Oracle Cloud Infrastructureドキュメント

コンピュート・スキャン・ターゲットに必要なIAMポリシー

Oracle Cloud Infrastructureを使用するには、管理者によって書き込まれたポリシー(IAM)で、コンソール、またはREST APIをSDK、CLIまたはその他のツールとともに使用しているかどうかにかかわらず、必要なタイプのアクセス権が付与されている必要があります。

ヒント

アクションを実行しようとして、権限がないか認可されていない場合のメッセージが表示された場合は、付与されているアクセス権のタイプおよび作業するコンパートメントを管理者に確認してください。

たとえば、グループSecurityAdminsのユーザーが、コンパートメントSalesApps内のすべての脆弱性スキャン・リソースを作成、更新および削除できるようにするには:

Allow group SecurityAdmins to manage vss-family in compartment SalesApps
重要

エージェントベースのQualysポリシーを設定する場合: まずエージェントベースのStandardポリシーを設定し、次にエージェントベースのQualysポリシーを設定します。

エージェントベースのStandardポリシー

VSS OCIRコンテナ・イメージ・スキャンのリポジトリの読取り

グループ内のユーザーがVSS OCIRコンテナ・イメージ・スキャンのリポジトリを読み取れるようにするには: 

Allow group VSSAdmins to read repos in tenancy

Oracle Cloud Agentのデプロイ

エージェントベースのスキャンをレシピで有効にする場合は、脆弱性スキャン・サービスOracle Cloud Agentをターゲット・コンピュート・インスタンスにデプロイする権限を付与する必要があります。

VNIC (仮想ネットワーク・インタフェース・カード) を確認します

The Vulnerability Scanning service must also be able to read the VNIC (virtual network interface card)  on your target Compute instances.

たとえば、テナンシ全体のすべてのコンピュート・インスタンスに対してこの権限を付与するには:

Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

特定のコンパートメント内のすべてのコンピュート・インスタンスにこの権限を付与するには:

Allow service vulnerability-scanning-service to manage instances in compartment <compartment_name>
Allow service vulnerability-scanning-service to read compartments in compartment <compartment_name>
Allow service vulnerability-scanning-service to read vnics in compartment <compartment_name>
Allow service vulnerability-scanning-service to read vnic-attachments in compartment <compartment_name>

VNICは、コンピュート・インスタンスとは異なるコンパートメントに存在する可能性があります。コンピュート・インスタンスのコンパートメントと同様に、テナンシ全体またはVNICが存在する特定のコンパートメントにVNIC権限を付与します:

Allow service vulnerability-scanning-service to read vnics in compartment <vnic_compartment_name>
Allow service vulnerability-scanning-service to read vnic-attachments in compartment <vnic_compartment_name>

エージェントベースのQualysポリシー

前提条件:
  • エージェントベースのQualysポリシーの設定。
  • スキャンするインスタンスの動的グループを作成します。動的グループの管理を参照してください。これらのルールのいずれかで定義された条件を満たすインスタンスが動的グループに含まれます。例: 
    All {instance.compartment.id = <compartment_ocid>}
    ノート

    テナンシ全体を指定できます。

シークレットおよびQualysから送り返されたデータへの動的グループ・アクセス権の付与

レシピでQualysエージェントベースのスキャンを使用するには、動的グループがシークレットにアクセスし、Qualysから返されたデータにアクセスする権限を付与するポリシーを記述します。

動的グループにシークレットへのアクセス権限を付与するには: 

Allow dynamic-group <dynamic_group_name> to read vaults in tenancy
Allow dynamic-group <dynamic_group_name> to read keys in tenancy
Allow dynamic-group <dynamic_group_name> to read secret-family in tenancy

Qualysから送り返されたデータにアクセスするには:

Define tenancy ocivssprod as ocid1.tenancy.oc1..aaaaaaaa6zt5ejxod5pgthsq4apr5z2uzde7dmbpduc5ua3mic4zv3g5ttma 
Endorse dynamic-group <dynamic_group_name> to read objects in tenancy ocivssprod

詳細および例は、次を参照してください: