Políticas do IAM no Vulnerability Scanning

Crie políticas do serviço IAM para controlar quem tem acesso aos recursos do Oracle Cloud Infrastructure Vulnerability Scanning Service e para controlar o tipo de acesso para cada grupo de usuários.

Por padrão, somente os usuários do grupo Administrators têm acesso a todos os recursos do serviço Vulnerability Scanning. Se você não estiver familiarizado com políticas de IAM, consulte Introdução a Políticas.

Para obter uma lista completa de todas as políticas do Oracle Cloud Infrastructure, consulte Referência de Políticas.

Observação

Além de conceder aos usuários acesso a recursos do serviço Vulnerability Scanning, o próprio serviço Vulnerability Scanning deve receber acesso aos seus recursos de destino. Consulte Exemplos de Política.

Tipos de Recurso

Os tipos de recursos a seguir estão relacionados à Verificação de Vulnerabilidade.

Para atribuir permissões a todos os recursos de Verificação de Vulnerabilidade, use o tipo de agregação:

vss-family

Para designar permissões a tipos de recursos individuais:

container-scan-recipes
container-scan-results
container-scan-targets
host-agent-scan-results
host-cis-benchmark-scan-results
host-port-scan-results
host-scan-recipes
host-scan-targets
host-vulnerabilities
vss-vulnerabilities
vss-work-requests

No Vulnerability Scanning, uma instância (Computação) também é chamada de host.

Uma política que usa <verb> vss-family é equivalente a gravar uma política com uma instrução <verb> <resource-type> separada para cada um dos tipos de recursos individuais.

Variáveis com Suporte

As políticas de IAM do serviço Vulnerability Scanning suportam todas as variáveis gerais de política.

Consulte Variáveis Gerais para Todas as Solicitações.

Detalhes das Combinações de Verbo + Tipo de Recurso

Identifique as permissões e operações de API abrangidas por cada verbo dos recursos do serviço Vulnerability Scanning.

O nível de acesso é cumulativo conforme você vai de inspect a read a use a manage.

Um sinal de adição (+) em uma célula da tabela indica acesso incremental em comparação com a célula diretamente acima, enquanto no extra indica nenhum acesso incremental.

container-scan-recipes


Verbos	Permissões	APIs Totalmente Abrangidas	APIs Parcialmente Abrangidas
`inspect`	`VSS_CONTAINERSCANRECIPE_INSPECT`	`ListContainerScanRecipes`	none
`read`	`inspect+` `VSS_CONTAINERSCANRECIPE_READ`	`GetContainerScanRecipe`	none
`use`	`read+` `VSS_CONTAINERSCANRECIPE_UPDATE`	`UpdateContainerScanRecipe`	none
`manage`	`use+` `VSS_CONTAINERSCANRECIPE_CREATE` `VSS_CONTAINERSCANRECIPE_DELETE` `VSS_CONTAINERSCANRECIPE_MOVE`	`CreateContainerScanRecipe` `DeleteContainerScanRecipe` `ChangeContainerScanRecipeCompartment`	none

container-scan-results


Verbos	Permissões	APIs Totalmente Abrangidas	APIs Parcialmente Abrangidas
`inspect`	`VSS_CONTAINERSCAN_INSPECT`	`ListContainerScanResults`	none
`read`	`inspect+` `VSS_CONTAINERSCAN_READ`	`GetContainerScanResult`	none
`use`	`read+`	none	none
`manage`	`use+` `VSS_CONTAINERSCAN_DELETE` `VSS_CONTAINERSCAN_MOVE`	`DeleteContainerScanResult` `ChangeContainerScanResultCompartment`	none

container-scan-targets


Verbos	Permissões	APIs Totalmente Abrangidas	APIs Parcialmente Abrangidas
`inspect`	`VSS_CONTAINERSCANTARGET_INSPECT`	`ListContainerScanTargets`	none
`read`	`inspect+` `VSS_CONTAINERSCANTARGET_READ`	`GetContainerScanTarget`	none
`use`	`read+` `VSS_CONTAINERSCANTARGET_UPDATE`	`UpdateContainerScanTarget`	none
`manage`	`use+` `VSS_CONTAINERSCANTARGET_CREATE` `VSS_CONTAINERSCANTARGET_DELETE` `VSS_CONTAINERSCANTARGET_MOVE`	`CreateContainerScanTarget` `DeleteContainerScanTarget` `ChangeContainerScanTargetCompartment`	none

host-agent-scan-results


Verbos	Permissões	APIs Totalmente Abrangidas	APIs Parcialmente Abrangidas
`inspect`	`VSS_HOSTAGENTSCAN_INSPECT`	`ListHostAgentScanResults`	none
`read`	`inspect+` `VSS_HOSTAGENTSCAN_READ`	`GetHostAgentScanResult`	none
`use`	`read+`	none	none
`manage`	`use+` `VSS_HOSTAGENTSCAN_DELETE` `VSS_HOSTAGENTSCAN_EXPORT` `VSS_HOSTAGENTSCAN_MOVE`	`DeleteHostAgentScanResult` `ExportHostAgentScanResultCsv` `ChangeHostAgentScanResultCompartment`	none

host-cis-benchmark-scan-results


Verbos	Permissões	APIs Totalmente Abrangidas	APIs Parcialmente Abrangidas
`inspect`	`VSS_HOSTCISBENCHMARKSCAN_INSPECT`	`ListHostCisBenchmarkScanResults`	none
`read`	`inspect+` `VSS_HOSTCISBENCHMARKSCAN_READ`	`GetHostCisBenchmarkScanResult`	none
`use`	`read+`	none	none
`manage`	`use+` `VSS_HOSTCISBENCHMARKSCAN_DELETE` `VSS_HOSTCISBENCHMARKSCAN_MOVE`	`DeleteHostCisBenchmarkScanResult` `ChangeHostCisBenchmarkScanResultCompartment`	none

host-port-scan-results


Verbos	Permissões	APIs Totalmente Abrangidas	APIs Parcialmente Abrangidas
`inspect`	`VSS_HOSTPORTSCAN_INSPECT`	`ListHostPortScanResults`	none
`read`	`inspect+` `VSS_HOSTPORTSCAN_READ`	`GetHostPortScanResult`	none
`use`	`read+`	none	none
`manage`	`use+` `VSS_HOSTPORTSCAN_DELETE` `VSS_HOSTPORTSCAN_MOVE`	`DeleteHostPortScanResult` `ChangeHostPortScanResultCompartment`	none

host-scan-recipes


Verbos	Permissões	APIs Totalmente Abrangidas	APIs Parcialmente Abrangidas
`inspect`	`VSS_HOSTSCANRECIPE_INSPECT`	`ListHostScanRecipes`	none
`read`	`inspect+` `VSS_HOSTSCANRECIPE_READ`	`GetHostScanRecipe`	none
`use`	`read+` `VSS_HOSTSCANRECIPE_UPDATE`	`UpdateHostScanRecipe`	none
`manage`	`use+` `VSS_HOSTSCANRECIPE_CREATE` `VSS_HOSTSCANRECIPE_DELETE` `VSS_HOSTSCANRECIPE_MOVE`	`CreateHostScanRecipe` `DeleteHostScanRecipe` `ChangeHostScanRecipeCompartment`	none

host-scan-targets


Verbos	Permissões	APIs Totalmente Abrangidas	APIs Parcialmente Abrangidas
`inspect`	`VSS_HOSTSCANTARGET_INSPECT`	`ListHostScanTargets`	none
`read`	`inspect+` `VSS_HOSTSCANTARGET_READ`	`GetHostScanTarget`	none
`use`	`read+` `VSS_HOSTSCANTARGET_UPDATE`	`UpdateHostScanTarget`	none
`manage`	`use+` `VSS_HOSTSCANTARGET_CREATE` `VSS_HOSTSCANTARGET_DELETE` `VSS_HOSTSCANTARGET_MOVE`	`CreateHostScanTarget` `DeleteHostScanTarget` `ChangeHostScanTargetCompartment`	none

host-vulnerabilities

Observação

Como alternativa, use vss-vulnerabilities para gerenciar o acesso a vulnerabilidades de host e de contêiner.

A operação de exportação está disponível para o tipo de recurso host-vulnerabilities, não para o tipo de recurso vss-vulnerabilities.


Verbos	Permissões	APIs Totalmente Abrangidas	APIs Parcialmente Abrangidas
`inspect`	`VSS_VULN_INSPECT` `VSS_VULN_HOST_INSPECT`	`ListHostVulnerabilities` `ListHostVulnerabilityImpactedHosts`	none
`read`	`inspect+` `VSS_VULN_READ`	`GetHostVulnerability`	none
`use`	`read+`	none	none
`manage`	`use+` `VSS_VULN_EXPORT`	`ExportHostVulnerabilityCsv`	none

vss-vulnerabilities


Verbos	Permissões	APIs Totalmente Abrangidas	APIs Parcialmente Abrangidas
`inspect`	`VSS_VULN_INSPECT` `VSS_VULN_HOST_INSPECT` `VSS_VULN_CONTAINER_INSPECT`	`ListVulnerabilities` `ListVulnerabilityImpactedHosts` `ListVulnerabilityImpactedContainers`	none
`read`	`inspect+` `VSS_VULN_READ`	`GetVulnerability`	none
`use`	`read+`	none	none
`manage`	`use+`	none	none

vss-work-requests


Verbos	Permissões	APIs Totalmente Abrangidas	APIs Parcialmente Abrangidas
`inspect`	`VSS_WR_INSPECT`	`ListWorkRequests`	none
`read`	`inspect+` `VSS_WR_READ` `VSS_WR_ERR_READ` `VSS_WR_LOG_READ`	`GetWorkRequest` `ListWorkRequestErrors` `ListWorkRequestLogs`	none
`use`	`read+`	none	none
`manage`	`use+`	none	none

Permissões Exigidas para cada Operação de API

A tabela a seguir lista as operações de API do Vulnerability Scanning em ordem lógica, agrupadas por tipo de recurso.

Para obter mais informações sobre permissões, consulte Permissões.


Operação de API	Permissões Obrigatórias para Usar a Operação
`ChangeContainerScanRecipeCompartment`	`VSS_CONTAINERSCANRECIPE_MOVE`
`ChangeContainerScanResultCompartment`	`VSS_CONTAINERSCAN_MOVE`
`ChangeContainerScanTargetCompartment`	`VSS_CONTAINERSCANTARGET_MOVE`
`ChangeHostAgentScanResultCompartment`	`VSS_HOSTAGENTSCAN_MOVE`
`ChangeHostCisBenchmarkScanResultCompartment`	`VSS_HOSTCISBENCHMARKSCAN_MOVE`
`ChangeHostPortScanResultCompartment`	`VSS_HOSTPORTSCAN_MOVE`
`ChangeHostScanRecipeCompartment`	`VSS_HOSTSCANRECIPE_MOVE`
`ChangeHostScanTargetCompartment`	`VSS_HOSTSCANTARGET_MOVE`
`CreateContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_CREATE`
`CreateContainerScanTarget`	`VSS_CONTAINERSCANTARGET_CREATE`
`CreateHostScanRecipe`	`VSS_HOSTSCANRECIPE_CREATE`
`CreateHostScanTarget`	`VSS_HOSTSCANTARGET_CREATE`
`DeleteContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_DELETE`
`DeleteContainerScanResult`	`VSS_CONTAINERSCAN_DELETE`
`DeleteContainerScanTarget`	`VSS_CONTAINERSCANTARGET_DELETE`
`DeleteHostAgentScanResult`	`VSS_HOSTAGENTSCAN_DELETE`
`DeleteHostCisBenchmarkScanResult`	`VSS_HOSTCISBENCHMARKSCAN_DELETE`
`DeleteHostPortScanResult`	`VSS_HOSTPORTSCAN_DELETE`
`DeleteHostScanRecipe`	`VSS_HOSTSCANRECIPE_DELETE`
`DeleteHostScanTarget`	`VSS_HOSTSCANTARGET_DELETE`
`ExportHostAgentScanResultCsv`	`VSS_HOSTAGENTSCAN_EXPORT`
`ExportHostVulnerabilityCsv`	`VSS_VULN_EXPORT`
`GetContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_READ`
`GetContainerScanResult`	`VSS_CONTAINERSCAN_READ`
`GetContainerScanTarget`	`VSS_CONTAINERSCANTARGET_READ`
`GetHostAgentScanResult`	`VSS_HOSTAGENTSCAN_READ`
`GetHostCisBenchmarkScanResult`	`VSS_HOSTCISBENCHMARKSCAN_READ`
`GetHostPortScanResult`	`VSS_HOSTPORTSCAN_READ`
`GetHostScanRecipe`	`VSS_HOSTSCANRECIPE_READ`
`GetHostScanTarget`	`VSS_HOSTSCANTARGET_READ`
`GetHostVulnerability`	`VSS_VULN_READ`
`GetVulnerability`	`VSS_VULN_READ`
`GetWorkRequest`	`VSS_WR_READ`
`ListContainerScanRecipes`	`VSS_CONTAINERSCANRECIPE_INSPECT`
`ListContainerScanResults`	`VSS_CONTAINERSCAN_INSPECT`
`ListContainerScanTargets`	`VSS_CONTAINERSCANTARGET_INSPECT`
`ListHostAgentScanResults`	`VSS_HOSTAGENTSCAN_INSPECT`
`ListHostCisBenchmarkScanResults`	`VSS_HOSTCISBENCHMARKSCAN_INSPECT`
`ListHostPortScanResults`	`VSS_HOSTPORTSCAN_INSPECT`
`ListHostScanRecipes`	`VSS_HOSTSCANRECIPE_INSPECT`
`ListHostScanTargets`	`VSS_HOSTSCANTARGET_INSPECT`
`ListHostVulnerabilities`	`VSS_VULN_INSPECT`
`ListHostVulnerabilityImpactedHosts`	`VSS_VULN_HOST_INSPECT`
`ListVulnerabilities`	`VSS_VULN_INSPECT`
`ListVulnerabilityImpactedContainers`	`VSS_VULN_CONTAINER_INSPECT`
`ListVulnerabilityImpactedHosts`	`VSS_VULN_HOST_INSPECT`
`ListWorkRequests`	`VSS_WR_INSPECT`
`ListWorkRequestErrors`	`VSS_WR_ERR_READ`
`ListWorkRequestLogs`	`VSS_WR_LOG_READ`
`UpdateContainerScanRecipe`	`VSS_CONTAINERSCANRECIPE_UPDATE`
`UpdateContainerScanTarget`	`VSS_CONTAINERSCANTARGET_UPDATE`
`UpdateHostScanRecipe`	`VSS_HOSTSCANRECIPE_UPDATE`
`UpdateHostScanTarget`	`VSS_HOSTSCANTARGET_UPDATE`

