コンピュート・スキャン・レシピに必要なIAMポリシー
Oracle Cloud Infrastructureを使用するには、コンソールを使用しているか、REST APIをSDK、CLIまたはその他のツールとともに使用しているかに関係なく、管理者が記述したポリシー(IAM)で必要なタイプのアクセス権が付与されている必要があります。
アクションを実行しても、権限がない、または認可されていないというメッセージが表示された場合は、付与されているアクセス権のタイプおよび作業するコンパートメントを管理者に確認してください。
たとえば、グループSecurityAdminsのユーザーに、コンパートメントSalesApps内のすべての脆弱性スキャン・リソースの作成、更新および削除を許可するには:
Allow group SecurityAdmins to manage vss-family in compartment SalesAppsエージェントベースのQualysポリシーを設定する場合: 最初にエージェントベースの標準ポリシーを設定してから、エージェントベースのQualysポリシーを設定します。
エージェントベースの標準ポリシー
VSS OCIRコンテナ・イメージ・スキャンのリポジトリの読取り
グループ内のユーザーがVSS OCIRコンテナ・イメージ・スキャンのリポジトリを読み取ることを許可するには:
Allow group VSSAdmins to read repos in tenancyOracle Cloud Agentのデプロイ
レシピでエージェントベースのスキャンを有効にするには、ターゲット・コンピュート・インスタンスにOracle Cloud Agentをデプロイする権限を脆弱性スキャン・サービスに付与する必要があります。
VNIC (仮想ネットワークインタフェースカード) を読みます
脆弱性スキャン・サービスは、ターゲット・コンピュート・インスタンスでVNIC (仮想ネットワーク・インタフェース・カード)を読み取ることができる必要もあります。
たとえば、テナンシ全体のすべてのコンピュート・インスタンスに対してこの権限を付与するには:
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy特定のコンパートメント内のすべてのコンピュート・インスタンスに対してこの権限を付与するには:
Allow service vulnerability-scanning-service to manage instances in compartment <compartment_name>
Allow service vulnerability-scanning-service to read compartments in compartment <compartment_name>
Allow service vulnerability-scanning-service to read vnics in compartment <compartment_name>
Allow service vulnerability-scanning-service to read vnic-attachments in compartment <compartment_name>VNICは、コンピュート・インスタンスとは異なるコンパートメントに存在する可能性があります。テナンシ全体またはVNICが存在する特定のコンパートメント、およびコンピュート・インスタンスのコンパートメントに対してVNIC権限を付与します:
Allow service vulnerability-scanning-service to read vnics in compartment <vnic_compartment_name>
Allow service vulnerability-scanning-service to read vnic-attachments in compartment <vnic_compartment_name>エージェントベースのQualysポリシー
- エージェントベースのQualysポリシーの設定。
- スキャンするインスタンスの動的グループを作成します。動的グループの管理を参照してください。これらのルールのいずれかで定義された条件を満たすインスタンスが動的グループに含まれます。例:
All {instance.compartment.id = <compartment_ocid>}ノート
テナンシ全体を指定できます。
シークレットおよびQualysから返送されたデータへの動的グループ・アクセス権の付与
レシピでQualysエージェントベースのスキャンを使用するには、動的グループにシークレットへのアクセスおよびQualysから送信されたデータへのアクセス権限を付与するポリシーを記述します。
シークレットにアクセスする権限を動的グループに付与するには:
Allow dynamic-group <dynamic_group_name> to read vaults in tenancy
Allow dynamic-group <dynamic_group_name> to read keys in tenancy
Allow dynamic-group <dynamic_group_name> to read secret-family in tenancy
Qualysから返送されたデータにアクセスするには:
Define tenancy ocivssprod as ocid1.tenancy.oc1..aaaaaaaa6zt5ejxod5pgthsq4apr5z2uzde7dmbpduc5ua3mic4zv3g5ttma
Endorse dynamic-group <dynamic_group_name> to read objects in tenancy ocivssprod
詳細および例は、次を参照してください: