Documentazione dell'infrastruttura Oracle Cloud

Criteri IAM obbligatori per le ricette di scansione di computazione

Per utilizzare Oracle Cloud Infrastructure, è necessario disporre del tipo di accesso richiesto in un criterio (IAM) scritto da un amministratore, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento.

Suggerimento

Se si tenta di eseguire un'azione e viene visualizzato un messaggio che informa che non si dispone dell'autorizzazione o che non si è autorizzati, confermare con l'amministratore il tipo di accesso concesso e il compartimento in cui si suppone di lavorare.

Ad esempio, per consentire agli utenti del gruppo SecurityAdmins di creare, aggiornare ed eliminare tutte le risorse di analisi delle vulnerabilità nel compartimento SalesApps:

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Importante

Se si stanno impostando criteri Qualys basati su agente: impostare innanzitutto i criteri standard basati su agente, quindi impostare i criteri Qualys basati su agente.

Criteri standard basati su agenti

Leggere i repository per le scansioni delle immagini del contenitore OCIR VSS

Per consentire agli utenti di un gruppo di leggere i repository per le scansioni di immagini del contenitore OCIR VSS, effettuare le operazioni riportate di seguito. 

Allow group VSSAdmins to read repos in tenancy

Distribuire l'agente Oracle Cloud

Se si abilita la scansione basata su agenti nella ricetta, è necessario concedere al servizio di analisi delle vulnerabilità l'autorizzazione per distribuire l'agente Oracle Cloud nelle istanze di computazione di destinazione.

Leggere la scheda VNIC (Virtual Network Interface Card)

Il servizio di analisi delle vulnerabilità deve inoltre essere in grado di leggere la scheda VNIC (virtual network interface card) nelle istanze di computazione di destinazione.

Ad esempio, per concedere questa autorizzazione per tutte le istanze di computazione nell'intera tenancy:

Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

Per concedere questa autorizzazione per tutte le istanze di computazione in un compartimento specifico, effettuare le operazioni riportate di seguito.

Allow service vulnerability-scanning-service to manage instances in compartment <compartment_name>
Allow service vulnerability-scanning-service to read compartments in compartment <compartment_name>
Allow service vulnerability-scanning-service to read vnics in compartment <compartment_name>
Allow service vulnerability-scanning-service to read vnic-attachments in compartment <compartment_name>

Una VNIC potrebbe trovarsi in un compartimento diverso dall'istanza di computazione. Concedere le autorizzazioni VNIC per l'intera tenancy o per il compartimento specifico in cui si trova la VNIC, nonché i compartimenti delle istanze di computazione:

Allow service vulnerability-scanning-service to read vnics in compartment <vnic_compartment_name>
Allow service vulnerability-scanning-service to read vnic-attachments in compartment <vnic_compartment_name>

Criteri Qualys basati su agente

Requisiti indispensabili:
  • Impostazione di criteri Qualys basati su agente.
  • Creare un gruppo dinamico di istanze che si desidera analizzare. Vedere Gestione dei gruppi dinamici. Le istanze che soddisfano i criteri definiti da una qualsiasi di queste regole vengono incluse nel gruppo dinamico. Ad esempio: 
    All {instance.compartment.id = <compartment_ocid>}
    Nota

    È possibile specificare un'intera tenancy.

Concedere ai gruppi dinamici l'accesso ai segreti e ai dati inviati da Qualys

Per utilizzare la scansione basata su agente Qualys nella ricetta, scrivere un criterio che conceda l'autorizzazione al gruppo dinamico per accedere ai segreti e per accedere ai dati inviati da Qualys.

Per concedere l'autorizzazione per il gruppo dinamico di accedere ai segreti, effettuare le operazioni riportate di seguito. 

Allow dynamic-group <dynamic_group_name> to read vaults in tenancy
Allow dynamic-group <dynamic_group_name> to read keys in tenancy
Allow dynamic-group <dynamic_group_name> to read secret-family in tenancy

Per accedere ai dati inviati da Qualys:

Define tenancy ocivssprod as ocid1.tenancy.oc1..aaaaaaaa6zt5ejxod5pgthsq4apr5z2uzde7dmbpduc5ua3mic4zv3g5ttma 
Endorse dynamic-group <dynamic_group_name> to read objects in tenancy ocivssprod

Per ulteriori informazioni e per gli esempi, vedere: