CN112866212A - 云计算资源的访问控制方法、装置、计算机设备和介质 - Google Patents
云计算资源的访问控制方法、装置、计算机设备和介质 Download PDFInfo
- Publication number
- CN112866212A CN112866212A CN202110002650.XA CN202110002650A CN112866212A CN 112866212 A CN112866212 A CN 112866212A CN 202110002650 A CN202110002650 A CN 202110002650A CN 112866212 A CN112866212 A CN 112866212A
- Authority
- CN
- China
- Prior art keywords
- user
- item
- sub
- target
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 54
- 238000012545 processing Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- SPBWHPXCWJLQRU-FITJORAGSA-N 4-amino-8-[(2r,3r,4s,5r)-3,4-dihydroxy-5-(hydroxymethyl)oxolan-2-yl]-5-oxopyrido[2,3-d]pyrimidine-6-carboxamide Chemical compound C12=NC=NC(N)=C2C(=O)C(C(=O)N)=CN1[C@@H]1O[C@H](CO)[C@@H](O)[C@H]1O SPBWHPXCWJLQRU-FITJORAGSA-N 0.000 description 2
- 102100021677 Baculoviral IAP repeat-containing protein 2 Human genes 0.000 description 2
- 102100021662 Baculoviral IAP repeat-containing protein 3 Human genes 0.000 description 2
- 101000896157 Homo sapiens Baculoviral IAP repeat-containing protein 2 Proteins 0.000 description 2
- 101000896224 Homo sapiens Baculoviral IAP repeat-containing protein 3 Proteins 0.000 description 2
- 102100037024 E3 ubiquitin-protein ligase XIAP Human genes 0.000 description 1
- 101000804865 Homo sapiens E3 ubiquitin-protein ligase XIAP Proteins 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/133—Protocols for remote procedure calls [RPC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Bioethics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
本公开涉及一种云计算资源的访问控制方法、装置、计算机设备和介质。本公开通过接收目标子用户发送的API调用请求,所述API调用请求中包含目标资源的标识和用于权限鉴定的参数,根据目标资源的标识,查找预设的目标子用户对应的项目列表中包含的云计算资源列表,确定资源列表中包含的目标资源,即通过项目确定目标子用户是否具有访问某云计算资源的权限;根据权限鉴定参数,确定目标子用户具有调用API的权限,即,通过权限鉴定确定目标子用户是否具有调用某API的权限,只有目标子用户同时满足既有调某API的权限,也有访问某云计算资源的权限,目标子用户才可以调用某API操作某云计算资源,从而,精细化了云计算资源的访问控制。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种云计算资源的访问控制方法、装置、计算机设备和介质。
背景技术
一个租户可能会购买很多云计算资源,一个租户对应一个主账号,租户可以通过主账号创建多个子用户。不同的应用程序接口(Application Programming Interface,API)用于执行不同的操作。不同的子用户可能具有不同的API调用权限,例如,子用户1具有调用API1和API2的权限,子用户2具有调用API2和API3的权限,子用户3具有调用API1和API3的权限。
现有技术中,为了避免子用户调用权限外的API,当子用户请求调用API时,会根据API调用请求中携带的权限鉴定参数进行鉴权,鉴权通过,则允许调用API对租户的所有云计算资源执行操作,否则,则不允许调用API对租户的任何云计算资源执行操作。
然而,采用现有技术的方法,子用户如果具有调用某API的权限,即调用该API对租户所有的云计算资源执行操作,因此,对云计算资源的访问控制不够精细。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本公开提供了一种云计算资源的访问控制方法、装置、计算机设备和介质。
本公开第一方面提供一种云计算资源的访问控制方法,包括:
接收目标子用户发送的应用程序接口API调用请求,所述API调用请求中包含目标资源的标识和用于权限鉴定的参数;
根据所述目标资源的标识,查找预设的目标子用户对应的项目列表中包含的云计算资源列表,确定所述资源列表中包含所述目标资源;
根据所述权限鉴定参数,确定所述目标子用户具有调用所述API的权限;
允许所述目标子用户调用所述API操作所述目标资源。
可选的,所述根据所述目标资源的标识,查找预设的目标子用户对应的项目列表中包含的云计算资源列表,确定所述资源列表中包含所述目标资源,包括:
查找子用户标识和项目标识的对应关系表,获取所述目标子用户对应的项目列表;
查找项目和云计算资源的对应关系表,获取所述项目列表中的所有项目包含的云计算资源列表。
可选的,所述查找子用户标识和项目标识的对应关系表,获取所述目标子用户对应的项目列表,包括:
查找子用户标识和项目标识的对应关系表,获取所述目标子用户对应的目标项目标识;
若所述目标项目标识为特殊项目标识,则确定所述目标子用户对应的项目列表包括主账号的所有项目。
可选的,还包括:
显示操作界面,所述操作界面中所述项目列表中的所有项目处于可操作状态。
可选的,所述确定所述目标子用户对应的项目列表包括主账号的所有项目之前,还包括:
根据所述目标子用户和所述目标项目标识的对应关系的有效期,确定所述目标子用户和所述目标项目标识的对应关系在有效期内。
可选的,所述查找子用户标识和项目标识的对应关系表,获取所述目标子用户对应的目标项目标识之前,还包括:
显示子用户编辑界面,所述子用户编辑界面包含子用户的标识信息编辑项以及第一选项;
接收子用户的标识信息编辑项处输入的目标子用户的标识信息,以及接收所述第一选项的选中指令,建立所述目标子用户标识和特殊项目标识的对应关系。
可选的,还包括:
接收所述第一选项的取消选中指令,删除所述目标子用户标识和特殊项目标识的对应关系。
本公开第二方面提供一种云计算资源的访问控制装置,包括:
接收模块,用于接收目标子用户发送的应用程序接口API调用请求,所述API调用请求中包含目标资源的标识和用于权限鉴定的参数;
处理模块,用于根据所述目标资源的标识,查找预设的目标子用户对应的项目列表中包含的云计算资源列表,确定所述资源列表中包含所述目标资源;
所述处理模块还用于根据所述权限鉴定参数,确定所述目标子用户具有调用所述API的权限;
所述处理模块还用于允许所述目标子用户调用所述API操作所述目标资源。
可选的,所述处理模块具体用于查找子用户标识和项目标识的对应关系表,获取所述目标子用户对应的项目列表;查找项目和云计算资源的对应关系表,获取所述项目列表中的所有项目包含的云计算资源列表。
可选的,所述处理模块具体用于查找子用户标识和项目标识的对应关系表,获取所述目标子用户对应的目标项目标识;若所述目标项目标识为特殊项目标识,则确定所述目标子用户对应的项目列表包括主账号的所有项目。
可选的,还包括:
显示模块,用于显示操作界面,所述操作界面中所述项目列表中的所有项目处于可操作状态。
可选的,所述处理模块还用于根据所述目标子用户和所述目标项目标识的对应关系的有效期,确定所述目标子用户和所述目标项目标识的对应关系在有效期内。
可选的,所述显示模块还用于显示子用户编辑界面,所述子用户编辑界面包含子用户的标识信息编辑项以及第一选项;
所述接收模块还用于接收子用户的标识信息编辑项处输入的目标子用户的标识信息,以及接收所述第一选项的选中指令,建立所述目标子用户标识和特殊项目标识的对应关系。
可选的,所述接收模块还用于接收所述第一选项的取消选中指令,删除所述目标子用户标识和特殊项目标识的对应关系。
本公开第三方面提供一种计算机设备,包括:处理器,所述处理器用于执行存储于存储器的计算机程序,所述计算机程序被处理器执行时实现第一方面所述的方法的步骤。
本公开第四方面提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的方法的步骤。
本公开实施例提供的技术方案与现有技术相比具有如下优点:
本公开通过接收目标子用户发送的API调用请求,所述API调用请求中包含目标资源的标识和用于权限鉴定的参数,根据目标资源的标识,查找预设的目标子用户对应的项目列表中包含的云计算资源列表,确定资源列表中包含的目标资源,即通过项目确定目标子用户是否具有访问某云计算资源的权限;根据权限鉴定参数,确定目标子用户具有调用API的权限,即,通过权限鉴定确定目标子用户是否具有调用某API的权限,只有目标子用户同时满足既有调用某API的权限,也有访问某云计算资源的权限,目标子用户才可以调用某API操作某云计算资源,从而,精细化了云计算资源的访问控制。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。
为了说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本公开提供的一种云计算资源的访问控制的方法的流程示意图;
图2为本公开提供的另一种云计算资源的访问控制方法的流程示意图;
图3为本公开提供的一种操作界面示意图;
图4为本公开提供的再一种云计算资源的访问控制方法的流程示意图;
图5为本公开提供的又一种云计算资源的访问控制方法的流程示意图;
图6为本公开提供的一种子用户信息编辑页面的示意图;
图7为本公开提供的一种子用户信息编辑页面的示意图;
图8为本公开提供的又一种云计算资源的访问控制方法的流程示意图;
图9为本公开提供的一种云计算资源的访问控制装置结构示意图。
具体实施方式
为了能够更清楚地理解本公开的上述目的、特征和优点,下面将对本公开的方案进行进一步描述。需要说明的是,在不冲突的情况下,本公开的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本公开,但本公开还可以采用其他不同于在此描述的方式来实施;显然,说明书中的实施例只是本公开的一部分实施例,而不是全部的实施例。
本公开为了实现对云计算资源进行精细化的访问控制,将云计算资源通过项目进行隔离,也就是将云计算资源归属于不同的项目,只有该项目的子用户可以访问该项目的云计算资源,因此,可以通过建立项目和云计算资源的对应关系表,维护项目和云计算资源的对应关系,通过查找项目和云计算资源的对应关系表,可以获知项目对应的云计算资源。一个项目可以设置多个子用户,一个子用户可以归属于多个项目,因此,通过建立子用户标识和项目标识的对应关系表,维护子用户和项目的对应关系,通过查找子用户标识和项目标识的对应关系表,可以获知子用户对应的项目。结合子用户标识和项目标识的对应关系表,以及项目和云计算资源的对应关系表,可以确定子用户对哪些云计算资源具有访问权限。在子用户调用API时,API调用请求中的权限鉴定参数进行权限鉴定确定子用户具有调用哪些API的权限。通过两者结合可以确定子用户具有调用哪些API操作哪些云计算资源的权限,从而,精细化了云计算资源的访问控制。
下面给出几个子用户标识和项目标识的对应关系表的示例,以便于理解子用户和项目的对应关系,假设主账号下总共创建了6个项目,分别为项目1、项目2、项目3、项目4、项目5和项目6。总共创建了4个子用户,分别为子用户1、子用户2、子用户3和子用户4。本公开中通过对应关系表维护子用户和项目的对应关系,如表1所示,可以看出,对应关系表中包含多条记录,每条记录代表一条对应关系,其中,子用户1分别与项目1和项目2对应;子用户2分别与项目1、项目2、项目3和项目4对应;子用户3分别与项目1、项目2、项目3、项目4、项目5和项目6对应;子用户4和项目4对应;项目1分别与子用户1、子用户2和子用户3对应;项目2分别与子用户1、子用户2和子用户3对应;项目3分别与子用户2和子用户3对应;项目4分别与子用户2、子用户3和子用户4对应;项目5和子用户3对应;项目6和子用户3对应。
表1
| 子用户标识 | 项目标识 |
| 子用户1 | 项目1 |
| 子用户1 | 项目2 |
| 子用户2 | 项目3 |
| 子用户2 | 项目1 |
| 子用户2 | 项目2 |
| 子用户2 | 项目4 |
| 子用户3 | 项目1 |
| 子用户4 | 项目4 |
| 子用户3 | 项目2 |
| 子用户3 | 项目3 |
| 子用户3 | 项目4 |
| 子用户3 | 项目5 |
| 子用户3 | 项目6 |
结合表1,子用户可以对具有对应关系的项目所属的资源进行访问,因此,子用户可见具有对应关系的所有项目,从而,子用户可以访问具有对应关系的所有项目所属的云计算资源。
有些子用户具有主账号的所有项目的管理权限,例如,子用户3具有主账号的所有项目的管理权限,因此,当主账号的所有项目发生更新,则需要更新对应关系表,例如,在表1的基础上,删除项目6,则相应地需要在对应关系表中删除子用户3和项目6的对应关系对应的一条记录,如表2所示。在表1的基础上,增加项目7,则相应地需要在对应关系表中添加子用户3和项目7的对应关系的一条记录,如表3所示。
表2
| 子用户标识 | 项目标识 |
| 子用户1 | 项目1 |
| 子用户1 | 项目2 |
| 子用户2 | 项目3 |
| 子用户2 | 项目1 |
| 子用户2 | 项目2 |
| 子用户2 | 项目4 |
| 子用户3 | 项目1 |
| 子用户4 | 项目4 |
| 子用户3 | 项目2 |
| 子用户3 | 项目3 |
| 子用户3 | 项目4 |
| 子用户3 | 项目5 |
表3
| 子用户标识 | 项目标识 |
| 子用户1 | 项目1 |
| 子用户1 | 项目2 |
| 子用户2 | 项目3 |
| 子用户2 | 项目1 |
| 子用户2 | 项目2 |
| 子用户2 | 项目4 |
| 子用户3 | 项目1 |
| 子用户4 | 项目4 |
| 子用户3 | 项目2 |
| 子用户3 | 项目3 |
| 子用户3 | 项目4 |
| 子用户3 | 项目5 |
| 子用户3 | 项目6 |
| 子用户3 | 项目7 |
如果主账号的项目发生更新之后,需要更新子用户3与项目的对应关系。
本公开为了提高子用户标识和项目标识的对应关系表的维护的简便性以及提高对应关系表中记录的准确性,本公开提供了一种特殊项目标识,例如,“项目*”,当某个子用户与该特殊项目标识具有对应关系时,意味着,该子用户与主账号的所有项目具有对应关系。例如,结合前述示例,子用户3具有主账号的所有项目的管理权限,本公开维护的子用户与项目的对应关系表,如表4所示。
表4
| 子用户标识 | 项目标识 |
| 子用户1 | 项目1 |
| 子用户1 | 项目2 |
| 子用户2 | 项目3 |
| 子用户2 | 项目1 |
| 子用户2 | 项目2 |
| 子用户2 | 项目4 |
| 子用户3 | 项目* |
| 子用户4 | 项目4 |
当主账号对应的所有项目包括:项目1、项目2、项目3、项目4、项目5和项目6时,子用户3与项目1、项目2、项目3、项目4、项目5和项目6分别具有对应关系。当主账号删除项目6,主账号对应的所有项目包括:项目1、项目2、项目3、项目4、项目5,子用户3与项目1、项目2、项目3、项目4、项目5分别具有对应关系。当主账号增加项目7,主账号对应的所有项目包括:项目1、项目2、项目3、项目4、项目5、项目6和项目7,子用户3与项目1、项目2、项目3、项目4、项目5、项目6和项目7分别具有对应关系。在上述情况中,对应关系表中涉及子用户3的始终为一条记录,即子用户3和项目*的对应关系,无需修改对应关系表中涉及子用户3的记录,即可实现子用户3对应的项目列表的变更。
本公开还提供一种项目和云计算资源的对应关系表,如表5所示:归属于项目1的资源有资源1和资源2;归属于项目2的资源有资源3;归属于项目3的资源有资源4、资源5和资源6;归属于项目4的资源有资源7;归属于项目5的资源有资源8;归属于项目6的资源有资源9;归属于项目7的资源有资源10、资源11和资源12。
表5
| 项目标识 | 云计算资源的标识 |
| 项目1 | 资源1 |
| 项目1 | 资源2 |
| 项目2 | 资源3 |
| 项目3 | 资源4 |
| 项目3 | 资源5 |
| 项目3 | 资源6 |
| 项目4 | 资源7 |
| 项目5 | 资源8 |
| 项目6 | 资源9 |
| 项目7 | 资源10 |
| 项目7 | 资源11 |
| 项目7 | 资源12 |
下面以几个具体的实施例对本公开的技术方案进行描述。
图1为本公开提供的一种云计算资源的访问控制的方法的流程示意图,如图1所示,本实施例的方法如下:
S101:接收目标子用户发送的API调用请求,所述API调用请求中包含目标资源的标识和用于权限鉴定的参数。
其中,目标子用户是通过租户的主账号创建的。主账号是租户在云计算供应商注册的账号。
当目标子用户请求调用API时,发送API调用请求,API调用请求用于请求调用所述API操作所述目标资源。
目标资源的标识可以是资源的名称,资源的编号或者其他能够区分资源的标识,对此,本公开不做限制。
权限鉴定的参数用于确定该用户是否具有调用API的权限。
S103:根据目标资源的标识,查找预设的目标子用户对应的项目列表中包含的云计算资源列表,确定资源列表中包含的目标资源。
一种实现方式:通过查找子用户标识和项目标识的对应关系表,获取所述目标子用户对应的项目列表;以及查找项目和云计算资源的对应关系表,获取所述项目列表中的所有项目包含的云计算资源列表。然后,确定资源列表中是否包含目标资源。
即通过项目实现了资源的隔离,通过子用户标识和项目标识的对应关系表,以及项目和云计算资源的对应关系表,可以获得目标子用户可以访问的云计算资源。
结合表4和表5,假设:目标子用户为子用户1,查找子用户标识和项目标识的对应关系表(如表4),获取所述目标子用户对应的项目列表,目标子用户的项目列表包括:项目1和项目2。再查找项目和云计算资源的对应关系表(如表5),归属于项目1的资源为资源1和资源2,归属于项目2资源为资源3,因此,获取所述项目列表中的所有项目包含的云计算资源列表。云计算资源列表中包括:资源1、资源2和资源3。通过查找表4和表5,可以确定目标子用户具有资源1、资源2和资源3的访问权限。
假设目标资源的标识为资源1,则可以确定资源列表中包含该目标资源。即,该子用户具有目标资源的访问权限。假设目标资源的标识为资源5,则可以确定资源列表中未包含该目标资源,即该子用户不具有目标资源的访问权限。
S105:根据权限鉴定参数,确定目标子用户具有调用API的权限。
根据权限鉴定参数,可以确定目标子用户具有调用哪些API的权限,因此,如果权限鉴定通过,则确定目标子用户具有调用API的权限,如果权限鉴定未通过,则确定目标子用户不具有调用API的权限。
S107:允许目标子用户调用API操作目标资源。
即确定目标子用户具有目标资源的访问权限,并且,目标子用户具有调用API的权限,则允许目标子用户调用API操作目标资源。
如果,目标子用户不具有目标资源的访问权项,或者,目标子用户不具有调用API的权限,则不允许目标子用户调用API操作目标资源。
本公开对S103和S105的执行顺序不做限定,例如,可以先执行S103再执行S105,也可以先执行S105再执行S103,或者,S103和S105同时执行。
本实施例,通过接收目标子用户发送的API调用请求,所述API调用请求中包含目标资源的标识和用于权限鉴定的参数,根据目标资源的标识,查找预设的目标子用户对应的项目列表中包含的云计算资源列表,确定资源列表中包含的目标资源,即通过项目确定目标子用户是否具有访问某云计算资源的权限;根据权限鉴定参数,确定目标子用户具有调用API的权限,即,通过权限鉴定确定目标子用户是否具有调用某API的权限,只有目标子用户同时满足既有调用某API的权限,也有访问某云计算资源的权限,目标子用户才可以调用某API操作某云计算资源,从而,精细化了云计算资源的访问控制。
除此之外,本公开通过项目对云计算机资源进行隔离,建立子用户和项目的对应关系,可以实现子用户对资源以项目维度进行管理,例如,财务对应的子用户可以通过一个账号登陆,就可以实现按项目出账单。
图2为本公开提供的另一种云计算资源的访问控制方法的流程示意图,图2是在图1所示实施例的基础上,进一步地,S103的一种可能的实现方式的描述,如图2所示:
S1031:查找子用户标识和项目标识的对应关系表,获取所述目标子用户对应的目标项目标识。
本实施例中的目标子用户是指具有主账号的所有项目管理权限的子用户。
举例来说,结合表4,子用户3登陆控制台之后,根据表4所示的用户标识和项目标识的对应关系,获取到子用户3对应的目标项目标识为项目*。
S1033:若所述目标项目标识为特殊项目标识,则确定所述目标子用户对应的项目列表包括所述主账号的所有项目。
结合前述示例,项目3为特殊项目标识,则确定子用户3对应的项目列表包含主账号的所有项目,例如,当主账号对应的所有项目包括:项目1、项目2、项目3、项目4、项目5和项目6时,子用户3对应的项目列表包括:项目1、项目2、项目3、项目4、项目5和项目6。当主账号对应的所有项目包括:项目1、项目2、项目3、项目4、项目5,子用户3对应的项目列表包括:项目1、项目2、项目3、项目4和项目5。当主账号对应的所有项目包括:项目1、项目2、项目3、项目4、项目5、项目6和项目7,子用户3对应的项目列表包括:项目1、项目2、项目3、项目4、项目5、项目6和项目7。
可选的,还可以包括:S1035。
S1035:根据所述目标子用户对应的项目列表,显示操作界面,所述操作界面中所述项目列表中的所有项目处于可操作状态。
举例来说,子用户3需要自定义购买云服务器,则需要为云服务器设置其归属的项目,需要从子用户3的项目列表中选择一个项目作为购买的云服务器归属的项目,则子用户3的项目列表中,显示主账号的所有项目,如图3所示,图3为本公开提供的一种操作界面示意图,图3的显示有子用户3的账号信息,例如,在图3的右上角区域1显示子用户3的账号信息;在图3的区域2涉及到为购买的云服务器分配所属项目,因此,在所属项目处以下拉列表的方式显示子用户3的项目列表,项目列表中包含主账号的所有项目,例如:项目1、项目2、项目3、项目4、项目5、项目6和项目7。
本实施例,在图1所示实施例的基础上,进一步地根据子用户标识和项目标识的对应关系,获取所述目标子用户对应的目标项目标识,若所述目标项目标识为特殊项目标识,则确定所述目标子用户对应的项目列表包括所述主账号的所有项目;根据所述目标子用户对应的项目列表,显示操作界面,所述操作界面中所述项目列表中的所有项目处于可操作状态。也就是通过设置特殊项目标识,特殊项目标识对于对应主账号的所有项目,因此,当主账号的所有项目发生更新(例如,新建项目或者删除项目)都无需更新子用户标识和特殊项目标识的对应关系,从而,避免因配置人员未及时配置子用户标识和项目标识的对应关系而导致子用户对某些项目无管理权限,使得子用户对应项目列表可以及时更新,从而,提高了用户体验。
图4为本公开提供的再一种云计算资源的访问控制方法的流程示意图;如图4所示,本实施例是在图2所示实施例的基础上,进一步地,S1033之前,进一步地还包括:
S1032:根据目标子用户和所述目标项目标识的对应关系的有效期,确定所述目标子用户和所述目标项目标识的对应关系在有效期内。
可选的,可以在每条对应关系记录里设置有效期,如图表6所示:
表6
| 子用户标识 | 项目标识 | 有效期 |
| 子用户1 | 项目1 | 2020年1月1-2020年12月1日 |
| 子用户1 | 项目2 | 2020年2月1-2020年8月1日 |
| 子用户2 | 项目3 | 2020年3月1-2020年8月1日 |
| 子用户2 | 项目1 | 2020年1月1-2020年2月1日 |
| 子用户2 | 项目2 | 2020年1月1-2020年12月1日 |
| 子用户2 | 项目4 | 2020年1月1-2020年12月1日 |
| 子用户3 | 项目* | 2020年1月1-2022年12月1日 |
| 子用户4 | 项目4 | 2020年1月1-2020年12月1日 |
本实施例,通过设置对应关系的有效期,确定目标子用户和所述目标项目标识的对应关系在有效期内,再确定所述目标子用户对应的项目列表包括所述主账号的所有项目。从而,可以避免未及时删除对应关系记录而造成一些子用户管理没有权限的项目,因此,进一步地提高了用户体验。
图5为本公开提供的又一种云计算资源的访问控制方法的流程示意图,在图2或图4所示实施例的基础上,进一步地,在S1011之前还包括如下步骤:
S1001:显示子用户编辑界面,所述子用户编辑界面包含子用户的标识信息编辑项以及第一选项。
其中,第一子用户是指通过主账号授权具有编辑子用户信息的权限的子用户,或者,被授权具有调用编辑子用户信息API的子用户。
主账号或者第一子用户登陆控制台之后,显示子用户编辑界面,如图6所示,子用户编辑界面显示子用户的标识信息编辑项601和第一选项602。
S1002:接收子用户的标识信息编辑项处输入的目标子用户的标识信息,以及接收所述第一选项的选中指令,建立所述目标子用户标识和特殊项目标识的对应关系。
接收用户在子用户的标识信息编辑项输入的目标子用户的标识信息,例如:456;接收第一选项的选中指令,例如,通过点击选中第一选项,选中第一选项意味着同意建立目标子用户的标识与特殊项目标识的对应关系,因此,接收第一选项的选中指令之后,建立目标子用户标识和特殊项目标识的对应关系,即在对应关系表中添加一条记录,目标子用户标识和特殊项目标识的对应关系的记录。
本实施例,通过在控制台以图形界面显示的方式,用户只需要选中第一选项,即可以完成目标子用户与特殊项目标识的对应关系的建立,操作简单高效,因此,可以进一步地提高用户体验。
可选的,在图5所示实施例的基础上,如果需要删除目标子用户与特殊项目标识的对应关系,用户可以在图6所示的界面上输入对第一选项的取消选中指令,取消之后图形界面如图7所示,接收所述第一选项的取消选中指令,删除所述目标子用户标识和特殊项目标识的对应关系,即在对应关系表中删除一条记录,目标子用户标识和特殊项目标识的对应关系。
本实施例,通过在控制台以图形界面显示的方式,用户只需要取消选中第一选项,即可以完成删除目标子用户与特殊项目标识的对应关系的建立,操作简单高效,因此,可以进一步地提高用户体验。
图8为本公开提供的又一种云计算资源的访问控制方法的流程示意图,在图2或图4所示实施例的基础上,进一步地,在S1011之前还包括如下步骤:
S100:主账号或者第一子用户通过调用编辑子用户信息API,建立所述目标子用户和所述特殊项目标识的对应关系。
即通过主账号或者第一子用户除了通过登陆控制台的方式建立所述目标子用户和所述特殊项目标识的对应关系,还可以通过调用编辑子用户信息API的方式建立目标子用户与特殊项目标识的对应关系。
本实施例,通过在调用编辑子用户信息API,建立标子用户与特殊项目标识的对应关系,提供了多种实现方式,用户可以根据喜好灵活选择,因此,进一步地提高了用户体验。
可选的,建立目标子用户与特殊项目标识的对应关系之后,还可以包括:主账号或者第一子用户通过调用编辑子用户信息API,删除所述目标子用户和所述特殊项目标识的对应关系。即通过主账号或者第一子用户除了通过登陆控制台的方式建立所述目标子用户和所述特殊项目标识的对应关系,还可以通过调用编辑子用户信息API的方式删除目标子用户与特殊项目标识的对应关系。
图9为本公开提供的一种云计算资源的访问控制装置结构示意图,如图9所示,本实施例的装置包括:接收模块901、处理模块902。
