CN114374524A - 对象存储的访问控制方法和装置、存储介质和电子装置 - Google Patents

对象存储的访问控制方法和装置、存储介质和电子装置 Download PDF

Info

Publication number
CN114374524A
CN114374524A CN202011099149.1A CN202011099149A CN114374524A CN 114374524 A CN114374524 A CN 114374524A CN 202011099149 A CN202011099149 A CN 202011099149A CN 114374524 A CN114374524 A CN 114374524A
Authority
CN
China
Prior art keywords
target
access control
access
intranet
identification information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011099149.1A
Other languages
English (en)
Inventor
张健
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kingsoft Cloud Network Technology Co Ltd
Original Assignee
Beijing Kingsoft Cloud Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Cloud Network Technology Co Ltd filed Critical Beijing Kingsoft Cloud Network Technology Co Ltd
Priority to CN202011099149.1A priority Critical patent/CN114374524A/zh
Publication of CN114374524A publication Critical patent/CN114374524A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供了一种对象存储的访问控制方法和装置、存储介质和电子装置,其中,该方法包括:接收目标云主机的目标访问请求,其中,所述目标访问请求用于请求访问目标对象存储中目标应用程序的目标应用资源;获取与所述目标云主机对应的目标内网标识信息,其中,所述目标内网标识信息为所述目标云主机在所属的虚拟私有云中的标识信息;根据所述目标内网标识信息,对所述目标应用资源进行访问控制。通过本申请,解决了相关技术中云主机通过域名访问对象存储的方式存在由于权限管控粒度过大导致的对象存储安全性差的问题。

