评估 Red Hat OpenShift on IBM Cloud 集群的合规性
自 2025 年 7 月 17 日起,您不能在本产品的此版本中创建新实例。 Security and Compliance Center Workload Protection 的更新体验中提供了所有功能。 更多信息,请参阅 过渡文档。
通过通过 Security and Compliance Center使用 OpenShift 合规性操作程序 (OSCO),您可以运行扫描以验证一组控件 (也称为概要文件) 的合规性级别。 在此场景中,您将集群配置为能够运行 OSCO 扫描。
准备工作
开始使用本教程之前,请确保您具备以下先决条件:
-
IBM Cloud 帐户
-
Red Hat OpenShift on IBM Cloud 集群
-
必需的许可权:
所需用户权限 服务 必需的角色 原因 Security and Compliance Center 合规性管理 需要启用服务到服务授权
要查看此角色,必须为您分配服务的管理员角色Red Hat OpenShift on IBM Cloud 管理者 安装 OSCO 所需的
启用授权
要确保服务可以相互交谈,请在 Security and Compliance Center 和 Kubernetes Service之间创建服务到服务授权。 要创建此策略,您必须具有 Security and Compliance Center 服务的管理员平台角色。
- 在 IBM Cloud 控制台中,转至 管理> 访问权 (IAM),然后选择 授权。
- 单击创建。
- 如果您在企业帐户中工作,请选择将其中部署了 OSCO 的集群作为 源 帐户的帐户。
- 在 源 下拉列表中选择 Security and Compliance Center,然后选择 所有资源 作为作用域。
- 在 目标 下拉列表中选择 Kubernetes Service。 (可选) 您可以通过选择要作为目标的特定资源来缩小焦点。
- 选择 平台 访问权作为 合规性管理,然后单击 授权。
如果要扫描 Satellite 资源,那么还必须 对 Satellite启用授权。
安装 OSCO
必须先将 OSCO 安装到集群中,然后才能开始评估资源。 有关安装它的帮助,请参阅 文档。 部署 OSCO 时,将自动安装预定义概要文件的捆绑软件,可供您扫描资源。 在下一部分中,选择要使用的概要文件。
扫描资源
要扫描资源,请在要评估的资源与要用于运行评估的概要文件之间创建附件。 要创建附件,可以使用以下步骤。
-
在 UI 的 个人档案 部分中,选择 IBM Cloud Red Hat OpenShift Kubernetes OCP4。 将打开详细信息页面。
(可选) 您可以使用 IBM Cloud Red Hat OpenShift Kubernetes OCP4 概要文件来创建具有部分控件的定制概要文件。
-
在“附件”选项卡中,单击“创建”。
-
通过选择 作用域来确定资源的目标。 (可选) 您可以选择排除所选作用域的部分,以确保扫描中不包含这些部分。
-
单击下一步。
-
除非概要文件包含其他控件,否则可以通过单击 下一步来跳过 参数 选项卡。
-
将 启用扫描 切换到 开启 以确保扫描运行。
-
选择要评估资源的频率。 选项包括 每天,每 7 天和 每 30 天。
-
(可选) 您可以启用通知。
-
单击下一步。 查看您的选择,然后单击“创建”。
后续步骤
扫描完成后,结果将在 Security and Compliance Center 仪表板中可用。 请务必在几个小时后再进行检查,以查看结果返回的内容。