JP2015204026A - Resource use permission system and resource use permission method - Google Patents
Resource use permission system and resource use permission method Download PDFInfo
- Publication number
- JP2015204026A JP2015204026A JP2014083760A JP2014083760A JP2015204026A JP 2015204026 A JP2015204026 A JP 2015204026A JP 2014083760 A JP2014083760 A JP 2014083760A JP 2014083760 A JP2014083760 A JP 2014083760A JP 2015204026 A JP2015204026 A JP 2015204026A
- Authority
- JP
- Japan
- Prior art keywords
- resource
- requested
- allocated
- terminal
- resources
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
本発明は、資源使用許可システム及び資源使用許可方法に関する。 The present invention relates to a resource use permission system and a resource use permission method.
従来、クラウドサービスでは、API(Application Programming Interface)と呼ばれる、外部からの操作要求を受け付ける窓口を設けることが一般的である。APIは、クラウドサービスが提供する様々な資源と、それに対する処理に応じて設けられている。例えば、APIは、「仮想マシンの新規作成」や「仮想マシンの削除」、「仮想ディスクの作成」といった処理を受け付ける。 2. Description of the Related Art Conventionally, in cloud services, it is common to provide a window called API (Application Programming Interface) that accepts external operation requests. The API is provided according to various resources provided by the cloud service and processing for the resources. For example, the API accepts processes such as “create new virtual machine”, “delete virtual machine”, and “create virtual disk”.
一般に、これらの資源は使用にあたって料金が発生すること、またこれらの資源を使用している責任主体を明確化する必要が有る。このため、ユーザは、APIを自由に使用できるわけではなく、認証を得たユーザが自身の責任の範囲で認められた(認可された)機能のみを使用する。 In general, there is a charge for using these resources, and the responsible entity that uses these resources needs to be clarified. For this reason, the user cannot use the API freely, and uses only the function for which the authenticated user is recognized (authorized) within the scope of his / her responsibility.
これまで、クラウドサービスではユーザ単位、もしくはユーザが所属するグループ、あるいはロールとよばれる属性単位でAPI使用の認可が行われてきた。また、認可される機能は、資源およびその集合に対する操作の単位で権限の可否が定義される。 Until now, in cloud services, API use has been authorized in user units, groups to which users belong, or attribute units called roles. In addition, for authorized functions, whether or not authority is permitted is defined in units of operations for resources and their sets.
近年では、このAPIを使用することにより、クラウドサービス上で行う様々な操作をプログラムによって自動的に行うことが一般化している。これらの操作には、例えば、仮想マシンを用いたテスト工程がある。仮想マシンを用いたテスト工程では、開発中のアプリケーションをテストする際に、「仮想マシンの作成」を自動で呼び出すことでテスト環境を構築し、テストが完了したら「仮想マシンの削除」を自動で呼び出すことで不要になったテスト環境を破棄する。このように必要な時に資源を取得し、不要になったら破棄することにより、時間単位で課金が行われるクラウドサービスをコスト効率よく使用することが可能となる。 In recent years, it has become common to automatically perform various operations performed on a cloud service by a program by using this API. These operations include, for example, a test process using a virtual machine. In the test process using a virtual machine, when testing an application under development, a test environment is created by automatically calling "Create Virtual Machine". When the test is completed, "Delete Virtual Machine" is automatically executed. Discard the test environment that is no longer needed by calling. By acquiring resources when necessary and discarding them when they are no longer needed, it is possible to cost-effectively use cloud services that are charged on an hourly basis.
このような仮想マシンを用いたテスト工程は、複雑かつ高度な処理を伴う。このため、そのシステムの提供自体がサービスとなりうる。例えば、テストサービス提供者は、自身の認証・認可にもとづき、自身が責任を負う資源を使用してサービスを提供する。つまり、テストサービス提供者は、仮想マシンをはじめとする資源の使用料をクラウドサービス提供者に支払い、ユーザからは自身が支払った資源使用料にテストサービス自体の利用料を付加した額を徴収することで利益を得る。 The test process using such a virtual machine involves complicated and advanced processing. For this reason, the provision of the system itself can be a service. For example, a test service provider provides a service using resources for which the test service provider is responsible based on its own authentication and authorization. In other words, the test service provider pays the usage fee for resources such as virtual machines to the cloud service provider, and the user collects an amount obtained by adding the usage fee for the test service itself to the resource usage fee paid by the user. Profit.
また、テストサービス提供者は、ユーザから使用を許可された資源を用いて、このユーザが責任を負う資源を代理で使用する場合がある。言い換えると、ユーザがテストサービス提供者に権限を委譲し、テストサービス提供者は、ユーザから委譲された権限でユーザが責任を負う資源を使用する場合がある。この場合、ユーザは、クラウドサービス自体の資源使用料をクラウドサービス提供者に支払い、テストサービス提供者にはテストサービスの使用料のみを支払う。なお、かかる場合、テストサービス提供者は、クラウドサービス提供者への支払いを行わない。 In addition, the test service provider may use a resource for which the user is responsible, using a resource permitted to be used by the user. In other words, the user may delegate authority to the test service provider, and the test service provider may use resources that the user is responsible for with authority delegated by the user. In this case, the user pays the resource usage fee of the cloud service itself to the cloud service provider, and pays only the usage fee of the test service to the test service provider. In such a case, the test service provider does not pay the cloud service provider.
しかしながら、上記の従来技術では、資源量を設定して第三者へ使用を許可することができないという問題がある。 However, the above-described conventional technology has a problem that it is not possible to set a resource amount and permit the use to a third party.
具体的には、資源の使用を第三者に許可するための技術としては、ウェブ上で広く使用されているOAtuhが挙げられる。OAuthはRFC(Request For Comment)として標準化が行われており、Google(登録商標)やFacebook(登録商標)を始めとしたサイトで使用されている。OAuth 2.0ではScopeという概念が導入されており、使用を許可する単位を指定することが出来る。一方でOAuthにおけるScopeは許可か不許可の2値(ブール値)しか取ることが出来ない。すなわち、資源量を設定して第三者へ使用を許可することが出来ない。 Specifically, a technique for allowing a third party to use a resource includes OAtuh, which is widely used on the web. OAuth has been standardized as RFC (Request For Comment) and is used in sites such as Google (registered trademark) and Facebook (registered trademark). In OAuth 2.0, the concept of Scope is introduced, and a unit that can be used can be specified. On the other hand, Scope in OAuth can only take binary values (boolean values) that are permitted or not permitted. In other words, it is impossible to set the resource amount and permit the use to a third party.
また、既存のクラウドサービスであるAWS(Amazon Web Service)では、IAM(Identity and Access Management)と呼ばれるアクセス制御構造が提供されており、第三者に部分的な使用を許可することが可能である。しかし、IAMでも使用の許可はシステムもしくはオブジェクトに対する操作の可否を単位として行われる。すなわち、資源量を設定して第三者へ使用を許可することが出来ない。 In addition, AWS (Amazon Web Service), an existing cloud service, provides an access control structure called IAM (Identity and Access Management), which allows third parties to partially use it. . However, even in the IAM, permission for use is performed in units of whether or not operations can be performed on the system or object. In other words, it is impossible to set the resource amount and permit the use to a third party.
開示の技術は、上述に鑑みてなされたものであって、資源量を設定して第三者へ使用を許可することを目的とする。 The disclosed technology has been made in view of the above, and has an object of setting a resource amount and permitting a third party to use it.
本願の開示する資源使用許可システムは、資源を管理する資源管理装置と、資源管理装置が管理する資源のうち認可された資源を使用する第1の端末と、認可された資源のうち少なくとも一部の使用を第1の端末から許可される第2の端末とを有する。第2の端末は、第1の端末により資源の一部の使用を許可された場合、資源の種別と資源の数量とを指定して、資源の割り当てを資源管理装置に要求する要求部を備える。資源管理装置は、判定部と、割り当て部とを備える。判定部は、資源の種別と割り当て可能な資源の数量とを対応付けたポリシー情報と、既に割り当てた資源の種別及び資源の数量を示す資源管理情報とを参照して、要求された資源の割り当てが可能であるか否かを判定する。割り当て部は、判定部によって要求された資源の割り当てが可能であると判定された場合には、要求された資源を第2の端末に割り当て、判定部によって要求された資源の割り当てが可能ではないと判定され、かつ、一定期間のみ割り当てが認められる資源の数量の所定の上限値以下である場合には、要求された資源を一定期間のみ第2の端末に割り当てる。 A resource use permission system disclosed in the present application includes a resource management device that manages resources, a first terminal that uses an authorized resource among resources managed by the resource management device, and at least a part of the authorized resources. And a second terminal that is permitted from the first terminal. The second terminal includes a request unit that specifies a resource type and a resource quantity and requests the resource management apparatus to allocate a resource when use of a part of the resource is permitted by the first terminal. . The resource management device includes a determination unit and an allocation unit. The determination unit refers to the policy information in which the resource type is associated with the assignable resource quantity, and the resource management information indicating the already assigned resource type and the resource quantity, and allocates the requested resource. It is determined whether or not it is possible. When it is determined that the resource requested by the determination unit can be allocated, the allocation unit allocates the requested resource to the second terminal, and the resource requested by the determination unit cannot be allocated. And if it is less than or equal to a predetermined upper limit value of the number of resources that can be allocated only for a certain period, the requested resource is allocated to the second terminal only for a certain period.
開示する資源使用許可システム及び資源使用許可方法の一つの態様によれば、資源量を設定して第三者へ使用を許可することができるという効果を奏する。 According to one aspect of the resource use permission system and the resource use permission method to be disclosed, there is an effect that the resource amount can be set and the use can be permitted to a third party.
以下に、開示する資源使用許可システム及び資源使用許可方法の実施形態について、図面に基づいて詳細に説明する。なお、本実施形態により開示する発明が限定されるものではない。 Hereinafter, embodiments of a resource use permission system and a resource use permission method disclosed will be described in detail based on the drawings. The invention disclosed by this embodiment is not limited.
(第1の実施形態)
図1は、第1の実施形態に係る資源使用許可システム1の構成例を示す図である。図1に示すように、資源使用許可システム1は、ユーザ端末10と、サービス提供者端末20と、資源管理装置100とが含まれる。
(First embodiment)
FIG. 1 is a diagram illustrating a configuration example of a resource
ユーザ端末10は、ユーザAにより操作される端末である。このユーザAは、資源管理装置100により提供されるクラウドサービスの契約者である。クラウドサービスとして提供される資源の種別には、例えば、仮想マシン、仮想ディスク、IP(Internet Protocol)アドレス、スナップショット、DNS(Domain Name System)などが含まれる。
The
また、ユーザAは、クラウドサービスを利用するにあたり、例えば、使用を許可する操作の主体に対応付けて、資源の種別及び数量の上限値を「ポリシー」として定義し、資源管理装置100に設定する。ここで、操作の主体は、クラウドサービス上の仮想マシンや仮想ディスクといった資源を取り扱う主体を示す。例えば、操作の主体には、「プロジェクト」、「サブプロジェクト」、「グループ」、「ロール」、「ユーザ」、「APIキー(「鍵」とも言う)」などが含まれる。なお、各操作の主体にはそれぞれ「ユーザ名」及び「パスワード」が認証情報として設定される。また、「APIキー」については、パスワードを設定しなくてもよいものとする。
Further, when using the cloud service, the user A defines, for example, the upper limit value of the resource type and quantity as a “policy” in association with the subject of the operation permitted to use, and sets it in the
サービス提供者端末20は、サービス提供者により操作される端末である。このサービス提供者は、例えば、ユーザの依頼に応じて、仮想マシンを用いたソフトウェアのテスト工程を実行する。なお、サービス提供者は、例えばサービス提供者が契約するクラウドサービスにおいてテスト工程を実行してもよく、或いは、ユーザから使用許可を得ることで、ユーザが契約するクラウドサービスにおいてテスト工程を実行してもよい。第1の実施形態では、サービス提供者は、ユーザAから使用許可を得ることで、ユーザAが契約するクラウドサービスにおいてテスト工程を実行するものとして説明する。
The
資源管理装置100は、仮想化環境を実現し、契約者にクラウドサービスを提供する。このため資源管理装置100には、サービスを利用するユーザ端末10やサービス提供者端末20が図示しないネットワークを介して接続される。
The
このように構成される資源使用許可システム1において、ユーザ端末10は、資源管理装置100に、例えば、APIキーAに対応付けて、使用を許可する資源の種別及び数量の上限値を設定する(ステップS1)。続いて、ユーザ端末10は、サービス提供者端末20に、仮想マシンを用いたテスト工程の実行を依頼する(ステップS2)。ここで、ユーザ端末10は、使用が許可された資源の種別及び数量の上限値が対応付けられたAPIキーAをサービス提供者端末20に受け渡す。
In the resource
そして、サービス提供者端末20は、ユーザ端末10によって使用を許可された資源の割り当てを資源管理装置100に要求する(ステップS3)。ここで、サービス提供者端末20は、APIキーAを用いて認証を行い、テスト工程の実行に用いる資源の種別と数量とを指定して資源の割り当てを要求する。かかる場合、資源管理装置100は、APIキーAによる認証を行う。そして、資源管理装置100は、認証に成功した場合には、指定された資源の割り当てを行うか否かを判定する。例えば、資源管理装置100は、資源の種別と割り当て可能な資源の数量とを対応付けたポリシー情報と、既に割り当てた資源の種別及び資源の数量を示す資源管理情報とを参照して、要求された資源の割り当て可能であるか否かを判定する。そして、資源管理装置100は、要求された資源の割り当てが可能であると判定した場合には、要求された資源をサービス提供者端末20に割り当てる。一方、資源管理装置100は、要求された資源の割り当てが可能ではないと判定し、かつ、一定期間のみ割り当てが認められる資源の数量の所定の上限値未満である場合には、要求された資源を一定期間のみサービス提供者端末20に割り当てる。
Then, the
次に、資源使用許可システム1が有する各装置の詳細について説明する。図2は、第1の実施形態に係る資源使用許可システム1の構成を示す機能ブロック図である。なお、図2に示すように、ユーザ端末10と、サービス提供者端末20と、資源管理装置100とは、ネットワーク2によって互いに通信可能に接続される。なお、図2では、ユーザ端末10と、サービス提供者端末20と、資源管理装置100とを図示したが、資源使用許可システム1に含まれるユーザ端末やサービス提供者端末の数は、図2に図示した数に限定されるものではない。また、ユーザ端末10のことを「第1の端末」とも称し、サービス提供者端末20のことを「第2の端末」とも称する場合がある。
Next, details of each device included in the resource
図2に示すように、ユーザ端末10は、入力部11と、出力部12と、通信制御部13と、記憶部14と、制御部15とを有する。入力部11は、ユーザ端末10の操作者から各種情報の入力操作を受付ける。例えば、入力部11は、使用を許可する操作の主体に対応付けて、資源の種別及び数量の上限値の設定をユーザAから受付ける。また、例えば、入力部11は、サービス提供者端末20への仮想マシンを用いたテスト工程の実行の依頼をユーザAから受付ける。ここで、入力部11は、使用を許可する操作の主体として例えば「APIキーA」の指定をユーザAから受付ける。出力部12は、各種情報を表示する表示デバイスであり、例えば液晶ディスプレイ等である。
As illustrated in FIG. 2, the
通信制御部13は、例えば、LANカードなどの通信インターフェースであり、サービス提供者端末20や資源管理装置100との間の各種データの送受信を制御する。記憶部14は、例えば、半導体メモリ素子又はハードディスクなどの記憶装置であり、ユーザ端末10が実行する各種処理に用いるデータなどを記憶する。
The communication control unit 13 is a communication interface such as a LAN card, for example, and controls transmission / reception of various data with the
制御部15は、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)などの電子回路であり、設定受付部15aと、依頼部15bとを有する。設定受付部15aは、使用を許可する操作の主体に対応付けて、資源の種別及び数量の上限値の設定をユーザAから受付けた場合に、受付けた「操作の主体」、「資源の種別」及び「数量の上限値」を資源管理装置100に設定させる。例えば、設定受付部15aは、ユーザAが使用する資源として仮想マシンの上限値を10台とする設定を受付けた場合、「操作の主体」として「ユーザA」、「資源の種別」として「仮想マシン」、「数量の上限値」として「10」を資源管理装置100に設定させる。同様に、設定受付部15aは、APIキーAが使用する資源として仮想マシンの上限値を10台とする設定を受付けた場合、「操作の主体」として「APIキーA」、「資源の種別」として「仮想マシン」、「数量の上限値」として「10」を資源管理装置100に設定させる。
The control unit 15 is, for example, an electronic circuit such as a CPU (Central Processing Unit) or an MPU (Micro Processing Unit), and includes a
依頼部15bは、サービス提供者端末20への仮想マシンを用いたテスト工程の実行の依頼をユーザAから受付けた場合、設定受付部15aにより設定された認証情報をサービス提供者端末20に対して引き渡すことで、サービス提供者端末20にテスト工程の実行を依頼する。例えば、依頼部15bは、認証情報として「APIキーA」をサービス提供者端末20に対して引き渡す。
When the
サービス提供者端末20は、通信制御部23と、記憶部24と、制御部25とを有する。通信制御部23は、例えば、LANカードなどの通信インターフェースであり、ユーザ端末10や資源管理装置100との間の各種データの送受信を制御する。記憶部24は、例えば、半導体メモリ素子又はハードディスクなどの記憶装置であり、サービス提供者端末20が実行する各種処理に用いるデータなどを記憶する。
The
制御部25は、例えば、CPUやMPUなどの電子回路であり、割り当て要求部25aを有する。割り当て要求部25aは、テスト工程の実行の依頼をユーザ端末10から受付けた場合、テスト工程の実行に用いる資源の割り当てを資源管理装置100に要求する。例えば、割り当て要求部25aは、ユーザ端末10から引き渡された認証情報と、要求する操作と、割り当てる資源の種別及び数量とを含んだ資源割り当て要求を生成し、資源管理装置100に送信する。
The
資源管理装置100は、通信制御部103と、記憶部104と、制御部108とを有する。通信制御部103は、例えば、LANカードなどの通信インターフェースであり、ユーザ端末10やサービス提供者端末20との間の各種データの送受信を制御する。記憶部104は、例えば、半導体メモリ素子又はハードディスクなどの記憶装置であり、資源管理装置100が実行する各種処理に用いるデータなどを記憶する。例えば、記憶部104は、操作可否管理DB(Data Base)105と、ポリシーDB106と、資源管理DB107とを有する。
The
操作可否管理DB105は、グループ管理テーブル105aと、デフォルトポリシー管理テーブル105bと、操作可否管理テーブル105cとを有し、操作の主体が、資源に対する操作を認可されているか否かを示す情報を記憶する。
The operation
グループ管理テーブル105aは、ユーザが属するグループを示す情報を記憶する。図3Aは、第1の実施形態に係るグループ管理テーブル105aが記憶するデータ構造の一例を示す図である。図3Aに示すように、グループ管理テーブル105aは、「ユーザ」と「グループ」とを対応付けた情報を記憶する。 The group management table 105a stores information indicating the group to which the user belongs. FIG. 3A is a diagram illustrating an example of a data structure stored in the group management table 105a according to the first embodiment. As illustrated in FIG. 3A, the group management table 105a stores information in which “user” and “group” are associated with each other.
ここで、グループ管理テーブル105aが記憶する「ユーザ」は、ユーザの識別子を示す。例えば、「ユーザ」には、「ユーザB」、「ユーザC」などのデータ値が格納される。また、グループ管理テーブル105aが記憶する「グループ」は、グループの識別子を示す。例えば、「グループ」には、「グループA」などのデータ値が格納される。一例をあげると、図3Aに示すグループ管理テーブル105aは、ユーザB及びユーザCがグループAに属していることを示す。 Here, “user” stored in the group management table 105a indicates a user identifier. For example, data values such as “user B” and “user C” are stored in “user”. The “group” stored in the group management table 105a indicates a group identifier. For example, data values such as “Group A” are stored in “Group”. As an example, the group management table 105a illustrated in FIG. 3A indicates that the user B and the user C belong to the group A.
デフォルトポリシー管理テーブル105bは、資源プールに対するデフォルト状態における操作の可否を示す情報を記憶する。図3Bは、第1の実施形態に係るデフォルトポリシー管理テーブル105bが記憶するデータ構造の一例を示す図である。図3Bに示すように、デフォルトポリシー管理テーブル105bは、「対象」と、「主体」と、「デフォルトポリシー」とを対応付けた情報を記憶する。 The default policy management table 105b stores information indicating whether or not the resource pool can be operated in the default state. FIG. 3B is a diagram illustrating an example of a data structure stored in the default policy management table 105b according to the first embodiment. As illustrated in FIG. 3B, the default policy management table 105b stores information in which “target”, “subject”, and “default policy” are associated with each other.
ここで、デフォルトポリシー管理テーブル105bが記憶する「対象」は、資源プールの識別子を示す。例えば、「対象」には、「資源プールA」、「資源プールB」などのデータ値が格納される。 Here, “target” stored in the default policy management table 105b indicates an identifier of the resource pool. For example, data values such as “resource pool A” and “resource pool B” are stored in “target”.
また、デフォルトポリシー管理テーブル105bが記憶する「主体」は、対象の操作権限を有する主体を示す。例えば、「主体」には、「ユーザA」、「グループA」などのデータ値が格納される。 The “subject” stored in the default policy management table 105b indicates a subject having the target operation authority. For example, data values such as “user A” and “group A” are stored in “subject”.
また、デフォルトポリシー管理テーブル105bが記憶する「デフォルトポリシー」は、操作の可否を示す。例えば、「デフォルトポリシー」には、デフォルト状態において操作を許可することを示す「許可」、デフォルト状態において操作を許可しないことを示す「不可」などのデータ値が格納される。 The “default policy” stored in the default policy management table 105b indicates whether or not an operation is possible. For example, the “default policy” stores data values such as “permitted” indicating that the operation is permitted in the default state, and “impossible” indicating that the operation is not permitted in the default state.
一例をあげると、図3Bに示すデフォルトポリシー管理テーブル105bは、資源プールAに対するユーザAの操作がデフォルト状態において許可されていることを示す。同様に、図3Bに示すデフォルトポリシー管理テーブル105bは、資源プールBに対するグループAの操作がデフォルト状態において許可されていないことを示す。 As an example, the default policy management table 105b illustrated in FIG. 3B indicates that the operation of the user A for the resource pool A is permitted in the default state. Similarly, the default policy management table 105b illustrated in FIG. 3B indicates that the group A operation on the resource pool B is not permitted in the default state.
操作可否管理テーブル105cは、操作の主体ごとに資源の種別に対する操作の可否を示す情報を記憶する。図3Cは、第1の実施形態に係る操作可否管理テーブル105cが記憶するデータ構造の一例を示す図である。図3Bに示すように、操作可否管理テーブル105cは、「ユーザ」と「資源種別」と「操作」と「可否」と「対象」とを対応付けた情報を記憶する。 The operation availability management table 105c stores information indicating availability of an operation for a resource type for each operation subject. FIG. 3C is a diagram illustrating an example of a data structure stored in the operation availability management table 105c according to the first embodiment. As illustrated in FIG. 3B, the operation availability management table 105c stores information in which “user”, “resource type”, “operation”, “possibility”, and “target” are associated with each other.
ここで、操作可否管理テーブル105cが記憶する「ユーザ」は、ユーザの識別子を示す。例えば、「ユーザ」には、「ユーザA」、「ユーザB」、「ユーザC」などのデータ値が格納される。また、操作可否管理テーブル105cが記憶する「資源種別」は、資源の種別を示す。例えば、「資源種別」には、「仮想ディスク」、「仮想マシン」などのデータ値が格納される。 Here, “user” stored in the operation availability management table 105c indicates a user identifier. For example, “user” stores data values such as “user A”, “user B”, and “user C”. The “resource type” stored in the operation availability management table 105c indicates the type of resource. For example, “resource type” stores data values such as “virtual disk” and “virtual machine”.
また、操作可否管理テーブル105cが記憶する「操作」は、資源種別に対する操作内容を示す。例えば、「操作」には、「作成」、「削除」などのデータ値が格納される。また、操作可否管理テーブル105cが記憶する「可否」は、操作の可否を示す。例えば「可否」には、操作を許可する「許可」、操作を許可しない「不可」などのデータ値が格納される。また、操作可否管理テーブル105cが記憶する「対象」は、資源プールの識別子を示す。例えば、「対象」には、「資源プールA」、「資源プールB」などのデータ値が格納される。 The “operation” stored in the operation availability management table 105c indicates the operation content for the resource type. For example, data values such as “create” and “delete” are stored in “operation”. “Permitted” stored in the operational availability management table 105c indicates whether an operation is possible. For example, “allowed” stores data values such as “permitted” permitting the operation and “impossible” not allowing the operation. The “target” stored in the operation availability management table 105c indicates an identifier of the resource pool. For example, data values such as “resource pool A” and “resource pool B” are stored in “target”.
一例をあげると、図3Cに示す操作可否管理テーブル105cは、デフォルト状態において資源プールAの操作が許可されているが、「ユーザA」は、この資源プールAを用いて、仮想ディスクを作成したり削除したりする操作を許可されていないことを示す。同様に、図3Cに示す操作可否管理テーブル105cは、デフォルト状態において資源プールBの操作が許可されていないが、「ユーザB」は、この資源プールBを用いた仮想マシンを作成したり削除したりする操作を許可されていることを示す。 As an example, in the operation availability management table 105c shown in FIG. 3C, the operation of the resource pool A is permitted in the default state, but the “user A” uses this resource pool A to create a virtual disk. Indicates that you are not authorized to delete or delete. Similarly, in the operation availability management table 105c shown in FIG. 3C, the operation of the resource pool B is not permitted in the default state, but the “user B” creates or deletes a virtual machine using the resource pool B. Indicates that you are allowed to
図2に戻る。ポリシーDB106は、クオータ管理テーブル106aと、逸脱時アクション管理テーブル106bとを有し、通常時及び一時的に資源の使用量が増加する逸脱時における、操作の主体に許可された資源の種別ごとの資源の数量を示す情報を記憶する。
Returning to FIG. The
クオータ管理テーブル106aは、操作の主体に許可された資源の種別ごとの使用量を示す情報を記憶する。図4Aは、第1の実施形態に係るクオータ管理テーブル106aが記憶するデータ構造の一例を示す図である。図4Aに示すように、クオータ管理テーブル106aは、「主体」と「資源種別」と「制限タイプ」と「値」と「一時オーバーコミット係数」と「一時オーバーコミット制限時間(分)」と「逸脱時アクションID」とを対応付けた情報を記憶する。 The quota management table 106a stores information indicating the usage amount for each type of resource permitted to the subject of the operation. FIG. 4A is a diagram illustrating an example of a data structure stored in the quota management table 106a according to the first embodiment. As shown in FIG. 4A, the quota management table 106a includes “subject”, “resource type”, “limit type”, “value”, “temporary overcommit factor”, “temporary overcommit limit time (minutes)”, and “ Information associated with “departure action ID” is stored.
ここで、クオータ管理テーブル106aが記憶する「主体」は、操作の主体となるユーザの識別子を示す。例えば、「主体」には、「ユーザA」、「APIキーA」、「サブプロジェクトA」などのデータ値が格納される。また、クオータ管理テーブル106aが記憶する「資源種別」は、資源の種別を示す。例えば、「資源種別」には、「仮想ディスク」、「仮想マシン」などのデータ値が格納される。 Here, the “subject” stored in the quota management table 106a indicates the identifier of the user who is the subject of the operation. For example, data values such as “user A”, “API key A”, and “subproject A” are stored in “subject”. The “resource type” stored in the quota management table 106a indicates the type of resource. For example, “resource type” stores data values such as “virtual disk” and “virtual machine”.
また、クオータ管理テーブル106aが記憶する「制限タイプ」は、資源の使用量の制限を示す。例えば、「制限タイプ」には、数量で上限値を制限することを示す「数量上限」などのデータ値が格納される。また、クオータ管理テーブル106aが記憶する「値」は、資源の使用量の数値を示す。例えば、「値」には、「10」などのデータ値が格納される。 The “restriction type” stored in the quota management table 106a indicates a restriction on the amount of resource used. For example, the “limit type” stores a data value such as “quantity upper limit” indicating that the upper limit is limited by quantity. The “value” stored in the quota management table 106a indicates a numerical value of the resource usage. For example, a data value such as “10” is stored in “value”.
また、クオータ管理テーブル106aが記憶する「一時オーバーコミット係数」は、一時的に資源の使用量が増加する逸脱時において、一定期間のみ割り当てが認められる資源の数量に対する係数を示す。例えば、「一時オーバーコミット係数」には、「2」、「3」などのデータ値が格納される。すなわち、「値」に「係数」を乗算した値は、一時的に資源の使用量が増加する逸脱時において、一定期間のみ割り当てが認められる資源の数量の所定の上限値を示す。 The “temporary overcommit coefficient” stored in the quota management table 106a indicates a coefficient with respect to the number of resources that can be allocated only for a certain period when the resource usage amount temporarily increases. For example, data values such as “2” and “3” are stored in the “temporary overcommit coefficient”. That is, a value obtained by multiplying “value” by “coefficient” indicates a predetermined upper limit value of the number of resources that are allowed to be allocated only for a certain period when the resource usage amount temporarily increases.
また、クオータ管理テーブル106aが記憶する「一時オーバーコミット制限時間(分)」は、一時的に資源の使用量が増加する逸脱時において、資源の割り当てを認める一定期間を示す。例えば、「一時オーバーコミット制限時間(分)」には、「60」、「10」、「30」などのデータ値が格納される。また、クオータ管理テーブル106aが記憶する「逸脱時アクションID」は、一時オーバーコミット制限時間を超過した場合に実行する処理の識別子を示す。例えば、「逸脱時アクションID」には、「1」、「1,2」、「1,3」などのデータ値が格納される。なお、「逸脱時アクションID」に対応付く処理については後述する。 The “temporary overcommit time limit (minutes)” stored in the quota management table 106a indicates a certain period of time during which a resource allocation is permitted when the resource usage amount temporarily increases. For example, data values such as “60”, “10”, and “30” are stored in “temporary overcommit time limit (minutes)”. The “departure action ID” stored in the quota management table 106a indicates an identifier of a process to be executed when the temporary overcommit time limit is exceeded. For example, data values such as “1”, “1,2”, “1,3” are stored in the “departure action ID”. The process associated with the “departure action ID” will be described later.
一例をあげると、図4Aに示すクオータ管理テーブル106aは、操作の主体が「ユーザA」である場合、仮想マシンに対する操作は、通常時には10台を上限とし、一時的に資源の使用量が増加する逸脱時において、60分に限り20台まで操作を許容することを示す。なお、図4Aに示すクオータ管理テーブル106aは、操作の主体が「ユーザA」である場合、一時オーバーコミット制限時間を超過した場合には、「1」の処理を実行することを示す。 For example, in the quota management table 106a shown in FIG. 4A, when the operation subject is “user A”, the operation on the virtual machine is normally limited to 10 units, and the resource usage temporarily increases. In the case of a deviation, the operation is permitted up to 20 units for 60 minutes. Note that the quota management table 106a shown in FIG. 4A indicates that when the subject of the operation is “user A”, the process of “1” is executed when the temporary overcommit time limit is exceeded.
また、同様に、図4Aに示すクオータ管理テーブル106aは、操作の主体が「APIキーA」である場合、仮想マシンに対する操作は、通常時には10台を上限とし、一時的に資源の使用量が増加する逸脱時において、10分に限り30台まで操作を許容することを示す。なお、図4Aに示すクオータ管理テーブル106aは、操作の主体が「APIキーA」である場合、一時オーバーコミット制限時間を超過した場合には、「1」と「2」の処理を実行することを示す。 Similarly, in the quota management table 106a shown in FIG. 4A, when the subject of the operation is “API key A”, the operation on the virtual machine is normally limited to 10 units and the resource usage is temporarily limited. This means that up to 30 units can be operated for 10 minutes at the time of increasing deviation. Note that the quota management table 106a shown in FIG. 4A executes the processes “1” and “2” when the subject of the operation is “API key A” and the temporary overcommit time limit is exceeded. Indicates.
逸脱時アクション管理テーブル106bは、一時オーバーコミット制限時間を超過した場合に実行する処理を示す情報を記憶する。図4Bは、第1の実施形態に係る逸脱時アクション管理テーブル106bが記憶するデータ構造の一例を示す図である。図4Bに示すように、逸脱時アクション管理テーブル106bは、「ID」と「アクションタイプ」とを対応付けた情報を記憶する。 The departure action management table 106b stores information indicating processing to be executed when the temporary overcommit time limit is exceeded. FIG. 4B is a diagram illustrating an example of a data structure stored in the departure action management table 106b according to the first embodiment. As illustrated in FIG. 4B, the departure action management table 106b stores information in which “ID” and “action type” are associated with each other.
ここで、逸脱時アクション管理テーブル106bが記憶する「ID」は、逸脱時アクションの識別子を示す。例えば、「ID」には、「0」、「1」、「2」などのデータ値が格納される。また、逸脱時アクション管理テーブル106bが記憶する「アクションタイプ」は、一時オーバーコミット制限時間を超過した場合に実行する処理を示す。例えば、「アクションタイプ」には、「何もしない」、「メール送信」などのデータ値が格納される。 Here, “ID” stored in the departure action management table 106 b indicates an identifier of the departure action. For example, data values such as “0”, “1”, and “2” are stored in “ID”. The “action type” stored in the deviation action management table 106b indicates processing executed when the temporary overcommit time limit is exceeded. For example, the “action type” stores data values such as “do nothing” and “send mail”.
一例をあげると、図4Bに示す逸脱時アクション管理テーブル106bは、「ID」が「0」である場合は、「何もしない」ことを示す。また、図4Bに示す逸脱時アクション管理テーブル106bは、「ID」が「1」である場合は、ユーザにメールを送信して一時オーバーコミット制限時間の超過を通知することを示し、「ID」が「2」である場合は、ユーザにボイスメッセージを送信して一時オーバーコミット制限時間の超過を通知することを示す。また、図4Bに示す逸脱時アクション管理テーブル106bは、「ID」が「3」である場合は、所定のプログラムを実行することを示し、「ID」が「99」である場合は、強制的に割り当てた資源を削除することを示す。 As an example, the deviation action management table 106b shown in FIG. 4B indicates “do nothing” when “ID” is “0”. Further, the deviation action management table 106b shown in FIG. 4B indicates that when “ID” is “1”, the user is notified that the temporary overcommit time limit has been exceeded by sending an email, and “ID”. “2” indicates that a voice message is transmitted to the user to notify the user that the temporary overcommit time limit has been exceeded. Further, the deviation action management table 106b shown in FIG. 4B indicates that a predetermined program is executed when “ID” is “3”, and compulsory when “ID” is “99”. Indicates that the resource assigned to is to be deleted.
図2に戻る。資源管理DB107は、資源管理テーブル107aを有し、割り当て済みの資源の種別と数量とを示す情報を記憶する。資源管理テーブル107aは、操作の主体ごとに割り当て済みの資源の種別と数量とを示す情報を記憶する。図5は、第1の実施形態に係る資源管理テーブル107aが記憶するデータ構造の一例を示す図である。 Returning to FIG. The resource management DB 107 has a resource management table 107a and stores information indicating the type and quantity of allocated resources. The resource management table 107a stores information indicating the type and quantity of resources allocated for each operation subject. FIG. 5 is a diagram illustrating an example of a data structure stored in the resource management table 107a according to the first embodiment.
図5に示すように、資源管理テーブル107aは、「資源」と「資源種別」と「所有者」とを対応付けた情報を記憶する。 As shown in FIG. 5, the resource management table 107a stores information in which “resource”, “resource type”, and “owner” are associated with each other.
ここで、資源管理テーブル107aが記憶する「資源」は、資源の名称を示す。例えば、「資源」には、「仮想マシンA」、「仮想マシンB」、「仮想ディスクA」などのデータ値が格納される。また、資源管理テーブル107aが記憶する「資源種別」は、資源の種別を示す。例えば、「資源種別」には、「仮想マシン」、「仮想ディスク」などのデータ値が格納される。また、資源管理テーブル107aが記憶する「所有者」は、資源を割り当てた操作の主体を示す。例えば、「所有者」には、「ユーザA」、「APIキーA」などのデータ値が格納される。 Here, “resource” stored in the resource management table 107a indicates the name of the resource. For example, data values such as “virtual machine A”, “virtual machine B”, and “virtual disk A” are stored in “resource”. The “resource type” stored in the resource management table 107a indicates the type of resource. For example, the “resource type” stores data values such as “virtual machine” and “virtual disk”. The “owner” stored in the resource management table 107a indicates the subject of the operation to which the resource is allocated. For example, data values such as “user A” and “API key A” are stored in “owner”.
一例をあげると、図5に示す資源管理テーブル107aは、ユーザAには、仮想マシンA及び仮想マシンCの計2台の仮想マシンを割り当てていることを示し、APIキーAには、仮想マシンBを1台だけ割り当てていることを示す。 As an example, the resource management table 107a shown in FIG. 5 indicates that a total of two virtual machines, a virtual machine A and a virtual machine C, are assigned to the user A, and the API key A contains a virtual machine. Indicates that only one B is assigned.
図2に戻る。制御部108は、例えば、CPUやMPUなどの電子回路であり、クラウドサービスの提供に関わる処理を制御する。例えば、制御部108は、クラウドサービスが提供する資源の割り当てを制御するAPI処理部110を有する。このAPI処理部110は、図2に示すように、認証部111と、判定部112と、割り当て部113と、設定部114と、第1の実行部115と、第2の実行部116とを有する。
Returning to FIG. The
認証部111は、資源割り当て要求を他の装置から受信した場合に、資源割り当て要求に含まれる認証情報を用いて、資源割り当てを要求した装置について認証を行う。例えば、認証部111は、クラウドサービスの契約者であるユーザ端末10から資源割り当て要求を受信した場合、認証情報としてユーザ名及びパスワードを用いて、ユーザ端末10の認証を行う。また、例えば、認証部111は、クラウドサービスの契約者から資源の使用を許可されたサービス提供者端末20から資源割り当て要求を受信した場合、認証情報としてAPIキーAを用いて、サービス提供者端末20の認証を行う。
When the
認証部111は、認証に成功したと判定した場合、資源割り当て要求を判定部112に引き渡す。一方、認証部111が、認証に成功したと判定しなかった場合、制御部108は、資源割り当てを要求した装置にエラーを通知する。
If the
判定部112は、操作可否管理DB105を参照して、資源の割り当てを要求した装置が、割り当てを要求した資源に対する操作を認可されているか否かを判定する。例えば、判定部112は、デフォルトポリシー管理テーブル105bを参照して、資源の割り当てを要求した装置のデフォルトポリシーを読み込む。
The
ここで、判定部112は、読み込んだデフォルトポリシーが「許可」である場合、操作可否管理テーブル105cに資源の割り当てを要求した装置が認証に用いた認証情報、割り当てを要求した資源の種別及び要求した操作が登録されているか否かを判定する。判定部112は、資源の割り当てを要求した装置が認証に用いた認証情報、割り当てを要求した資源の種別及び要求した操作が登録されていると判定した場合、資源の割り当てを要求した装置が、割り当てを要求した資源に対する操作を認可されていないと判定する。一方、判定部112は、資源の割り当てを要求した装置が認証に用いた認証情報、割り当てを要求した資源の種別及び要求した操作が登録されていると判定しなかった場合、資源の割り当てを要求した装置が、割り当てを要求した資源に対する操作を認可されていると判定する。
Here, when the read default policy is “permitted”, the
また、判定部112は、読み込んだデフォルトポリシーが「不可」である場合、操作可否管理テーブル105cに資源の割り当てを要求した装置が認証に用いた認証情報、割り当てを要求した資源の種別及び要求した操作が登録されているか否かを判定する。判定部112は、資源の割り当てを要求した装置が認証に用いた認証情報、割り当てを要求した資源の種別及び要求した操作が登録されていると判定した場合、資源の割り当てを要求した装置が、割り当てを要求した資源に対する操作を認可されていると判定する。一方、判定部112は、資源の割り当てを要求した装置が認証に用いた認証情報、割り当てを要求した資源の種別及び要求した操作が登録されていると判定しなかった場合、資源の割り当てを要求した装置が、割り当てを要求した資源に対する操作を認可されていないと判定する。
In addition, when the read default policy is “impossible”, the
また、判定部112は、資源の割り当てを要求した装置が認可されていると判定した場合には、要求された資源の割り当て可能であるか否かを判定する。例えば、判定部112は、資源の種別と割り当て可能な資源の数量とを対応付けたポリシーDB106と、既に割り当てた資源の種別及び資源の数量を示す資源管理DB107とを参照して、要求された資源の割り当て可能であるか否かを判定する。
If the
ここで、判定部112は、ポリシーDB106のクオータ管理テーブル106aのうち「主体」に対応付けられた資源の種別及び割り当て可能な資源の数量と、資源管理DB107の資源管理テーブル107aのうち「所有者」に対応付けられた既に割り当てた資源の種別及び資源の数量とを参照して、要求された種別の資源を要求された数量割り当て可能であるか否かを判定する。
Here, the
より具体的には、判定部112は、クオータ管理テーブル106aのうち「主体」に対応付けられた「資源種別」のうち、要求された「資源種別」について「制限タイプ」及び「値」を読み込むことで資源の種別及び割り当て可能な資源の数量を特定する。また、資源管理テーブル107aのうち「所有者」に対応付けられた「資源種別」のうち、要求された「資源種別」の数を算出することで既に割り当てた資源の種別及び資源の数量を特定する。そして、判定部112は、割り当て可能な資源の数量から既に割り当てた資源の数量を減算することで、現時点で割り当て可能な資源の数量を特定する。
More specifically, the
そして、判定部112は、要求された種別の資源の数量が、現時点で割り当て可能な資源の数量以下であるか否かを判定する。ここで、判定部112は、要求された種別の資源の数量が、現時点で割り当て可能な資源の数量以下であると判定した場合、要求された資源の割り当てが可能であると判定する。一方、判定部112は、要求された種別の資源の数量が、現時点で割り当て可能な資源の数量以下であると判定しなかった場合、要求された資源の割り当てが可能ではないと判定する。なお、要求された種別の資源の数量が、現時点で割り当て可能な資源の数量以下ではない状態は、ポリシーを逸脱している状態であり、この状態のことを単に「ポリシー逸脱」と記載する場合がある。
Then, the
一例をあげると、APIキーAを用いて、仮想マシンの作成を要求された場合について説明する。なお、ここでは、割り当て可能な仮想マシンの上限値が10台であり、既に割り当てた仮想マシンが3台である場合について説明する。かかる場合、判定部112は、現時点で割り当て可能な仮想マシンの数量の上限値が7台であると特定する。そして、判定部112は、サービス提供者端末20から仮想マシン2台の作成を要求された場合、要求された種別の資源の数量が、現時点で割り当て可能な資源の数量以下であるので、要求された仮想マシンの作成が可能であると判定する。一方、判定部112は、サービス提供者端末20から仮想マシン8台の作成を要求された場合、要求された種別の資源の数量が、現時点で割り当て可能な資源の数量以下ではないので、要求された仮想マシンの作成が可能ではないと判定する。
As an example, a case where creation of a virtual machine is requested using the API key A will be described. Here, a case will be described in which the upper limit value of the assignable virtual machines is 10 and the number of already assigned virtual machines is 3. In such a case, the
また、判定部112は、要求された資源の割り当てが可能ではないと判定した場合には、要求された資源を一定期間のみ割り当て可能であるか否かを判定する。例えば、判定部112は、資源の数量に、係数を乗算した値を所定の上限値とし、要求された種別の資源について、要求された資源の数量及び既に割り当てた数量の総数が所定の上限値未満である場合、要求された資源を一定期間のみ割り当て可能であると判定する。なお、ポリシー逸脱時に、要求された資源を一定期間のみ割り当てることを、オーバーコミットとも言う。
If the
より具体的には、判定部112は、クオータ管理テーブル106aのうち「主体」に対応付けられた「資源種別」のうち、要求された「資源種別」について「値」及び「オーバーコミット係数」を読み込む。そして、判定部112は、読み込んだ「値」及び「オーバーコミット係数」を乗算した値を一時オーバーコミット時の資源数量の上限値として特定する。続いて、判定部112は、一時オーバーコミット時の資源数量の上限値から既に割り当てた資源の数量を減算することで、一時オーバーコミット時点で割り当て可能な資源の数量を特定する。
More specifically, the
そして、判定部112は、要求された種別の資源の数量が、一時オーバーコミット時点で割り当て可能な資源の数量以下であるか否かを判定する。ここで、判定部112は、要求された種別の資源の数量が、一時オーバーコミット時点で割り当て可能な資源の数量以下であると判定した場合、要求された資源を一定期間のみ割り当て可能であると判定する。一方、判定部112は、要求された種別の資源の数量が、一時オーバーコミット時点で割り当て可能な資源の数量以下であると判定しなかった場合、要求された資源の割り当てが可能ではないと判定する。
Then, the
一例をあげると、APIキーAを用いて、仮想マシンの作成を要求された場合について説明する。なお、ここでは、割り当て可能な仮想マシンの上限値が10台であり、オーバーコミット係数が3であり、既に割り当てた仮想マシンが3台である場合について説明する。かかる場合、判定部112は、一時オーバーコミット時の仮想マシン数量の上限値が30台であると特定し、また、一時オーバーコミット時点で割り当て可能な仮想マシンの数量の上限値が27台であると特定する。そして、判定部112は、サービス提供者端末20から仮想マシン8台の作成を要求された場合、要求された種別の資源の数量が、一時オーバーコミット時点で割り当て可能な仮想マシンの数量の上限値以下であるので、要求された仮想マシンの作成が一定期間のみ可能であると判定する。
As an example, a case where creation of a virtual machine is requested using the API key A will be described. Here, a case will be described in which the upper limit value of the assignable virtual machines is 10, the overcommit factor is 3, and the number of already assigned virtual machines is 3. In such a case, the
また、判定部112は、資源管理DB107が有する資源管理テーブル107aにおいて、割り当てた資源について、資源の名称、資源の種別及び資源を割り当てた操作の主体をそれぞれ「資源」、「資源の種別」及び「所有者」に対応付けて格納する。なお、判定部112は、要求された仮想マシンの作成が一定期間のみ可能であると判定した場合には、クオータの範囲以上に資源を割り当てていることを示すイベントログを記録する。言い換えると、イベントログが記録されている場合には、オーバーコミットが行われたことを示す。
In addition, the
割り当て部113は、判定部112によって要求された資源の割り当てが可能であると判定された場合には、要求された資源を資源の割り当てを要求した装置に割り当てる。例えば、割り当て部113は、ユーザAが契約するクラウドサービス上で、ユーザ端末10から依頼を受けたサービス提供者端末20に要求された資源を割り当てる。
If the
また、割り当て部113は、判定部112によって要求された資源の割り当てが可能ではないと判定され、かつ、一定期間のみ割り当てが認められる資源の数量の所定の上限値未満である場合には、要求された資源を一定期間のみ資源の割り当てを要求した装置に割り当てる。例えば、割り当て部113は、ユーザAが契約するクラウドサービス上で、ユーザ端末10から依頼を受けたサービス提供者端末20に要求された資源を一定期間のみ割り当てる。
