[发明专利]利用可传递标签的角色可达性分析

说明书

公开用于利用可传递标签进行角色可达性分析的方法、系统和计算机可读介质。访问控制分析器确定包括多个节点和一个或多个边的图。所述节点表示托管资源的提供商网络中的角色。所述角色与准许或拒绝对单独资源的访问的访问控制策略相关联。所述访问控制策略中的一个或多个访问控制策略(至少部分地)基于一个或多个键‑值属性准许或拒绝访问。所述访问控制分析器(至少部分地)基于对所述图的角色可达性分析确定针对所述一个或多个属性的特定状态第一角色是否可使用一个或多个角色担任步骤担任第二角色。所述一个或多个属性可包括在所述一个或多个角色担任步骤期间持续存在的一个或多个可传递属性。

背景技术

许多公司和其他组织运营将多个计算系统互连以支持其操作的计算机网络，诸如其中计算系统位于同一位置(例如，作为本地网络的一部分)或替代地位于多个不同的地理位置(例如，通过一个或多个专用或公共中间网络连接)。例如，容纳大量互连计算系统的分布式系统已经变得不足为奇。此类分布式系统可向与客户端交互的服务器提供后端服务。此类分布式系统还可包括由实体运营以向客户提供计算资源的数据中心。一些数据中心运营商为各种客户所拥有的硬件提供网络访问、电力和安全安装设施，而其他数据中心运营商提供还包括可供其客户使用的硬件资源的“全面服务”设施。随着分布式系统的规模和范围的增加，预配、实施和管理资源的任务已经变得越来越复杂。

分布式系统可向远程客户端提供对各种服务的访问权，所述各种服务主要在分布式系统内实现并且可通过网络诸如互联网访问。此类系统的示例包括在线商家、互联网服务提供商、公司网络、云计算服务、基于web的托管服务等。分布式系统可使用适当权限来对用户访问系统资源的安全性加以高度重视。资源所有者和资源管理员通常使用此类访问控制策略来控制用户对计算资源的访问，以便支持资源所有者、管理员和用户的要求。定义和维护用户角色、权限或策略可变得越来越复杂，尤其是随着系统的大小和/或复杂性或计算机系统用户数量的增加。

附图说明

图1示出根据一些实施方案的用于利用可传递标签进行角色可达性分析的示例性系统环境。

图2示出根据一些实施方案的可用于利用可传递标签进行角色可达性分析的权限方案的示例。

图3示出根据一些实施方案的可用于利用可传递标签进行角色可达性分析的角色可达性图的示例。

图4示出根据一些实施方案的利用可传递标签的角色担任步骤的示例。

图5是示出根据一些实施方案的用于利用可传递标签进行角色可达性分析的方法的流程图。

图6是示出根据一些实施方案的用于利用可传递标签进行角色可达性分析的方法的其他方面的流程图。

图7是示出根据一些实施方案的用于使用策略补集进行角色可达性分析的方法的流程图。

图8示出根据一些实施方案的用于利用可传递标签进行角色可达性分析的示例性系统环境的其他方面，包括响应于分析两个安全策略的等效性的请求而生成的等效性结果。

图9示出可在一些实施方案中使用的示例性计算设备。

虽然本文中通过对若干实施方案和说明图式举例来描述实施方案，但本领域技术人员将认识到，实施方案不限于所描述实施方案或图式。应理解，图式和其详述并非意在将实施方案限于所公开的特定形式，而是相反地，意在涵盖落在如由所附权利要求书限定的精神和范围内的所有修改、等效物和替代物。本文中使用的标题仅用于组织目的，并且并不意图用于限制说明书或权利要求的范围。如贯穿本申请所使用，词语“可以”是以许可意义(即意指“具有某种潜在性”)来使用，而不是以强制意义(即意指“必须”)来使用。类似地，词语“包括(include/including/includes)”意指“包括但不限于”。

具体实施方式