOSTSCANRECIPE_READ`	`GetHostScanRecipe`	nessuno
`use`	`read+` `VSS_HOSTSCANRECIPE_UPDATE`	`UpdateHostScanRecipe`	nessuno
`manage`	`use+` `VSS_HOSTSCANRECIPE_CREATE` `VSS_HOSTSCANRECIPE_DELETE` `VSS_HOSTSCANRECIPE_MOVE`	`CreateHostScanRecipe` `DeleteHostScanRecipe` `ChangeHostScanRecipeCompartment`	nessuno

destinazioni-scan-host


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
`inspect`	`VSS_HOSTSCANTARGET_INSPECT`	`ListHostScanTargets`	nessuno
`read`	`inspect+` `VSS_HOSTSCANTARGET_READ`	`GetHostScanTarget`	nessuno
`use`	`read+` `VSS_HOSTSCANTARGET_UPDATE`	`UpdateHostScanTarget`	nessuno
`manage`	`use+` `VSS_HOSTSCANTARGET_CREATE` `VSS_HOSTSCANTARGET_DELETE` `VSS_HOSTSCANTARGET_MOVE`	`CreateHostScanTarget` `DeleteHostScanTarget` `ChangeHostScanTargetCompartment`	nessuno

vulnerabilità dell'host

Nota

In alternativa, utilizzare vss-vulnerabilities per gestire l'accesso alle vulnerabilità sia dell'host che del contenitore.

L'operazione di esportazione è disponibile per il tipo di risorsa host-vulnerabilities, non per il tipo di risorsa vss-vulnerabilities.


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
`inspect`	`VSS_VULN_INSPECT` `VSS_VULN_HOST_INSPECT`	`ListHostVulnerabilities` `ListHostVulnerabilityImpactedHosts`	nessuno
`read`	`inspect+` `VSS_VULN_READ`	`GetHostVulnerability`	nessuno
`use`	`read+`	nessuno	nessuno
`manage`	`use+` `VSS_VULN_EXPORT`	`ExportHostVulnerabilityCsv`	nessuno

vss-vulnerabilità


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
`inspect`	`VSS_VULN_INSPECT` `VSS_VULN_HOST_INSPECT` `VSS_VULN_CONTAINER_INSPECT`	`ListVulnerabilities` `ListVulnerabilityImpactedHosts` `ListVulnerabilityImpactedContainers`	nessuno
`read`	`inspect+` `VSS_VULN_READ`	`GetVulnerability`	nessuno
`use`	`read+`	nessuno	nessuno
`manage`	`use+`	nessuno	nessuno

vss-work-requests


Verbs	Autorizzazioni	API completamente coperte	API parzialmente coperte
`inspect`	`VSS_WR_INSPECT`	`ListWorkRequests`	nessuno
`read`	`inspect+` `VSS_WR_READ` `VSS_WR_ERR_READ` `VSS_WR_LOG_READ`	`GetWorkRequest` `ListWorkRequestErrors` `ListWorkRequestLogs`	nessuno
`use`	`read+`	nessuno	nessuno
`manage`	`use+`	nessuno	nessuno

Autorizzazioni necessarie per ogni operazione API

La tabella riportata di seguito elenca le operazioni API di analisi delle vulnerabilità in un ordine logico, raggruppate per tipo di risorsa.

Per ulteriori informazioni sulle autorizzazioni, vedere Autorizzazioni.


Operazione API	Autorizzazioni necessarie per utilizzare l'operazione
`ChangeContainerScanRecipeCompartment`	`VSS_CONTAINERSCANRECIPE_MOVE`
`ChangeContainerScanResultCompartment`	`VSS_CONTAINERSCAN_MOVE`
`ChangeContainerScanTargetCompartment`	`VSS_CONTAINERSCANTARGET_MOVE`
`ChangeHostAgentScanResultCompartment`	`VSS_HOSTAGENTSCAN_MOVE`
`ChangeHostCisBenchmarkScanResultCompartment`	`VSS_HOSTCISBENCHMARKSCAN_MOVE`
`ChangeHostPortScanResultCompartment`	`VSS_HOSTPORTSCAN_MOVE`
`ChangeHostScanRecipeCompartment`	`VSS_HOSTSCANRECIPE_MOVE`
`ChangeHostScanTargetCompartment`	`VSS_HOSTSCANTARGET_MOVE`
`CreateContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_CREATE`
`CreateContainerScanTarget`	`VSS_CONTAINERSCANTARGET_CREATE`
`CreateHostScanRecipe`	`VSS_HOSTSCANRECIPE_CREATE`
`CreateHostScanTarget`	`VSS_HOSTSCANTARGET_CREATE`
`DeleteContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_DELETE`
`DeleteContainerScanResult`	`VSS_CONTAINERSCAN_DELETE`
`DeleteContainerScanTarget`	`VSS_CONTAINERSCANTARGET_DELETE`
`DeleteHostAgentScanResult`	`VSS_HOSTAGENTSCAN_DELETE`
`DeleteHostCisBenchmarkScanResult`	`VSS_HOSTCISBENCHMARKSCAN_DELETE`
`DeleteHostPortScanResult`	`VSS_HOSTPORTSCAN_DELETE`
`DeleteHostScanRecipe`	`VSS_HOSTSCANRECIPE_DELETE`
`DeleteHostScanTarget`	`VSS_HOSTSCANTARGET_DELETE`
`ExportHostAgentScanResultCsv`	`VSS_HOSTAGENTSCAN_EXPORT`
`ExportHostVulnerabilityCsv`	`VSS_VULN_EXPORT`
`GetContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_READ`
`GetContainerScanResult`	`VSS_CONTAINERSCAN_READ`
`GetContainerScanTarget`	`VSS_CONTAINERSCANTARGET_READ`
`GetHostAgentScanResult`	`VSS_HOSTAGENTSCAN_READ`
`GetHostCisBenchmarkScanResult`	`VSS_HOSTCISBENCHMARKSCAN_READ`
`GetHostPortScanResult`	`VSS_HOSTPORTSCAN_READ`
`GetHostScanRecipe`	`VSS_HOSTSCANRECIPE_READ`
`GetHostScanTarget`	`VSS_HOSTSCANTARGET_READ`
`GetHostVulnerability`	`VSS_VULN_READ`
`GetVulnerability`	`VSS_VULN_READ`
`GetWorkRequest`	`VSS_WR_READ`
`ListContainerScanRecipes`	`VSS_CONTAINERSCANRECIPE_INSPECT`
`ListContainerScanResults`	`VSS_CONTAINERSCAN_INSPECT`
`ListContainerScanTargets`	`VSS_CONTAINERSCANTARGET_INSPECT`
`ListHostAgentScanResults`	`VSS_HOSTAGENTSCAN_INSPECT`
`ListHostCisBenchmarkScanResults`	`VSS_HOSTCISBENCHMARKSCAN_INSPECT`
`ListHostPortScanResults`	`VSS_HOSTPORTSCAN_INSPECT`
`ListHostScanRecipes`	`VSS_HOSTSCANRECIPE_INSPECT`
`ListHostScanTargets`	`VSS_HOSTSCANTARGET_INSPECT`
`ListHostVulnerabilities`	`VSS_VULN_INSPECT`
`ListHostVulnerabilityImpactedHosts`	`VSS_VULN_HOST_INSPECT`
`ListVulnerabilities`	`VSS_VULN_INSPECT`
`ListVulnerabilityImpactedContainers`	`VSS_VULN_CONTAINER_INSPECT`
`ListVulnerabilityImpactedHosts`	`VSS_VULN_HOST_INSPECT`
`ListWorkRequests`	`VSS_WR_INSPECT`
`ListWorkRequestErrors`	`VSS_WR_ERR_READ`
`ListWorkRequestLogs`	`VSS_WR_LOG_READ`
`UpdateContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_UPDATE`
`UpdateContainerScanTarget`	`VSS_CONTAINERSCANTARGET_UPDATE`
`UpdateHostScanRecipe`	`VSS_HOSTSCANRECIPE_UPDATE`
`UpdateHostScanTarget`	`VSS_HOSTSCANTARGET_UPDATE`

Esempi di criteri

Scopri di più sui criteri IAM di analisi delle vulnerabilità utilizzando esempi.

Esempi di criteri di base

Consentire agli utenti del gruppo SecurityAdmins di creare, aggiornare ed eliminare tutte le risorse di analisi delle vulnerabilità nell'intera tenancy:
```
Allow group SecurityAdmins to manage vss-family in tenancy
```
Consentire agli utenti del gruppo SecurityAdmins di creare, aggiornare ed eliminare tutte le risorse di analisi delle vulnerabilità nel compartimento SalesApps:
```
Allow group SecurityAdmins to manage vss-family in compartment SalesApps
```
Consentire agli utenti del gruppo SecurityAuditors di visualizzare tutte le risorse di analisi delle vulnerabilità nel compartimento SalesApps:
```
Allow group SecurityAuditors to read vss-family in compartment SalesApps
```

Consentire agli utenti del gruppo SecurityAuditors di visualizzare tutte le risorse di analisi delle vulnerabilità nel compartimento SalesApps ed esportare i risultati:

Allow group SecurityAuditors to read vss-family in compartment SalesApps
Allow group SecurityAuditors to manage host-agent-scan-results in compartment SalesApps where request.operation = 'ExportHostAgentScanResultCsv'
Allow group SecurityAuditors to manage host-vulnerabilities in compartment SalesApps where request.operation = 'ExportHostVulnerabilityCsv'

Nota

L'operazione di esportazione è disponibile per il tipo di risorsa host-vulnerabilities e non per il tipo di risorsa vss-vulnerabilities.

Consentire agli utenti del gruppo SecurityAdmins di creare, aggiornare ed eliminare le ricette di scansione di computazione (host) nell'intera tenancy:
```
Allow group SecurityAdmins to manage host-scan-recipes in tenancy
```

Consentire agli utenti del gruppo SecurityAuditors di visualizzare tutti i risultati della scansione di Compute (host) nel compartimento SalesApps:

Allow group SecurityAuditors to read host-agent-scan-results in compartment SalesApps
Allow group SecurityAuditors to read host-port-scan-results in compartment SalesApps
Allow group SecurityAuditors to read host-cis-benchmark-scan-results in compartment SalesApps
Allow group SecurityAuditors to read container-scan-results in compartment SalesApps
Allow group SecurityAuditors to read vss-vulnerabilities in compartment SalesApps

Esempi di criteri di scansione di computazione (host)

Per utilizzare la scansione basata su agenti delle istanze di computazione, devi anche:

Concedere l'autorizzazione del servizio di analisi delle vulnerabilità per distribuire l'agente Oracle Cloud nelle istanze di computazione di destinazione.
Concedere l'autorizzazione del servizio di analisi delle vulnerabilità per leggere la scheda VNIC (Virtual Network Interface Card) sulle istanze di computazione di destinazione.

Esempi:

Consentire al servizio di analisi delle vulnerabilità e agli utenti del gruppo SecurityAdmins di eseguire la scansione basata su agente nell'intera tenancy:

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

Consentire al servizio di analisi delle vulnerabilità e agli utenti del gruppo SecurityAdmins di eseguire la scansione basata su agente sulle istanze nel compartimento SalesApps:

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesApps
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesApps

Consentire al servizio di analisi delle vulnerabilità e agli utenti del gruppo SecurityAdmins di eseguire la scansione basata su agente sulle istanze nel compartimento SalesApps. Le VNIC di queste istanze si trovano nel compartimento SalesNetwork:

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesNetwork
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesNetwork

Per ulteriori informazioni sui criteri di computazione e di rete, vedere Riferimento ai criteri per i servizi di base.

Esempi di criteri di scansione delle immagini del contenitore

Per eseguire la scansione delle immagini in Container Registry, è inoltre necessario concedere al servizio di analisi delle vulnerabilità l'autorizzazione per estrarre le immagini da Container Registry.

Esempi:

Consentire al servizio di analisi delle vulnerabilità e agli utenti del gruppo SecurityAdmins di eseguire la scansione di tutte le immagini del contenitore nell'intera tenancy:

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to read repos in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy

Consentire al servizio di analisi delle vulnerabilità e agli utenti del gruppo SecurityAdmins di eseguire la scansione delle immagini del contenitore nel compartimento SalesApps:

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to read repos in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps

Per ulteriori informazioni, vedere Riferimento ai criteri per Container Registry.