其中,接收模块901,用于接收目标子用户发送的应用程序接口API调用请求,所述API调用请求中包含目标资源的标识和用于权限鉴定的参数;
处理模块902,用于根据所述目标资源的标识,查找预设的目标子用户对应的项目列表中包含的云计算资源列表,确定所述资源列表中包含所述目标资源;
所述处理模块902还用于根据所述权限鉴定参数,确定所述目标子用户具有调用所述API的权限;
所述处理模块902还用于允许所述目标子用户调用所述API操作所述目标资源。
可选的,所述处理模块902具体用于查找子用户标识和项目标识的对应关系表,获取所述目标子用户对应的项目列表;查找项目和云计算资源的对应关系表,获取所述项目列表中的所有项目包含的云计算资源列表。
可选的,所述处理模块902具体用于查找子用户标识和项目标识的对应关系表,获取所述目标子用户对应的目标项目标识;若所述目标项目标识为特殊项目标识,则确定所述目标子用户对应的项目列表包括主账号的所有项目。
可选的,还包括:
显示模块903用于显示操作界面,所述操作界面中所述项目列表中的所有项目处于可操作状态。
可选的,所述处理模块902还用于根据所述目标子用户和所述目标项目标识的对应关系的有效期,确定所述目标子用户和所述目标项目标识的对应关系在有效期内。
可选的,所述显示模块903还用于显示子用户编辑界面,所述子用户编辑界面包含子用户的标识信息编辑项以及第一选项;
所述接收模块901还用于接收子用户的标识信息编辑项处输入的目标子用户的标识信息,以及接收所述第一选项的选中指令,建立所述目标子用户标识和特殊项目标识的对应关系。
可选的,所述接收模块901还用于接收所述第一选项的取消选中指令,删除所述目标子用户标识和特殊项目标识的对应关系。
本实施例的装置,对应的可用于执行图1-图8任一所述方法实施例中的步骤,其实现原理和技术效果类似,此处不再赘述。
本公开还提供一种计算机设备,包括:第一处理器,所述第一处理器用于执行存储于第一存储器的计算机程序,所述计算机程序被第一处理器执行时实现图1-图7任一项所述的方法的步骤。
本公开还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被第一处理器执行时实现图1-图7任一项所述的方法的步骤。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅是本公开的具体实施方式,使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下,在其它实施例中实现。因此,本公开将不会被限制于本文所述的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种云计算资源的访问控制方法,其特征在于,包括:
接收目标子用户发送的应用程序接口API调用请求,所述API调用请求中包含目标资源的标识和用于权限鉴定的参数;
根据所述目标资源的标识,查找预设的目标子用户对应的项目列表中包含的云计算资源列表,确定所述资源列表中包含所述目标资源;
根据所述权限鉴定参数,确定所述目标子用户具有调用所述API的权限;
允许所述目标子用户调用所述API操作所述目标资源。
2.根据权利要求1所述的方法,其特征在于,所述根据所述目标资源的标识,查找预设的目标子用户对应的项目列表中包含的云计算资源列表,确定所述资源列表中包含所述目标资源,包括:
查找子用户标识和项目标识的对应关系表,获取所述目标子用户对应的项目列表;
查找项目和云计算资源的对应关系表,获取所述项目列表中的所有项目包含的云计算资源列表。
3.根据权利要求2所述的方法,其特征在于,所述查找子用户标识和项目标识的对应关系表,获取所述目标子用户对应的项目列表,包括:
查找子用户标识和项目标识的对应关系表,获取所述目标子用户对应的目标项目标识;
若所述目标项目标识为特殊项目标识,则确定所述目标子用户对应的项目列表包括主账号的所有项目。
4.根据权利要求3所述的方法,其特征在于,还包括:
显示操作界面,所述操作界面中所述项目列表中的所有项目处于可操作状态。
5.根据权利要求3所述的方法,其特征在于,所述确定所述目标子用户对应的项目列表包括主账号的所有项目之前,还包括:
根据所述目标子用户和所述目标项目标识的对应关系的有效期,确定所述目标子用户和所述目标项目标识的对应关系在有效期内。
6.根据权利要求3所述的方法,其特征在于,所述查找子用户标识和项目标识的对应关系表,获取所述目标子用户对应的目标项目标识之前,还包括:
显示子用户编辑界面,所述子用户编辑界面包含子用户的标识信息编辑项以及第一选项;
接收子用户的标识信息编辑项处输入的目标子用户的标识信息,以及接收所述第一选项的选中指令,建立所述目标子用户标识和特殊项目标识的对应关系。
7.根据权利要求6所述的方法,其特征在于,还包括:
接收所述第一选项的取消选中指令,删除所述目标子用户标识和特殊项目标识的对应关系。
8.一种云计算资源的访问控制装置,其特征在于,包括:
接收模块,用于接收目标子用户发送的应用程序接口API调用请求,所述API调用请求中包含目标资源的标识和用于权限鉴定的参数;
处理模块,用于根据所述目标资源的标识,查找预设的目标子用户对应的项目列表中包含的云计算资源列表,确定所述资源列表中包含所述目标资源;
所述处理模块还用于根据所述权限鉴定参数,确定所述目标子用户具有调用所述API的权限;
所述处理模块还用于允许所述目标子用户调用所述API操作所述目标资源。
9.一种计算机设备,其特征在于,包括:处理器,所述处理器用于执行存储于存储器的计算机程序,所述计算机程序被处理器执行时实现权利要求1-7任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-7任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110002650.XA CN112866212A (zh) | 2021-01-04 | 2021-01-04 | 云计算资源的访问控制方法、装置、计算机设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110002650.XA CN112866212A (zh) | 2021-01-04 | 2021-01-04 | 云计算资源的访问控制方法、装置、计算机设备和介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112866212A true CN112866212A (zh) | 2021-05-28 |
Family
ID=76001292
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110002650.XA Pending CN112866212A (zh) | 2021-01-04 | 2021-01-04 | 云计算资源的访问控制方法、装置、计算机设备和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112866212A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114065183A (zh) * | 2021-10-18 | 2022-02-18 | 深信服科技股份有限公司 | 一种权限控制方法、装置、电子设备和存储介质 |
| CN114584364A (zh) * | 2022-03-01 | 2022-06-03 | 北京金山云网络技术有限公司 | 资源访问控制方法、装置、存储介质以及电子设备 |
| CN114666126A (zh) * | 2022-03-21 | 2022-06-24 | 阿里云计算有限公司 | 资源管理方法、装置、服务器及系统 |
| WO2023185043A1 (zh) * | 2022-03-31 | 2023-10-05 | 蚂蚁区块链科技(上海)有限公司 | 一种可调用资源的分配方法和装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107977773A (zh) * | 2017-11-10 | 2018-05-01 | 国云科技股份有限公司 | 一种管理多个云平台的多项目资源额度的方法 |
| CN109829287A (zh) * | 2018-11-20 | 2019-05-31 | 新疆福禄网络科技有限公司 | Api接口权限访问方法、设备、存储介质及装置 |
| CN110247927A (zh) * | 2019-06-28 | 2019-09-17 | 北京金山云网络技术有限公司 | 一种云计算资源的权限管理方法及装置 |
| CN110798354A (zh) * | 2019-11-01 | 2020-02-14 | 国云科技股份有限公司 | 一种基于多云的vdc资源管理方法 |
| US10592302B1 (en) * | 2017-08-02 | 2020-03-17 | Styra, Inc. | Method and apparatus for specifying API authorization policies and parameters |
| CN110913016A (zh) * | 2019-12-13 | 2020-03-24 | 杭州城市大数据运营有限公司 | 一种针对云资源平台及存储介质的资源管理系统 |
| CN111488595A (zh) * | 2020-03-27 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 用于实现权限控制的方法及相关设备 |
| US20200382442A1 (en) * | 2018-02-19 | 2020-12-03 | Siemens Aktiengesellschaft | Method and system for managing sub-tenants in a cloud computing environment |
| CN112165454A (zh) * | 2020-09-03 | 2021-01-01 | 北京金山云网络技术有限公司 | 访问控制方法、装置、网关和控制台 |
-
2021
- 2021-01-04 CN CN202110002650.XA patent/CN112866212A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10592302B1 (en) * | 2017-08-02 | 2020-03-17 | Styra, Inc. | Method and apparatus for specifying API authorization policies and parameters |
| CN107977773A (zh) * | 2017-11-10 | 2018-05-01 | 国云科技股份有限公司 | 一种管理多个云平台的多项目资源额度的方法 |
| US20200382442A1 (en) * | 2018-02-19 | 2020-12-03 | Siemens Aktiengesellschaft | Method and system for managing sub-tenants in a cloud computing environment |
| CN109829287A (zh) * | 2018-11-20 | 2019-05-31 | 新疆福禄网络科技有限公司 | Api接口权限访问方法、设备、存储介质及装置 |
| CN110247927A (zh) * | 2019-06-28 | 2019-09-17 | 北京金山云网络技术有限公司 | 一种云计算资源的权限管理方法及装置 |
| CN110798354A (zh) * | 2019-11-01 | 2020-02-14 | 国云科技股份有限公司 | 一种基于多云的vdc资源管理方法 |
| CN110913016A (zh) * | 2019-12-13 | 2020-03-24 | 杭州城市大数据运营有限公司 | 一种针对云资源平台及存储介质的资源管理系统 |
| CN111488595A (zh) * | 2020-03-27 | 2020-08-04 | 腾讯科技(深圳)有限公司 | 用于实现权限控制的方法及相关设备 |
| CN112165454A (zh) * | 2020-09-03 | 2021-01-01 | 北京金山云网络技术有限公司 | 访问控制方法、装置、网关和控制台 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114065183A (zh) * | 2021-10-18 | 2022-02-18 | 深信服科技股份有限公司 | 一种权限控制方法、装置、电子设备和存储介质 |
| CN114584364A (zh) * | 2022-03-01 | 2022-06-03 | 北京金山云网络技术有限公司 | 资源访问控制方法、装置、存储介质以及电子设备 |
| CN114666126A (zh) * | 2022-03-21 | 2022-06-24 | 阿里云计算有限公司 | 资源管理方法、装置、服务器及系统 |
| CN114666126B (zh) * | 2022-03-21 | 2024-06-07 | 阿里云计算有限公司 | 资源管理方法、装置、服务器及系统 |
| WO2023185043A1 (zh) * | 2022-03-31 | 2023-10-05 | 蚂蚁区块链科技(上海)有限公司 | 一种可调用资源的分配方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112866212A (zh) | 云计算资源的访问控制方法、装置、计算机设备和介质 | |
| US20140101117A1 (en) | Methods and systems for managing records in an on-demand system | |
| US9292181B2 (en) | Filtering objects in a multi-tenant environment | |
| US20140173720A1 (en) | System and method for controlling the on and off state of features at runtime | |
| US10891298B2 (en) | Systems and methods for package component visualizations | |
| US11416677B2 (en) | Dynamic resource management systems and form integration methods | |
| US20050234966A1 (en) | System and method for managing supply of digital content | |
| CN111427491A (zh) | 一种系统后台菜单按钮的配置方法及装置 | |
| JP7200322B2 (ja) | 所属管理装置、所属管理方法および所属管理プログラム | |
| CN108288001B (zh) | 一种组织架构的构建方法及装置 | |
| CN113392415A (zh) | 数据仓库的访问控制方法、系统和电子设备 | |
| CN112445805A (zh) | 一种数据的查询方法及装置 | |
| CN107766743B (zh) | 文件访问权限的设置方法及装置、终端设备、存储介质 | |
| US20170206371A1 (en) | Apparatus and method for managing document based on kernel | |
| JP4207417B2 (ja) | 文書管理装置 | |
| CN111651122B (zh) | 数据删除方法、装置、服务器及存储介质 | |
| CN112084021A (zh) | 教育系统的界面配置方法、装置、设备及可读存储介质 | |
| CN110807185A (zh) | 系统访问方法、装置及服务器 | |
| CN114153354B (zh) | 菜单显示方法和电子设备 | |
| JP2004062241A (ja) | ユーザアクセス権制御装置及び方法 | |
| JP2004054779A (ja) | アクセス権管理システム | |
| JP4186452B2 (ja) | 文書管理装置 | |
| CN108898027B (zh) | 一种权限控制方法、装置及服务器集群 | |
| US11063951B1 (en) | Systems and methods for correcting file system permissions | |
| WO2016068750A1 (en) | Method of management of splitting the information object stored in a single database |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210528 |