[发明专利]访问控制方法、装置和设备

说明书

本公开的实施例提供了访问控制方法、设备、装置、存储介质和程序产品。在访问控制方法中，确定应用于云环境中的服务的访问控制规则。访问控制规则指定云环境中被允许访问该服务的源对象。确定云环境中部署有该服务的目标实例，并且在目标实例启用该访问控制规则。这样，本公开的实施例实现了分布式访问控制。以此方式，简化了安全策略配置，并且使安全策略的故障半径可控，从而可以提升安全策略的运维效率。

技术领域

本公开的实施例主要涉及计算机技术领域，尤其是云计算领域。更具体地，本公开的实施例涉及用于云环境中的访问控制方法、装置、设备、计算机可读存储介质以及计算机程序产品。

背景技术

云技术用于实现云环境中托管的服务，是计算机领域中发展最快的技术之一。云计算可以向消费方提供诸如网络、网络带宽、服务器、存储、应用等资源作为服务。以公有云为例，器涉及众多数据中心和众多服务。一些服务之间可能具有依赖性，因此需要交互。为了保证服务的网络安全，需要针对不同服务的安全策略以进行访问控制。当前，这样的安全策略通常由集中式防火墙来实现。然而，集中式防火墙具有诸多问题，例如可靠性低、易用性不高、成本高等。

发明内容

本公开的实施例提供了一种用于访问控制的方案。

在本公开的第一方面，提供了一种访问控制方法。该方法包括：确定应用于云环境中的服务的访问控制规则，访问控制规则指定云环境中被允许访问服务的源对象。方法还包括：确定云环境中部署有服务的目标实例。方法还包括：在目标实例启用访问控制规则。

以此方式，实现了以服务为保护对象的、在实例处的分布式访问控制。这种方式简化了安全策略配置，并且使安全策略的故障半径可控，从而可以提升安全策略的运维效率。因此，本公开的实施例能够实现云环境中可靠且安全的访问控制。

在第一方面的一些实施例中，确定应用于服务的访问控制规则包括：确定服务所属于的安全组的访问控制规则，作为应用于服务的访问控制规则。利用安全组，可以统一管理共享相同的访问控制规则的服务。以此方式，可以简化安全策略管理，并提高安全策略的运维效率。

在第一方面的一些实施例中，服务包括云服务、微服务组、微服务或组件中的至少一项。在这种实施例中，允许将不同层级中的服务作为保护对象。以此方式，可以提高安全策略管理的灵活性。

在第一方面的一些实施例中，方法还包括：如果增加部署有服务的实例，在所增加的实例启用访问控制规则。在这种实施例中，响应于服务的扩容，可以自动在所增加的实例启用访问控制规则。以此方式，简化了安全策略的人工配置，从而有助于提高安全策略的运维效率。

在第一方面的一些实施例中，方法还包括：如果目标实例不再部署服务，在目标实例禁用或移除访问控制规则。在这种实施例中，响应于服务的缩容，可以自动在所减少的实例禁用或移除访问控制规则。以此方式，简化了安全策略的人工配置，从而有助于提高安全策略的运维效率。

在第一方面的一些实施例中，方法还包括：如果目标实例不再部署服务，将目标实例与访问控制规则解除关联。例如，可以从安全组移除目标实例。在这种实施例中，响应于服务的缩容，可以自动调整安全策略。以此方式，简化了安全策略的人工配置，从而有助于提高安全策略的运维效率。

在第一方面的一些实施例中，确定访问控制规则包括：基于用户输入创建安全组，安全组包括服务和应用于服务的访问控制规则。利用安全组，用户可以统一管理共享相同的访问控制规则的服务。以此方式，可以简化安全策略管理，并提高安全策略的运维效率。

在第一方面的一些实施例中，方法还包括：基于另一用户输入，向安全组添加一个或多个服务，或从安全组移除一个或多个服务。以此方式，可以简单地通过服务的添加或移除，来管理目标实例处的访问控制规则。