脆弱性スキャンIAMポリシー
IAMポリシーを作成して、Oracle Cloud Infrastructure Vulnerability Scanning Serviceリソースにアクセスできるユーザーを制御し、ユーザー・グループごとにアクセス権のタイプを制御します。
デフォルトでは、Administratorsグループのユーザーのみがすべての脆弱性スキャン・リソースにアクセスできます。IAMポリシーを初めて使用する場合は、ポリシーの開始を参照してください。
Oracle Cloud Infrastructureのすべてのポリシーの完全なリストは、ポリシー・リファレンスを参照してください。
リソース・タイプ
次のリソース・タイプは、脆弱性スキャンに関連しています。
すべての脆弱性スキャン・リソースに権限を割り当てるには、集約タイプを使用します:
vss-family
個々のリソース・タイプに権限を割り当てるには:
container-scan-recipescontainer-scan-resultscontainer-scan-targetshost-agent-scan-resultshost-cis-benchmark-scan-resultshost-port-scan-resultshost-scan-recipeshost-scan-targetshost-vulnerabilitiesvss-vulnerabilitiesvss-work-requests
脆弱性スキャンでは、インスタンス(コンピュート)はhostとも呼ばれます。
<verb> vss-familyを使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <resource-type>ステートメントを使用してポリシーを記述することと同じです。
サポートされる変数
脆弱性スキャンIAMポリシーでは、すべての一般的なポリシー変数がサポートされます。
すべてのリクエストの一般的な変数を参照してください。
動詞+リソース・タイプの組合せの詳細
脆弱性スキャン・リソースの各動詞でカバーされる権限およびAPI操作を識別します。
アクセスのレベルは、inspectからread、use、manageの順に累積します。
表のセルのプラス記号(+)は、前のセルと比較した場合に増分アクセスを示しますが、「追加なし」は増分アクセスを示しません。
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
inspect |
VSS_CONTAINERSCANRECIPE_INSPECT |
ListContainerScanRecipes |
なし |
read |
|
GetContainerScanRecipe |
なし |
use |
|
UpdateContainerScanRecipe |
なし |
manage |
|
|
なし |
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
inspect |
VSS_CONTAINERSCAN_INSPECT |
ListContainerScanResults |
なし |
read |
|
GetContainerScanResult |
なし |
use |
read+ |
なし | なし |
manage |
|
|
なし |
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
inspect |
VSS_CONTAINERSCANTARGET_INSPECT |
ListContainerScanTargets |
なし |
read |
|
GetContainerScanTarget |
なし |
use |
|
UpdateContainerScanTarget |
なし |
manage |
|
|
なし |
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
inspect |
VSS_HOSTAGENTSCAN_INSPECT |
ListHostAgentScanResults |
なし |
read |
|
GetHostAgentScanResult |
なし |
use |
read+ |
なし | なし |
manage |
|
|
なし |
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
inspect |
VSS_HOSTCISBENCHMARKSCAN_INSPECT |
ListHostCisBenchmarkScanResults |
なし |
read |
|
GetHostCisBenchmarkScanResult |
なし |
use |
read+ |
なし | なし |
manage |
|
|
なし |
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
inspect |
VSS_HOSTPORTSCAN_INSPECT |
ListHostPortScanResults |
なし |
read |
|
GetHostPortScanResult |
なし |
use |
read+ |
なし | なし |
manage |
|
|
なし |
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
inspect |
VSS_HOSTSCANRECIPE_INSPECT |
ListHostScanRecipes |
なし |
read |
|
GetHostScanRecipe |
なし |
use |
|
UpdateHostScanRecipe |
なし |
manage |
|
|
なし |
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
inspect |
VSS_HOSTSCANTARGET_INSPECT |
ListHostScanTargets |
なし |
read |
|
GetHostScanTarget |
なし |
use |
|
UpdateHostScanTarget |
なし |
manage |
|
|
なし |
別の方法として、
vss-vulnerabilitiesを使用してホストとコンテナの両方の脆弱性へのアクセスを管理します。エクスポート操作は、vss-vulnerabilitiesリソース・タイプではなく、host-vulnerabilitiesリソース・タイプで使用できます。
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
inspect |
|
|
なし |
read |
|
GetHostVulnerability |
なし |
use |
read+ |
なし | なし |
manage |
|
ExportHostVulnerabilityCsv |
なし |
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
inspect |
|
|
なし |
read |
|
GetVulnerability |
なし |
use |
read+ |
なし | なし |
manage |
|
なし | なし |
| 動詞 | 権限 | 全部カバーされるAPI | 一部カバーされるAPI |
|---|---|---|---|
inspect |
VSS_WR_INSPECT |
ListWorkRequests |
なし |
read |
|
|
なし |
use |
read+ |
なし | なし |
manage |
use+ |
なし | なし |
API操作ごとに必要な権限
次の表に、脆弱性スキャンAPI操作を、リソース・タイプ別にグループ化した論理的な順序で示します。
権限の詳細は、権限を参照してください。
| API操作 | 操作の使用に必要な権限 |
|---|---|
ChangeContainerScanRecipeCompartment |
VSS_CONTAINERSCANRECIPE_MOVE |
ChangeContainerScanResultCompartment |
VSS_CONTAINERSCAN_MOVE |
ChangeContainerScanTargetCompartment |
VSS_CONTAINERSCANTARGET_MOVE |
ChangeHostAgentScanResultCompartment |
VSS_HOSTAGENTSCAN_MOVE |
ChangeHostCisBenchmarkScanResultCompartment |
VSS_HOSTCISBENCHMARKSCAN_MOVE |
ChangeHostPortScanResultCompartment |
VSS_HOSTPORTSCAN_MOVE |
ChangeHostScanRecipeCompartment |
VSS_HOSTSCANRECIPE_MOVE |
ChangeHostScanTargetCompartment |
VSS_HOSTSCANTARGET_MOVE |
CreateContainerScanRecipe |
VSS_CONTAINERSCANRECIPE_CREATE |
CreateContainerScanTarget |
VSS_CONTAINERSCANTARGET_CREATE |
CreateHostScanRecipe |
VSS_HOSTSCANRECIPE_CREATE |
CreateHostScanTarget |
VSS_HOSTSCANTARGET_CREATE |
DeleteContainerScanRecipe |
VSS_CONTAINERSCANRECIPE_DELETE |
DeleteContainerScanResult |
VSS_CONTAINERSCAN_DELETE |
DeleteContainerScanTarget |
VSS_CONTAINERSCANTARGET_DELETE |
DeleteHostAgentScanResult |
VSS_HOSTAGENTSCAN_DELETE |
DeleteHostCisBenchmarkScanResult |
VSS_HOSTCISBENCHMARKSCAN_DELETE |
DeleteHostPortScanResult |
VSS_HOSTPORTSCAN_DELETE |
DeleteHostScanRecipe |
VSS_HOSTSCANRECIPE_DELETE |
DeleteHostScanTarget |
VSS_HOSTSCANTARGET_DELETE |
ExportHostAgentScanResultCsv |
VSS_HOSTAGENTSCAN_EXPORT |
ExportHostVulnerabilityCsv |
VSS_VULN_EXPORT |
GetContainerScanRecipe |
VSS_CONTAINERSCANRECIPE_READ |
GetContainerScanResult |
VSS_CONTAINERSCAN_READ |
GetContainerScanTarget |
VSS_CONTAINERSCANTARGET_READ |
GetHostAgentScanResult |
VSS_HOSTAGENTSCAN_READ |
GetHostCisBenchmarkScanResult |
VSS_HOSTCISBENCHMARKSCAN_READ |
GetHostPortScanResult |
VSS_HOSTPORTSCAN_READ |
GetHostScanRecipe |
VSS_HOSTSCANRECIPE_READ |
GetHostScanTarget |
VSS_HOSTSCANTARGET_READ |
GetHostVulnerability |
VSS_VULN_READ |
GetVulnerability |
VSS_VULN_READ |
GetWorkRequest |
VSS_WR_READ |
ListContainerScanRecipes |
VSS_CONTAINERSCANRECIPE_INSPECT |
ListContainerScanResults |
VSS_CONTAINERSCAN_INSPECT |
ListContainerScanTargets |
VSS_CONTAINERSCANTARGET_INSPECT |
ListHostAgentScanResults |
VSS_HOSTAGENTSCAN_INSPECT |
ListHostCisBenchmarkScanResults |
VSS_HOSTCISBENCHMARKSCAN_INSPECT |
ListHostPortScanResults |
VSS_HOSTPORTSCAN_INSPECT |
ListHostScanRecipes |
VSS_HOSTSCANRECIPE_INSPECT |
ListHostScanTargets |
VSS_HOSTSCANTARGET_INSPECT |
ListHostVulnerabilities |
VSS_VULN_INSPECT |
ListHostVulnerabilityImpactedHosts |
VSS_VULN_HOST_INSPECT |
ListVulnerabilities |
VSS_VULN_INSPECT |
ListVulnerabilityImpactedContainers |
VSS_VULN_CONTAINER_INSPECT |
ListVulnerabilityImpactedHosts |
VSS_VULN_HOST_INSPECT |
ListWorkRequests |
VSS_WR_INSPECT |
ListWorkRequestErrors |
VSS_WR_ERR_READ |
ListWorkRequestLogs |
VSS_WR_LOG_READ |
UpdateContainerScanRecipe |
VSS_CONTAINERSCANRECIPE_UPDATE |
UpdateContainerScanTarget |
VSS_CONTAINERSCANTARGET_UPDATE |
UpdateHostScanRecipe |
VSS_HOSTSCANRECIPE_UPDATE |
UpdateHostScanTarget |
VSS_HOSTSCANTARGET_UPDATE |
ポリシーの例
例を使用して、脆弱性スキャンのIAMポリシーについて説明します。
-
グループ
SecurityAdminsのユーザーが、テナンシ全体のすべての脆弱性スキャン・リソースを作成、更新および削除できるようにします:Allow group SecurityAdmins to manage vss-family in tenancy -
グループ
SecurityAdminsのユーザーに、コンパートメントSalesApps内のすべての脆弱性スキャン・リソースの作成、更新および削除を許可します:Allow group SecurityAdmins to manage vss-family in compartment SalesApps -
グループ
SecurityAuditorsのユーザーに、コンパートメントSalesApps内のすべての脆弱性スキャン・リソースの表示を許可します:Allow group SecurityAuditors to read vss-family in compartment SalesApps -
グループ
SecurityAuditorsのユーザーに、コンパートメントSalesApps内のすべての脆弱性スキャン・リソースの表示および結果のエクスポートを許可します:Allow group SecurityAuditors to read vss-family in compartment SalesApps Allow group SecurityAuditors to manage host-agent-scan-results in compartment SalesApps where request.operation = 'ExportHostAgentScanResultCsv' Allow group SecurityAuditors to manage host-vulnerabilities in compartment SalesApps where request.operation = 'ExportHostVulnerabilityCsv'ノート
エクスポート操作は、vss-vulnerabilitiesリソース・タイプではなく、host-vulnerabilitiesリソース・タイプで使用できます。 -
グループ
SecurityAdminsのユーザーが、テナンシ全体のコンピュート(ホスト)スキャン・レシピを作成、更新および削除できるようにします:Allow group SecurityAdmins to manage host-scan-recipes in tenancy -
グループ
SecurityAuditorsのユーザーが、コンパートメントSalesApps内のすべてのコンピュート(ホスト)スキャン結果を表示できるようにします:Allow group SecurityAuditors to read host-agent-scan-results in compartment SalesApps Allow group SecurityAuditors to read host-port-scan-results in compartment SalesApps Allow group SecurityAuditors to read host-cis-benchmark-scan-results in compartment SalesApps Allow group SecurityAuditors to read container-scan-results in compartment SalesApps Allow group SecurityAuditors to read vss-vulnerabilities in compartment SalesApps
コンピュート・インスタンスのエージェントベースのスキャンを使用するには、次も実行する必要があります:
- Grant the Vulnerability Scanning service permission to deploy the Oracle Cloud Agent to your target Compute instances.
- Grant the Vulnerability Scanning service permission to read the VNIC (virtual network interface card) on your target Compute instances.
例:
-
脆弱性スキャン・サービスおよびグループ
SecurityAdminsのユーザーが、テナンシ全体でエージェントベースのスキャンを実行できるようにします:Allow group SecurityAdmins to manage vss-family in tenancy Allow service vulnerability-scanning-service to manage instances in tenancy Allow service vulnerability-scanning-service to read compartments in tenancy Allow service vulnerability-scanning-service to read vnics in tenancy Allow service vulnerability-scanning-service to read vnic-attachments in tenancy -
脆弱性スキャン・サービスおよびグループ
SecurityAdminsのユーザーが、コンパートメントSalesAppsのインスタンスでエージェントベースのスキャンを実行できるようにします:Allow group SecurityAdmins to manage vss-family in compartment SalesApps Allow service vulnerability-scanning-service to manage instances in compartment SalesApps Allow service vulnerability-scanning-service to read compartments in compartment SalesApps Allow service vulnerability-scanning-service to read vnics in compartment SalesApps Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesApps - 脆弱性スキャン・サービスおよびグループ
SecurityAdminsのユーザーが、コンパートメントSalesAppsのインスタンスでエージェントベースのスキャンを実行できるようにします。これらのインスタンスのVNICは、コンパートメントSalesNetworkにあります:Allow group SecurityAdmins to manage vss-family in compartment SalesApps Allow service vulnerability-scanning-service to manage instances in compartment SalesApps Allow service vulnerability-scanning-service to read compartments in compartment SalesApps Allow service vulnerability-scanning-service to read vnics in compartment SalesNetwork Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesNetwork
コンピュートおよびネットワーク・ポリシーの詳細は、コア・サービスのポリシー・リファレンスを参照してください。
コンテナ・レジストリ内のイメージをスキャンするには、脆弱性スキャン・サービスにコンテナ・レジストリからイメージをプルする権限を付与する必要もあります。
例:
-
脆弱性スキャン・サービスおよびグループ
SecurityAdminsのユーザーが、テナンシ全体のすべてのコンテナ・イメージをスキャンできるようにします:Allow group SecurityAdmins to manage vss-family in tenancy Allow service vulnerability-scanning-service to read repos in tenancy Allow service vulnerability-scanning-service to read compartments in tenancy -
脆弱性スキャン・サービスおよびグループ
SecurityAdminsのユーザーが、コンパートメントSalesApps内のコンテナ・イメージをスキャンできるようにします:Allow group SecurityAdmins to manage vss-family in compartment SalesApps Allow service vulnerability-scanning-service to read repos in compartment SalesApps Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
詳細は、コンテナ・レジストリのポリシー・リファレンスを参照してください。