The
設定部114は、ユーザ端末10からポリシーの定義を受付けた場合、受付けたポリシーの定義をクオータ管理テーブル106aに格納する。ここで、設定部114は、例えば、資源の種別と割り当て可能な資源の数量とに更にAPIキーなどの操作の主体を対応付けたポリシーをクオータ管理テーブル106aに格納する。
When the
第1の実行部115は、オーバーコミットを行った際に、所定の期間経過後もポリシー逸脱が継続している場合に、所定の処理を実行する。例えば、第1の実行部115は、イベントログが記録されている場合、一定期間が経過したか否かを判定する。ここで、第1の実行部115は、一定期間が経過後も、ポリシー逸脱が継続している場合、クオータ管理テーブル106a及び逸脱時アクション管理テーブル106bを参照して、所定の処理を実行する。例えば、第1の実行部115は、クオータ管理テーブル106aにおいて、認証主体に対応する「逸脱時アクションID」の値を読み込み、読み込んだ値と対応する処理を逸脱時アクション管理テーブル106bから特定する。そして、第1の実行部115は、メール送信、ボイスメッセージ送信、プログラム実行など特定した処理を実行する。
The
第2の実行部116は、既に割り当てた資源の数量が所定の閾値に達した場合に、所定の処理を実行する。例えば、第2の実行部116は、資源管理テーブル107aを参照して、既に割り当てた資源の数量が所定の閾値に達したか否かを判定する。ここで、第2の実行部116は、既に割り当てた資源の数量が所定の閾値に達したと判定した場合、クオータ管理テーブル106a及び逸脱時アクション管理テーブル106bを参照して、所定の処理を実行する。例えば、第2の実行部116は、クオータ管理テーブル106aにおいて、認証主体に対応する「逸脱時アクションID」の値を読み込み、読み込んだ値と対応する処理を逸脱時アクション管理テーブル106bから特定する。そして、第2の実行部116は、メール送信、ボイスメッセージ送信、プログラム実行など特定した処理を実行する。
The
次に、図6を用いて、資源管理装置100による処理手順について説明する。図6は、第1の実施形態に係る資源管理装置100による処理手順を示すフローチャートである。図6に示すように、認証部111は、資源割り当て要求を受信する(ステップS101)。ここで、認証部111は、ユーザ名及びパスワードと、要求する操作と、割り当てる資源の種別及び数量とを含んだ資源割り当て要求を受信する。
Next, a processing procedure performed by the
続いて、認証部111は、ユーザ名及びパスワードの入力を受付け(ステップS102)、認証に成功したか否かを判定する(ステップS103)。ここで、認証部111によって認証に成功したと判定された場合(ステップS103、Yes)、判定部112は、認証主体に紐付いたポリシーを読み込む(ステップS104)。なお、認証部111によって認証に成功したと判定されなかった場合(ステップS103、No)、制御部108は、資源割り当てを要求した装置にエラーを通知する(ステップS118)。
Subsequently, the
判定部112は、操作可否管理DB105を参照して、認証主体が要求した操作を認可されているか否かを判定する(ステップS105)。ここで、判定部112によって認証主体が要求した操作を認可されていると判定されなかった場合(ステップS105、No)、制御部108は、資源割り当てを要求した装置にエラーを通知する(ステップS118)。
The
一方、判定部112は、認証主体が要求した操作を認可されていると判定した場合(ステップS105、Yes)、資源量が増減する操作であるか否かを判定する(ステップS106)。ここで、判定部112によって資源量が増減する操作であると判定されなかった場合(ステップS106、No)、資源管理装置100は、要求された処理を開始する(ステップS119)。
On the other hand, when determining that the operation requested by the authentication subject is authorized (Yes in step S105), the determining
ここで、判定部112は、資源量が増減する操作であると判定した場合(ステップS106、Yes)、資源管理DB107を参照して、認証対象が現在使用している資源量を読み込む(ステップS107)。そして、判定部112は、認証対象に求められたクオータ範囲内であるか否かを判定する(ステップS108)。ここで、判定部112は、認証対象に求められたクオータ範囲内であると判定した場合(ステップS108、Yes)、資源管理DB107を更新する(ステップS109)。続いて、割り当て部113は、資源の割り当てを開始する(ステップS110)。
Here, when the
一方、判定部112は、認証対象に求められたクオータ範囲内であると判定しなかった場合(ステップS108、No)、一時オーバーコミットの範囲内であるか否かを判定する(ステップS111)。判定部112は、一時オーバーコミットの範囲内であると判定した場合(ステップS111、Yes)、資源管理DB107を更新する(ステップS112)。また、判定部112は、イベントログを記録する(ステップS113)。なお、判定部112によって一時オーバーコミットの範囲内であると判定されなかった場合(ステップS111、No)、制御部108は、資源割り当てを要求した装置にエラーを通知する(ステップS118)。
On the other hand, if the
続いて、割り当て部113は、資源の割り当てを開始する(ステップS114)。資源の割り当てを開始した後、第1の実行部115は、所定の期間が経過したか否かを判定する(ステップS115)。ここで、第1の実行部115は、所定の期間が経過したと判定しなかった場合、(ステップS115、No)、引き続き所定の期間が経過したか否かを判定する。一方、第1の実行部115は、所定の期間が経過したと判定した場合、(ステップS115、Yes)、ポリシー逸脱が継続しているか否かを判定する(ステップS116)。
Subsequently, the
第1の実行部115が、ポリシー逸脱が継続していると判定しなかった場合(ステップS116、No)、資源管理装置100は処理を終了する。一方、第1の実行部115は、ポリシー逸脱が継続していると判定した場合(ステップS116、Yes)、所定の処理を実行する(ステップS117)。ステップS117の終了後、資源管理装置100は処理を終了する。
When the
上述したように、第1の実施形態に係る資源管理装置100は、一般的なユースケースとして、ユーザは第三者に資源管理を委託する際には、その第三者用の鍵を生成し、その鍵に対して適当なポリシーを設定したうえで、その鍵を第三者に対して引き渡す。第三者はこの鍵を使用し、ユーザの代わりにクラウドサービスを操作する。これにより、ユーザは、第三者に使用を許可する資源の範囲を極小化することができる。また、第三者に資源の管理責任を安心して委譲することが可能となることから、サードパーティ製サービスの利用が簡単になる。
As described above, as a general use case, the
なお、従来の方式では、実際に使用されている資源がサービス提供者によりブラックボックス化されている。これに対して、第1の実施形態に係る資源管理装置100ではユーザが資源を直接確認したり、必要に応じてより強い権限で管理権限を取得したりすることが可能である。
In the conventional method, the resources actually used are black boxed by the service provider. On the other hand, in the
また、更新作業時などは一時的な資源使用量の増加が考えられるため、ポリシーには一時的な逸脱を許可も盛り込む。例えば、ポリシー逸脱の上限値を係数もしくは実数で設定し、また、その状態が続く上限時間を設定する。これにより、更新作業などで一時的に使用資源が増える場合もポリシーの変更なく運用が可能となる。 In addition, since temporary resource usage may be increased during update work, the policy also includes a temporary deviation. For example, an upper limit value of policy deviation is set by a coefficient or a real number, and an upper limit time for which the state continues is set. As a result, even when the resources used temporarily increase due to update work or the like, the operation can be performed without changing the policy.
また、ポリシー逸脱時、および上限時間を上回った際もポリシー逸脱が続いている場合には、同じくポリシー内で指定された処理をそれぞれ実行する。例としてメール送信、電話での通知、任意プログラムの実行、資源の強制削除などが考えられる。 Also, when the policy deviates when the policy deviates and when the time exceeds the upper limit time, the processing designated in the policy is also executed. Examples include sending mail, notification by phone, executing arbitrary programs, and forcibly deleting resources.
(第1の実施形態の変形例)
なお、第1の実施形態では、依頼部15bが、APIキーを引き渡すことで、サービス提供者端末20にテスト工程の実行を依頼するものとして説明したが、実施形態はこれに限定されるものではない。例えば、依頼部15bは、操作の主体に紐付けられたユーザ名と、パスワードとを引き渡すことで、サービス提供者端末20にテスト工程の実行を依頼するようにしてもよい。かかる場合、サービス提供装置20は、ユーザ名及びパスワードを用いて、資源管理装置100に資源の割り当てを要求する。
(Modification of the first embodiment)
In the first embodiment, the
また、図3Cに示す操作可否管理テーブル105cと、図4Aに示すクオータ管理テーブル106aとが統合されてもよい。また、クオータ管理テーブル106aにおいて、「制限タイプ」には、数量上限を記憶するものとして説明したが、実施形態はこれに限定されるものではない。例えば、「制限タイプ」には、最低数量を記憶するようにしてもよい。 In addition, the operation availability management table 105c illustrated in FIG. 3C and the quota management table 106a illustrated in FIG. 4A may be integrated. In the quota management table 106a, the “limit type” has been described as storing the upper limit of the quantity, but the embodiment is not limited to this. For example, the “restriction type” may store the minimum quantity.
また、第1の実施形態では、設定部114は、ユーザ端末10からポリシーの定義を受付け、受付けたポリシーの定義をクオータ管理テーブル106aに格納するものとして説明した。一般的に、ポリシーの設定は煩雑である。このため、最初はポリシーの定義を受付けることなくクラウドサービスの利用を開始し、資源の使用量が安定した時点で資源の使用量をポリシーに設定するようにしてもよい。かかる場合、設定部114は、例えば、資源使用量が安定した時点での資源使用量を参照して、割り当て可能な資源の数量をポリシーに設定する。
Further, in the first embodiment, the
図7は、第1の実施形態の変形例に係る設定部114を説明するための図である。設定部114は、図7に示すように、時間ごとの資源使用量の推移を示すグラフを表示させる。なお、図7において、横軸は時間を示し、縦軸は作成した仮想マシンの台数を示す。図7では、おおよそ1か月間における仮想マシン台数の推移を示す。
FIG. 7 is a diagram for explaining the
図7に示す例では、ピーク時に置いて約60台の仮想マシンが作成されているが、通常時には仮想マシンは30台以内に収まっている。このようなことから、設定部114は、表示したグラフにおいて、ユーザ端末10から割り当て可能な資源の数量の指定を受付ける。例えば、設定部114は、図7に示すように、割り当て可能な仮想マシンの数量として30台の指定を受付け、一時オーバーコミット係数として2の指定を受付ける。このように、現在の資源使用量を元にポリシーを定義する機能を備えることにより、ポリシーの設定を容易にすることが可能となる。
In the example shown in FIG. 7, about 60 virtual machines are created at the peak time, but the number of virtual machines is within 30 in normal times. For this reason, the
またなお、ポリシーの逆算時には数値系の値について、現在の資源使用量だけでなく、ユーザが指定した時間枠で使用した資源使用量のうち、最大値、最小値、平均値、中央値などを値として使用するようにしてもよい。 In addition, when calculating the policy backwards, not only the current resource usage, but also the maximum, minimum, average, median, etc. of the resource usage used in the time frame specified by the user. It may be used as a value.
また、ポリシーの逆算時には数量系の値について、一律マージンを設けるようにしてもよい。例えば、クオータ管理テーブル106aにおける格納値について一律10%を追加してポリシー化する。これにより、資源使用量にゆらぎが生じている場合にも、ポリシーからの逸脱を防ぐことができる。 Further, a uniform margin may be provided for the value of the quantity system when the policy is calculated backward. For example, a uniform 10% is added to the stored value in the quota management table 106a to create a policy. Thereby, even when fluctuations occur in the resource usage, deviation from the policy can be prevented.
(第2の実施形態)
さて、これまで本発明の実施形態について説明したが、本発明は上述した実施形態以外にも、その他の実施形態にて実施されてもよい。そこで、以下では、その他の実施形態を示す。
(Second Embodiment)
Although the embodiments of the present invention have been described so far, the present invention may be implemented in other embodiments besides the above-described embodiments. Therefore, other embodiments will be described below.
(システム構成)
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上述の文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については(例えば、図1〜図7)、特記する場合を除いて任意に変更することができる。
(System configuration)
Also, among the processes described in this embodiment, all or part of the processes described as being performed automatically can be performed manually, or the processes described as being performed manually can be performed. All or a part can be automatically performed by a known method. In addition, the processing procedures, control procedures, specific names, and information including various data and parameters shown in the above-mentioned documents and drawings (for example, FIGS. 1 to 7) are optional except as otherwise noted. Can be changed.
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。 Further, each component of each illustrated apparatus is functionally conceptual, and does not necessarily need to be physically configured as illustrated. That is, the specific form of distribution / integration of each device is not limited to the one shown in the figure, and all or a part of the distribution / integration may be functionally or physically distributed in arbitrary units according to various loads or usage conditions. Can be integrated and configured.
(プログラム)
また、上記第1の実施形態に係る資源管理装置100が実行する処理をコンピュータが実行可能な言語で記述した資源使用許可プログラムを作成することもできる。この場合、コンピュータが資源使用許可プログラムを実行することにより、上記実施形態と同様の効果を得ることができる。さらに、かかる資源使用許可プログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録された資源使用許可プログラムをコンピュータに読み込ませて実行することにより上記実施形態と同様の処理を実現してもよい。以下に、図1等に示した資源管理装置100と同様の機能を実現する資源使用許可プログラムを実行するコンピュータの一例を説明する。
(program)
It is also possible to create a resource use permission program in which the processing executed by the
図8は、資源使用許可プログラムを実行するコンピュータ1000を示す図である。図8に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
FIG. 8 is a diagram illustrating a
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
The
ここで、図8に示すように、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した資源使用許可プログラムは、例えばハードディスクドライブ1031やメモリ1010に記憶される。
Here, as shown in FIG. 8, the
また、資源使用許可プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュールとして、例えばハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した判定部112と同様の情報処理を実行する判定手順と、割り当て部113と同様の情報処理を実行する割り当て部手順とが記述されたプログラムモジュールが、ハードディスクドライブ1031に記憶される。
The resource use permission program is stored in, for example, the
また、資源使用許可プログラムによる情報処理に用いられるデータは、プログラムデータとして、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
Further, data used for information processing by the resource use permission program is stored in the
なお、資源使用許可プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、資源使用許可プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LAN(Local Area Network)やWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
The
(その他)
なお、本実施形態で説明した資源使用許可プログラムは、インターネットなどのネットワークを介して配布することができる。また、特定プログラムは、ハードディスク、フレキシブルディスク(FD)、CD−ROM、MO、DVDなどのコンピュータで読み取り可能な記録媒体に記録され、コンピュータによって記録媒体から読み出されることによって実行することもできる。
(Other)
The resource use permission program described in the present embodiment can be distributed via a network such as the Internet. The specific program can also be executed by being recorded on a computer-readable recording medium such as a hard disk, a flexible disk (FD), a CD-ROM, an MO, or a DVD, and being read from the recording medium by the computer.
1 資源使用許可システム
2 ネットワーク
10 ユーザ端末
11 入力部
12 出力部
13 通信制御部
14 記憶部
15 制御部
15a 設定受付部
15b 依頼部
20 サービス提供者端末
23 通信制御部
24 記憶部
25 制御部
25a 割り当て要求部
100 資源管理装置
103 通信制御部
104 記憶部
105 操作可否管理DB
105a グループ管理テーブル
105b デフォルトポリシー管理テーブル
105c 操作可否管理テーブル
106 ポリシーDB
106a クオータ管理テーブル
106b 逸脱時アクション管理テーブル
107 資源管理DB
107a 資源管理テーブル
108 制御部
110 API処理部
111 認証部
112 判定部
113 割り当て部
114 設定部
115 第1の実行部
116 第2の実行部
1000 コンピュータ
1010 メモリ
1011 ROM
1012 RAM
1020 CPU
1030 ハードディスクドライブインタフェース
1031 ハードディスクドライブ
1040 ディスクドライブインタフェース
1041 ディスクドライブ
1050 シリアルポートインタフェース
1051 マウス
1052 キーボード
1060 ビデオアダプタ
1061 ディスプレイ
1070 ネットワークインタフェース
1080 バス
1091 OS
1092 アプリケーションプログラム
1093 プログラムモジュール
1094 プログラムデータ
DESCRIPTION OF
105a Group management table 105b Default policy management table 105c Operation availability management table 106 Policy DB
106a quota management table 106b deviation action management table 107 resource management DB
107a resource management table 108
1012 RAM
1020 CPU
1030 Hard
1092
Claims (8)
前記第2の端末は、
前記第1の端末により資源の一部の使用を許可された場合、資源の種別と前記資源の数量とを指定して、資源の割り当てを前記資源管理装置に要求する要求部を備え、
前記資源管理装置は、
資源の種別と割り当て可能な資源の数量とを対応付けたポリシー情報と、既に割り当てた資源の種別及び資源の数量を示す資源管理情報とを参照して、要求された資源の割り当てが可能であるか否かを判定する判定部と、
前記判定部によって前記要求された資源の割り当てが可能であると判定された場合には、前記要求された資源を前記第2の端末に割り当て、前記判定部によって前記要求された資源の割り当てが可能ではないと判定され、かつ、一定期間のみ割り当てが認められる資源の数量の所定の上限値以下である場合には、前記要求された資源を一定期間のみ前記第2の端末に割り当てる割り当て部と、を備える
ことを特徴とする資源使用許可システム。 A resource management device that manages resources, a first terminal that uses an authorized resource among resources managed by the resource management device, and a first terminal that uses at least a part of the authorized resource. A resource use permission system having a second terminal permitted from
The second terminal is
A request unit for requesting resource allocation to the resource management device by designating a resource type and a quantity of the resource when use of a part of the resource is permitted by the first terminal;
The resource management device includes:
The requested resource can be allocated by referring to the policy information in which the resource type is associated with the assignable resource quantity and the resource management information indicating the already assigned resource type and the resource quantity. A determination unit for determining whether or not
When the determination unit determines that the requested resource can be allocated, the requested resource is allocated to the second terminal, and the requested resource can be allocated by the determination unit. An allocation unit that allocates the requested resource to the second terminal only for a certain period when it is determined that the resource is not more than a predetermined upper limit value of the resource that is allowed to be allocated only for a certain period; A resource use permission system characterized by comprising:
前記判定部は、前記要求された資源の割り当てが可能ではないと判定した場合、前記資源の数量に、前記係数を乗算した値を前記所定の上限値とし、前記要求された種別の資源について、要求された資源の数量及び既に割り当てた数量の総数が前記所定の上限値以下である場合、前記要求された資源を一定期間のみ割り当て可能であると判定する
ことを特徴とする請求項1に記載の資源使用許可システム。 The policy information further associates a coefficient with the resource type and the resource quantity,
When the determination unit determines that the requested resource allocation is not possible, a value obtained by multiplying the quantity of the resource by the coefficient is set as the predetermined upper limit value, and for the resource of the requested type, 2. The method according to claim 1, wherein when the quantity of requested resources and the total number of already assigned quantities are equal to or less than the predetermined upper limit value, it is determined that the requested resources can be allocated only for a certain period. Resource usage authorization system.
