[发明专利]管理对具有会话特定属性的基于云的资源的权限

说明书

本发明描述用于管理对具有会话特定属性的基于云的资源的权限的技术。在所承担的角色下接收创建第一会话以准许访问提供商网络的资源的第一请求。基于对与所述角色相关联的规则的评估而准许所述第一请求。生成会话数据，所述会话数据包括与所述第一请求包括在一起的用户指定属性。接收利用由所述提供商网络托管的资源执行行动的第二请求。至少部分地基于所述第二请求而从所述会话数据获得所述用户指定属性。基于对具有所述用户指定属性的另一规则的评估而准许所述第二请求。

发明背景

所有类型的事物皆经常面临计算安全挑战，例如管理谁能访问何种内容。举例来说，特定用户(例如用户、应用等)可以访问特定资源(例如，计算机、应用、数据库等)但不能访问其他资源。信息技术(“IT”)人员经常管理访问控制。随着组织的大小和复杂性增大，管理访问控制可能变成重要且复杂的事情。用户加入及/或离开组织、在项目或团队之间移动、部署软件应用等皆会创建不断改变的环境，且典型的手动访问管理方法经常无法缩放。基于云计算的兴起进一步加剧了访问控制的复杂性—现在，IT人员需要管理对他们自己企业的计算资源以及对基于云的计算资源的访问控制。

附图说明

将参考以下图式描述根据本公开的各种实施方案。

图1是图解说明根据一些实施方案的管理对具有会话特定属性的基于云的资源的权限的示例性环境的图。

图2是根据一些实施方案的示例性角色信任策略。

图3是根据一些实施方案的另一示例性角色信任策略。

图4是根据一些实施方案的示例性角色权限策略。

图5是图解说明根据一些实施方案的用于管理会话特定属性的另一技术的图。

图6是图解说明根据一些实施方案的跨越多个角色的持久会话特定标记的图。

图7是图解说明根据一些实施方案的用于管理对具有会话特定属性的基于云的资源的权限的方法的操作的流程图。

图8图解说明根据一些实施方案的提供商网络环境的例子。

图9是根据一些实施方案的为客户提供存储服务和硬件虚拟化服务的例示性提供商网络的框图。

图10是图解说明可以在一些实施方案中使用的例示性计算机系统的框图。

具体实施方式

本公开涉及用于管理对具有会话特定属性的基于云的资源的权限的方法、设备、系统和非暂时性计算机可读存储介质。本文中所述的技术提供一种较简单的方式来通过依靠做出访问请求的实体的属性及请求访问的资源的属性来规模化地管理权限。先前，管理组织中的大数目的用户对基于云的资源的细粒度的权限颇具挑战性。实体可以承担一个角色来访问所述角色所准许的各种资源。举例来说，软件开发者可以承担开发者角色来访问用以开发且部署软件应用的基于云的计算资源。为了定制个别用户的权限，IT人员(例如管理员)被迫创建多个角色。当管理员为其组织中的每一用户皆创建一个角色时，最终会存在许多角色因而增大权限管理的复杂性。或者，当每一群组(例如，组织群组、项目群组等)使用一个角色时，作为多个群组中的一部分的用户必须在其执行不同的任务时承担不同的角色。这非常耗时且在使用基于云的资源时会产生摩擦，当用户同时进行多个项目时尤其如此。另外，回溯到个别用户的跟踪活动需要多个步骤。举例来说，尝试确定何人执行某一行动的管理员可能必须浏览日志来查找所述行动，识别发生所述活动的会话，搜索为所述会话而承担的角色，且找到哪一群组与所述角色相符。此致使安全管理员难以确定何人执行行动。