[发明专利]资源访问方法、装置及电子设备

说明书

本申请提供了一种资源访问方法、装置及电子设备，其中，方法应用于资源服务器，资源服务器中存储有IAM角色与授信账号的对应关系；对应关系包括第一租户为第二租户配置的目标IAM角色和目标授信账号之间的对应关系，目标授信账号为第二租户的账号中有权限访问第一租户的云资源的账号；方法包括：接收第二租户的资源访问请求；资源访问请求中携带有目标授信账号的标识；基于资源访问请求及对应关系，获取目标IAM角色的临时访问密钥；临时访问密钥具有有效时长；将临时访问密钥发送给第二租户，以使第二租户通过临时访问密钥访问并访问第一租户对应的云资源。本申请能够提高资源访问的安全性。

技术领域

本申请涉及云服务技术领域，尤其是涉及一种资源访问方法、装置及电子设备。

背景技术

在现有的资源管理应用场景中，如果第一租户想让第二租户对自己的资源进行代维护，第一租户需要首先创建一个子用户，并且给子用户创建对应的AK/SK(Access KeyID/Secret Access Key，访问密钥ID/与访问密钥ID结合使用的密钥，简称访问密钥)，然后把子用户的访问密钥提供给第二租户，这样第二租户就可以使用该AK/SK编程调用OpenAPI对第一租户的云资源进行管理和控制。

然而上述方式中，子用户的访问密钥是长期有效的，一旦泄露，存在安全问题，而且一旦第二租户的员工有人员变动，第二租户就需要找第一租户更新子用户的访问密钥，操作繁琐。

发明内容

本申请的目的在于提供一种资源访问方法、装置及电子设备，在第二租户有人员变动的情况下，不需要第一租户进行任何操作，即可保证资源访问的安全性。

第一方面，本申请实施例提供一种资源访问方法，方法应用于资源服务器，资源服务器中存储有IAM角色与授信账号的对应关系；对应关系包括第一租户为第二租户配置的目标IAM角色和目标授信账号之间的对应关系，目标授信账号为第二租户的账号中有权限访问第一租户的云资源的账号；方法包括：接收第二租户的资源访问请求；资源访问请求中携带有目标授信账号的标识及其对应的目标访问密钥；目标访问密钥为长期有效访问密钥；基于资源访问请求及对应关系，获取目标IAM角色的临时访问密钥；临时访问密钥具有有效时长；将临时访问密钥发送给第二租户，以使第二租户通过临时访问密钥访问第一租户对应的云资源。

进一步的，上述基于资源访问请求及对应关系，获取目标IAM角色的临时访问密钥的步骤，包括：根据对应关系，查找目标授信账号的标识对应的目标IAM角色；通过目标访问密钥调用预设角色扮演API接口，获取目标IAM角色的临时访问密钥。

进一步的，在接收第二租户的资源访问请求的步骤之前，方法还包括：响应于针对第一租户的第一账号的新建角色操作，新建与第一账号关联的目标IAM角色；响应于针对目标IAM角色的目标授信账号添加操作，确定目标IAM角色与目标授信账号的对应关系；其中，目标授信账号包括第二租户的第二账号。

进一步的，上述方法还包括：响应于针对目标IAM角色的权限策略设置操作，为目标IAM角色及其对应的目标授信账号配置预设权限策略。

进一步的，上述资源服务器对应的客户端配置有角色创建页面；响应于针对第一租户的第一账号的新建角色操作，新建与第一账号关联的目标IAM角色的步骤，包括：响应于针对角色创建页面中第一账号的预设操作，创建与第一账号关联的目标IAM角色；其中，预设操作包括以下之一：账号选择操作和角色名称的编辑操作，账号添加操作和角色名称的编辑操作。

进一步的，上述角色创建页面中还设置有授信账号输入框；响应于针对目标IAM角色的目标授信账号添加操作，确定目标IAM角色与授信账号的对应关系的步骤，包括：响应于针对授信账号输入框的第二账号的输入操作，将第二账号作为目标IAM角色的目标授信账号，得到目标IAM角色与目标授信账号的对应关系。