Política de IAM Obrigatória para Receitas de Verificação de Computação
Para usar o Oracle Cloud Infrastructure, você deve receber o tipo necessário de acesso em uma política (IAM) criada por um administrador, quer você esteja usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta.
Se você tentar executar uma ação e receber uma mensagem informando que não tem permissão ou não está autorizado, confirme com o administrador o tipo de acesso concedido e em qual compartimento você deve trabalhar.
Por exemplo, para permitir que os usuários do grupo SecurityAdmins
crie, atualize e exclua todos os recursos do Vulnerability Scanning no compartimento SalesApps
:
Allow group SecurityAdmins to manage vss-family in compartment SalesApps
Se você estiver configurando Políticas de Qualys Baseadas em Agente: primeiro configure as Políticas Padrão Baseadas em Agente e, em seguida, configure as Políticas de Qualys Baseadas em Agente.
Políticas Padrão Baseadas em Agente
Ler os Repositórios para Verificações de Imagem do Contêiner do VSS OCIR
Para permitir que os usuários de um grupo leiam repositórios para verificações de imagem do contêiner do VSS OCIR:
Allow group VSSAdmins to read repos in tenancy
Implantar o Oracle Cloud Agent
Se você ativar a verificação baseada em agente em sua receita, forneça a permissão do serviço Vulnerability Scanning para implantar o Oracle Cloud Agent em suas instâncias do serviço Compute de destino.
Leia a VNIC (placa de interface de rede virtual)
O serviço Vulnerability Scanning também deve ser capaz de ler a VNIC (placa de interface de rede virtual) nas suas instâncias do serviço Compute de destino.
Por exemplo, para conceder essa permissão a todas as instâncias do serviço Compute em toda a tenancy:
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy
Para conceder essa permissão a todas as instâncias do serviço Compute em um compartimento específico:
Allow service vulnerability-scanning-service to manage instances in compartment <compartment_name>
Allow service vulnerability-scanning-service to read compartments in compartment <compartment_name>
Allow service vulnerability-scanning-service to read vnics in compartment <compartment_name>
Allow service vulnerability-scanning-service to read vnic-attachments in compartment <compartment_name>
Uma VNIC pode estar em um compartimento diferente da sua instância do serviço Compute. Conceda permissões de VNIC para toda a tenancy ou para o compartimento específico em que a VNIC está, bem como os compartimentos das instâncias do serviço Compute:
Allow service vulnerability-scanning-service to read vnics in compartment <vnic_compartment_name>
Allow service vulnerability-scanning-service to read vnic-attachments in compartment <vnic_compartment_name>
Políticas de Qualificações Baseadas em Agente
- Configurando Políticas de Qualys Baseadas em Agente.
- Crie um grupo dinâmico de instâncias que você deseja verificar. Consulte Gerenciando Grupos Dinâmicos. As instâncias que atenderem aos critérios definidos por qualquer uma dessas regras serão incluídas no grupo dinâmico. Por exemplo:
All {instance.compartment.id = <compartment_ocid>}
Observação
Você pode especificar uma tenancy inteira.
Conceder ao Grupo Dinâmico Acesso a Segredos e aos Dados Enviados de Volta das Qualys
Para usar a verificação baseada no agente Qualys em sua receita, crie uma política que conceda permissão para que o grupo dinâmico acesse segredos e acesse os dados enviados de volta do Qualys.
Para conceder permissão para que o grupo dinâmico acesse segredos:
Allow dynamic-group <dynamic_group_name> to read vaults in tenancy
Allow dynamic-group <dynamic_group_name> to read keys in tenancy
Allow dynamic-group <dynamic_group_name> to read secret-family in tenancy
Para acessar os dados enviados de volta da Qualys:
Define tenancy ocivssprod as ocid1.tenancy.oc1..aaaaaaaa6zt5ejxod5pgthsq4apr5z2uzde7dmbpduc5ua3mic4zv3g5ttma
Endorse dynamic-group <dynamic_group_name> to read objects in tenancy ocivssprod
Para obter mais informações e exemplos, consulte: