[发明专利]利用可传递标签的角色可达性分析

权利要求书

1.一种系统，其包括：

访问控制分析器，所述访问控制分析器包括一个或多个处理器和一个或多个存储器，所述一个或多个存储器用于存储计算机可执行指令，所述计算机可执行指令当被执行时致使所述一个或多个处理器：

确定包括多个节点和一个或多个有向边的图，其中所述节点表示托管多个服务和资源的提供商网络中的多个角色，其中

所述节点包括表示第一角色的第一节点和表示第二角色的第二节点，其中所述角色与准许或拒绝对所述多个服务和资源中的单独服务和资源的访问的多个访问控制策略相关联，并且其中所述访问控制策略中的一个或多个访问控制策略至少部分地基于一个或多个键-值标签准许或拒绝访问；并且

至少部分地基于对所述图的角色可达性分析，确定针对所述一个或多个键-值标签的特定状态所述第一角色是否能够使用一个或多个角色担任步骤担任所述第二角色，其中所述角色担任步骤中的单独角色担任步骤在角色会话期间提供临时访问，并且其中所述一个或多个键-值标签包括在所述一个或多个角色担任步骤期间持续存在的一个或多个可传递标签。

2.如权利要求1所述的系统，其中如果所述第一角色提供与跟所述第二角色相关联的条件匹配的会话标签，则所述访问控制策略允许所述第一角色担任所述第二角色。

3.如权利要求2所述的系统，其中与所述第二角色相关联的所述条件包括键的值的一个或多个通配符。

4.如权利要求1至3中任一项所述的系统，其中所述图通过以下方式来确定：至少部分地基于其键与对应条件在所述访问控制策略中显式地指示的所述键-值标签的集合，或者通过其值不受限制或部分受限制的指定不足的键-值标签，来寻找所述图中的特定节点的一个或多个邻居。

5.一种方法，其包括：

通过访问控制分析器确定包括多个节点和一个或多个边的图，其中所述节点表示托管多个资源的提供商网络中的多个角色，其中所述节点包括表示第一角色的第一节点和表示第二角色的第二节点，其中所述角色与准许或拒绝对所述多个资源中的单独资源的访问的多个访问控制策略相关联，并且其中所述访问控制策略中的一个或多个访问控制策略至少部分地基于一个或多个属性准许或拒绝访问；以及

通过所述访问控制分析器至少部分地基于对所述图的角色可达性分析确定针对所述一个或多个属性的特定状态所述第一角色是否能够使用一个或多个角色担任步骤担任所述第二角色，并且其中所述一个或多个属性包括在所述一个或多个角色担任步骤期间持续存在的一个或多个可传递属性。

6.如权利要求5所述的方法，其中如果所述第一角色提供与跟所述第二角色相关联的条件匹配的会话属性，则所述访问控制策略允许所述第一角色担任所述第二角色。

7.如权利要求6所述的方法，其中与所述第二角色相关联的所述条件包括键的值的一个或多个通配符。

8.如权利要求5至7中任一项所述的方法，其还包括：

聚集所述一个或多个属性的一个或多个边界条件，其中所述一个或多个边界条件由所述访问控制策略中与所述一个或多个角色担任步骤相关联的一个或多个访问控制策略指示。

9.如权利要求5至8中任一项所述的方法，其中至少部分地基于其键与对应条件在所述访问控制策略中显式地指示的所述属性的集合来确定所述图中的特定节点的一个或多个邻居。

10.如权利要求5至9中任一项所述的方法，至少部分地基于其值不受限制或部分受限制的指定不足的属性来确定所述图中的特定节点的一个或多个邻居。

11.如权利要求5至10中任一项所述的方法，其中所述第一角色在所述提供商网络的第一账户中，并且其中所述第二角色在所述提供商网络的第二账户中。