前記ポリシー情報は、資源の種別と割り当て可能な資源の数量とに更に鍵を対応付け、
前記要求部は、
前記鍵を用いて、前記資源管理装置に資源の割り当てを要求し、
前記判定部は、
前記ポリシー情報のうち前記鍵に対応付けられた資源の種別及び割り当て可能な資源の数量と、前記資源管理情報のうち前記鍵に対応付けられた既に割り当てた資源の種別及び資源の数量とを参照して、要求された種別の資源を要求された数量割り当て可能であるか否かを判定する
ことを特徴とする請求項1又は2に記載の資源使用許可システム。 The resource management device includes:
The policy information further associates a key with the type of resource and the number of resources that can be allocated,
The request unit includes:
Using the key, request resource allocation to the resource management device,
The determination unit
Refer to the resource type associated with the key and the number of allocatable resources in the policy information, and the already assigned resource type and the resource quantity associated with the key in the resource management information. The resource use permission system according to claim 1, wherein it is determined whether or not the requested quantity can be allocated to the requested type of resource.
資源使用量が安定した時点での資源使用量を参照して、前記割り当て可能な資源の数量を前記ポリシー情報に設定して、前記ポリシー情報を所定の記憶部に格納する設定部を更に備えたことを特徴とする請求項3に記載の資源使用許可システム。 The resource management device includes:
A setting unit for referring to the resource usage at the time when the resource usage is stabilized, setting the number of resources that can be allocated in the policy information, and storing the policy information in a predetermined storage unit; The resource use permission system according to claim 3, wherein:
前記一定期間が経過後も、前記要求された資源の割り当てが可能ではないと判定された場合、所定の処理を実行する第1の実行部を更に備えたことを特徴とする請求項1に記載の資源使用許可システム。 The resource management device includes:
The apparatus according to claim 1, further comprising a first execution unit that executes a predetermined process when it is determined that the requested resource cannot be allocated even after the predetermined period has elapsed. Resource usage authorization system.
既に割り当てた資源の数量が所定の閾値に達した場合に、所定の処理を実行する第2の実行部を更に備えたことを特徴とする請求項1に記載の資源使用許可システム。 The resource management device includes:
2. The resource use permission system according to claim 1, further comprising a second execution unit that executes a predetermined process when the number of already allocated resources reaches a predetermined threshold value.
前記第2の端末が、
前記第1の端末により資源の一部の使用を許可された場合、資源の種別と前記資源の数量とを指定して、資源の割り当てを前記資源管理装置に要求する要求工程を含み、
前記資源管理装置が、
資源の種別と割り当て可能な資源の数量とを対応付けたポリシー情報と、既に割り当てた資源の種別及び資源の数量を示す資源管理情報とを参照して、要求された資源の割り当てが可能であるか否かを判定する判定工程と、
前記判定工程によって前記要求された資源の割り当てが可能であると判定された場合には、前記要求された資源を前記第2の端末に割り当て、前記判定工程によって前記要求された資源の割り当てが可能ではないと判定され、かつ、一定期間のみ割り当てが認められる資源の数量の所定の上限値以下である場合には、前記要求された資源を一定期間のみ前記第2の端末に割り当てる割り当て工程と、を含む
ことを特徴とする資源使用許可方法。 A resource management device that manages resources, a first terminal that uses an authorized resource among resources managed by the resource management device, and a first terminal that uses at least a part of the authorized resource. A resource use permission method executed in a resource use permission system having a second terminal permitted from
The second terminal is
Including a requesting step of requesting the resource management device to allocate a resource by designating a resource type and a quantity of the resource when use of a part of the resource is permitted by the first terminal;
The resource management device is
The requested resource can be allocated by referring to the policy information in which the resource type is associated with the assignable resource quantity and the resource management information indicating the already assigned resource type and the resource quantity. A determination step of determining whether or not,
When it is determined that the requested resource can be allocated by the determining step, the requested resource is allocated to the second terminal, and the requested resource can be allocated by the determining step. An allocation step of allocating the requested resource to the second terminal only for a certain period when it is determined that the resource is not more than a predetermined upper limit value of the resource that is allowed to be allocated only for a certain period; A resource use permission method characterized by including:
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014083760A JP2015204026A (en) | 2014-04-15 | 2014-04-15 | Resource use permission system and resource use permission method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014083760A JP2015204026A (en) | 2014-04-15 | 2014-04-15 | Resource use permission system and resource use permission method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2015204026A true JP2015204026A (en) | 2015-11-16 |
Family
ID=54597442
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014083760A Pending JP2015204026A (en) | 2014-04-15 | 2014-04-15 | Resource use permission system and resource use permission method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2015204026A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020173778A (en) * | 2019-04-11 | 2020-10-22 | ベイジン バイドゥ ネットコム サイエンス アンド テクノロジー カンパニー リミテッド | Method, apparatus, electronic facility, computer readable medium, and computer program for allocating resource |
CN114217977A (en) * | 2021-12-23 | 2022-03-22 | 北京百度网讯科技有限公司 | Resource allocation method, device, equipment and storage medium |
WO2023162272A1 (en) * | 2022-02-28 | 2023-08-31 | 日本電気株式会社 | Test assistance device, system, and method, and computer-readable medium |
-
2014
- 2014-04-15 JP JP2014083760A patent/JP2015204026A/en active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020173778A (en) * | 2019-04-11 | 2020-10-22 | ベイジン バイドゥ ネットコム サイエンス アンド テクノロジー カンパニー リミテッド | Method, apparatus, electronic facility, computer readable medium, and computer program for allocating resource |
JP7127010B2 (en) | 2019-04-11 | 2022-08-29 | ベイジン バイドゥ ネットコム サイエンス テクノロジー カンパニー リミテッド | Resource allocation methods, apparatus, electronic equipment, computer readable media and computer programs |
CN114217977A (en) * | 2021-12-23 | 2022-03-22 | 北京百度网讯科技有限公司 | Resource allocation method, device, equipment and storage medium |
CN114217977B (en) * | 2021-12-23 | 2023-01-10 | 北京百度网讯科技有限公司 | Resource allocation method, device, equipment and storage medium |
WO2023162272A1 (en) * | 2022-02-28 | 2023-08-31 | 日本電気株式会社 | Test assistance device, system, and method, and computer-readable medium |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10635793B2 (en) | Restricted accounts on a mobile platform | |
JP7015916B2 (en) | Computer automation methods, computer programs, and systems to support the management of applications for clients | |
US8656016B1 (en) | Managing application execution and data access on a device | |
US8572709B2 (en) | Method for managing shared accounts in an identity management system | |
US11757636B2 (en) | Access control for short-lived resource principals | |
JP6245949B2 (en) | Authorization server system, control method thereof, and program thereof. | |
US20150193600A1 (en) | Rights management server and rights management method | |
JP6921831B2 (en) | Associating user accounts with corporate workspaces | |
US10178103B2 (en) | System and method for accessing a service | |
CN110247927B (en) | Method and device for managing authority of cloud computing resources | |
US20130144633A1 (en) | Enforcement and assignment of usage rights | |
WO2015180364A1 (en) | Network access point hosting method and system | |
EP4278566A1 (en) | Limiting scopes in token-based authorization systems | |
US11811679B2 (en) | Stacked identities for resource principals | |
US11418343B2 (en) | Access control for long-lived resource principals | |
EP2725511B1 (en) | Managing application execution and data access on a device | |
CN111801668A (en) | Progressive credential disablement | |
JP2015204026A (en) | Resource use permission system and resource use permission method | |
US9264389B2 (en) | Information processing apparatus, mailbox management method, and storage medium for performing capacity setting of a mailbox | |
CN110351719B (en) | Wireless network management method, system, electronic equipment and storage medium | |
JP7073199B2 (en) | System and method in system | |
CN113039764A (en) | Method and system for providing access to data stored in a secure data area of a cloud platform | |
US11700261B1 (en) | Tool for management of a pool of authorizations to use software | |
JP2019003477A (en) | Information processing system, control method and program thereof | |
KR20190074723A (en) | System For Providing Remote Computing Service And Method Thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20151001 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20151005 |