Exemplos de Política

Saiba mais sobre as políticas do serviço IAM do serviço Vulnerability Scanning usando exemplos.

Exemplos de Política Básica

Permita que os usuários do grupo SecurityAdmins crie, atualize e exclua todos os recursos do Vulnerability Scanning em toda a tenancy:
```
Allow group SecurityAdmins to manage vss-family in tenancy
```
Permita que os usuários do grupo SecurityAdmins crie, atualize e exclua todos os recursos do Vulnerability Scanning no compartimento SalesApps:
```
Allow group SecurityAdmins to manage vss-family in compartment SalesApps
```
Permita que os usuários do grupo SecurityAuditors exibam todos os recursos de Verificação de Vulnerabilidade no compartimento SalesApps:
```
Allow group SecurityAuditors to read vss-family in compartment SalesApps
```

Permita que os usuários do grupo SecurityAuditors exibam todos os recursos do Vulnerability Scanning no compartimento SalesApps e exporte os resultados:

Allow group SecurityAuditors to read vss-family in compartment SalesApps
Allow group SecurityAuditors to manage host-agent-scan-results in compartment SalesApps where request.operation = 'ExportHostAgentScanResultCsv'
Allow group SecurityAuditors to manage host-vulnerabilities in compartment SalesApps where request.operation = 'ExportHostVulnerabilityCsv'

Observação

A operação de exportação está disponível para o tipo de recurso host-vulnerabilities, não para o tipo de recurso vss-vulnerabilities.

Permita que os usuários do grupo SecurityAdmins crie, atualize e exclua receitas de verificação de host (Computação) em toda a tenancy:
```
Allow group SecurityAdmins to manage host-scan-recipes in tenancy
```

Permita que os usuários do grupo SecurityAuditors exibam todos os resultados de verificação de instância de Computação (host) no compartimento SalesApps:

Allow group SecurityAuditors to read host-agent-scan-results in compartment SalesApps
Allow group SecurityAuditors to read host-port-scan-results in compartment SalesApps
Allow group SecurityAuditors to read host-cis-benchmark-scan-results in compartment SalesApps
Allow group SecurityAuditors to read container-scan-results in compartment SalesApps
Allow group SecurityAuditors to read vss-vulnerabilities in compartment SalesApps

Exemplos de Política de Verificação de Instância de Computação (Host)

Para usar a verificação baseada em agentes de instâncias do serviço Compute, você também deve:

Conceda ao serviço Vulnerability Scanning a permissão para implantar o Oracle Cloud Agent em suas instâncias do serviço Compute de destino.
Conceda ao serviço Vulnerability Scanning a permissão para ler a VNIC (placa de interface de rede virtual) em suas instâncias do serviço Compute de destino.

Exemplos:

Permita que o serviço Vulnerability Scanning e os usuários do grupo SecurityAdmins executem verificação baseada em agente em toda a tenancy:

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

Permita que o serviço Vulnerability Scanning e os usuários do grupo SecurityAdmins executem verificação baseada em agente nas instâncias do compartimento SalesApps:

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesApps
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesApps

Permita que o serviço Vulnerability Scanning e os usuários do grupo SecurityAdmins executem verificação baseada em agente nas instâncias do compartimento SalesApps. As VNICs dessas instâncias estão no compartimento SalesNetwork:

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesNetwork
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesNetwork

Para obter mais informações sobre o Compute e políticas de rede, consulte a Referência de Políticas para Serviços Básicos.

Exemplos de Política de Verificação de Imagem do Contêiner

Para verificar imagens no Container Registry, você também deve conceder ao serviço Vulnerability Scanning permissão para extrair imagens do Container Registry.

Exemplos:

Permita que o serviço Vulnerability Scanning e os usuários do grupo SecurityAdmins verifiquem todas as imagens de contêiner em toda a tenancy:

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to read repos in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy

Permita que o serviço Vulnerability Scanning e os usuários do grupo SecurityAdmins verifiquem imagens de contêiner no compartimento SalesApps:

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to read repos in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps

Para obter mais informações, consulte Referência de Políticas para o Container Registry.