Description

对象存储的访问控制方法和装置、存储介质和电子装置
技术领域
本申请涉及互联网领域,尤其涉及一种对象存储的访问控制方法和装置、存储介质和电子装置。
背景技术
传统的应用一般是运行在本地服务器上。随着云计算服务的出现,可以采用在云端直接构建并运行应用的模式,在云端构建并运行的应用可以称为云原生应用,云端是指云计算服务。对于云原生应用,应用在开始设计时就需要考虑到应用将来是运行云环境里面的。云计算的服务模式可以包括但不限于:IaaS、PaaS和SaaS。云端的应用可以充分利用云资源的优点,例如,各种云服务(云主机与云存储)的弹性和分布式架构。
云主机、弹性IP、云存储中的对象存储是构成VPC环境下的网络应用中的计算、网络、存储资源的基础。在VPC环境中,用户可以自主规划网络,进行安全防控,通过挂载公网EIP(弹性IP)来对外提供服务。
对象存储由于其具有高可用性和低成本的特性,常被用作云原生应用的各种数据库与硬盘快照等备份文件的存储容器,可以满足将非结构化的数据直接存储。可实现跨主机文件共享。但是,云上数据库等为PaaS应用,对象存储与云主机均为IaaS应用,实现上通常需要云厂商进行合理网络规划,实现二者内网可通。
相关技术中,VPC中的云主机可以通过域名访问对象存储,权限管控是建立在整个VPC粒度上的,存在一定安全风险。
发明内容
本申请提供了一种对象存储的访问控制方法和装置、存储介质和电子装置,以至少解决相关技术中云主机通过域名访问对象存储的方式存在由于权限管控粒度过大导致的对象存储安全性差的问题。
根据本申请实施例的一个方面,提供了一种对象存储的访问控制方法,包括:接收目标云主机的目标访问请求,其中,所述目标访问请求用于请求访问目标对象存储中目标应用程序的目标应用资源;获取与所述目标云主机对应的目标内网标识信息,其中,所述目标内网标识信息为所述目标云主机在所属的虚拟私有云中的标识信息;根据所述目标内网标识信息,对所述目标应用资源进行访问控制。
可选地,在接收所述目标云主机的所述目标访问请求之后,所述方法还包括:确定与所述目标访问请求对应的所述目标应用程序的目标API;根据所述目标API,确定所述目标访问请求所请求的目标操作,所述目标操作为对所述目标应用资源所执行的资源操作。
可选地,根据目标内网标识信息,对所述目标应用资源进行访问控制包括:获取与所述目标对象存储对应的访问控制规则,其中,所述访问控制规则用于指示不同云主机的内网标识信息对所述目标对象存储中所述目标应用程序的应用资源的访问权限;在获取到与所述目标对象存储对应的目标访问控制规则的情况下,根据所述目标内网标识信息和所述目标访问控制规则,对所述目标应用资源进行访问控制。
可选地,根据所述目标内网标识信息和所述目标访问控制规则,对所述目标应用资源进行访问控制包括:在所述目标访问控制规则包括第一访问控制规则的情况下,根据所述第一访问控制规则和目标子网ID,确定所述目标应用资源的第一访问控制结果,其中,所述第一访问控制规则用于指示不同云主机的子网ID对所述目标应用资源或者目标存储空间的访问权限,所述目标子网ID为所述目标云主机在所述虚拟私有云中的子网ID,所述目标内网标识信息包括所述目标子网ID;在所述目标访问控制规则包括第二访问控制规则的情况下,根据所述第二访问控制规则和目标内网网际互连协议IP地址,确定所述目标应用资源的第二访问控制结果,其中,所述第二访问控制规则用于指示不同云主机的内网IP地址对所述目标应用资源或者目标存储空间的访问权限,所述目标内网IP地址为所述目标云主机在所述虚拟私有云中的内网IP地址,所述目标内网标识信息包括所述目标内网IP地址;其中,所述目标存储空间为所述目标对象存储中所述目标应用资源所在的存储空间。
可选地,根据所述目标内网标识信息和所述目标访问控制规则,对所述目标应用资源进行访问控制还包括:在所述第一访问控制结果和所述第二访问控制结果不一致的情况下,向所述目标云主机发送第一访问拒绝消息,其中,所述第一访问拒绝消息用于指示拒绝访问所述目标应用资源。
可选地,在获取与所述目标对象存储对应的访问控制规则之后,所述方法还包括:在未获取到与所述目标对象存储对应的访问控制规则的情况下,确定与所述目标对象存储的访问控制列表,其中,所述访问控制列表用于过滤所述目标对象存储的访问请求;在根据所述访问控制列表确定所述目标访问请求通过的情况下,确定允许所述目标云主机访问所述目标应用资源;在根据所述访问控制列表确定所述目标访问请求不通过的情况下,确定拒绝所述目标云主机访问所述目标应用资源。
可选地,在接收所述目标云主机的所述目标访问请求之后,所述方法还包括:获取与所述目标云主机对应的目标对象的目标对象标识;在根据所述目标对象标识确定出所述目标对象未被授权访问所述目标应用资源的情况下,向所述目标云主机发送第二访问拒绝消息,其中,所述第二访问拒绝消息用于指示拒绝访问所述目标应用资源。
根据本申请实施例的另一个方面,还提供了一种对象存储的访问控制装置,包括:接收单元,用于接收目标云主机的目标访问请求,其中,所述目标访问请求用于请求访问目标对象存储中目标应用程序的目标应用资源;第一获取单元,用于获取与所述目标云主机对应的目标内网标识信息,其中,所述目标内网标识信息为所述目标云主机在所属的虚拟私有云中的标识信息;控制单元,用于根据所述目标内网标识信息,对所述目标应用资源进行访问控制。
可选地,所述装置还包括:第一确定单元,用于在接收所述目标云主机的所述目标访问请求之后,确定与所述目标访问请求对应的所述目标应用程序的目标API;第二确定单元,用于根据所述目标API,确定所述目标访问请求所请求的目标操作,所述目标操作为对所述目标应用资源所执行的资源操作。
可选地,所述控制单元包括:第一获取模块,用于获取与所述目标对象存储对应的访问控制规则,其中,所述访问控制规则用于指示不同云主机的内网标识信息对所述目标对象存储中所述目标应用程序的应用资源的访问权限;控制模块,用于在获取到与所述目标对象存储对应的目标访问控制规则的情况下,根据所述目标内网标识信息和所述目标访问控制规则,对所述目标应用资源进行访问控制。
可选地,所述控制模块包括:第一确定子模块,用于在所述目标访问控制规则包括第一访问控制规则的情况下,根据所述第一访问控制规则和目标子网ID,确定所述目标应用资源的第一访问控制结果,其中,所述第一访问控制规则用于指示不同云主机的子网ID对所述目标应用资源或者目标存储空间的访问权限,所述目标子网ID为所述目标云主机在所述虚拟私有云中的子网ID,所述目标内网标识信息包括所述目标子网ID;第二确定子模块,用于在所述目标访问控制规则包括第二访问控制规则的情况下,根据所述第二访问控制规则和目标内网网际互连协议IP地址,确定所述目标应用资源的第二访问控制结果,其中,所述第二访问控制规则用于指示不同云主机的内网IP地址对所述目标应用资源或者目标存储空间的访问权限,所述目标内网IP地址为所述目标云主机在所述虚拟私有云中的内网IP地址,所述目标内网标识信息包括所述目标内网IP地址;其中,所述目标存储空间为所述目标对象存储中所述目标应用资源所在的存储空间。
可选地,所述控制模块还包括:发送子模块,用于在所述第一访问控制结果和所述第二访问控制结果不一致的情况下,向所述目标云主机发送第一访问拒绝消息,其中,所述第一访问拒绝消息用于指示拒绝访问所述目标应用资源。
可选地,所述装置还包括:第三确定单元,用于在获取与所述目标对象存储对应的访问控制规则之后,在未获取到与所述目标对象存储对应的访问控制规则的情况下,确定与所述目标对象存储的访问控制列表,其中,所述访问控制列表用于过滤所述目标对象存储的访问请求;第四确定单元,用于在根据所述访问控制列表确定所述目标访问请求通过的情况下,确定允许所述目标云主机访问所述目标应用资源;在根据所述访问控制列表确定所述目标访问请求不通过的情况下,确定拒绝所述目标云主机访问所述目标应用资源。
可选地,所述装置还包括:第二获取单元,在接收所述目标云主机的所述目标访问请求之后,获取与所述目标云主机对应的目标对象的目标对象标识;发送单元,用于在根据所述目标对象标识确定出所述目标对象未被授权访问所述目标应用资源的情况下,向所述目标云主机发送第二访问拒绝消息,其中,所述第二访问拒绝消息用于指示拒绝访问所述目标应用资源。
根据本申请实施例的又一个方面,还提供了一种计算机可读的存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本申请实施例的又一个方面,还提供了一种电子装置,包括存储器和处理器,存储器中存储有计算机程序,处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
在本申请实施例中,采用根据云主机在虚拟私有云中的内网标识信息进行访问控制的方式,接收目标云主机的目标访问请求,其中,目标访问请求用于请求访问目标对象存储中目标应用程序的目标应用资源;获取与目标云主机对应的目标内网标识信息,其中,目标内网标识信息为目标云主机在所属的虚拟私有云中的标识信息;根据目标内网标识信息,对目标应用资源进行访问控制,由于根据主机在虚拟私有云中的内网标识信息对对象存储中的资源进行访问控制,相对于整个VPC粒度上的访问控制,可以实现在更细的粒度上对对象存储中的资源进行访问控制的目的,达到提高访问控制的灵活性、提升对象存储的安全性的技术效果,进而解决了相关技术中云主机通过域名访问对象存储的方式存在由于权限管控粒度过大导致的对象存储安全性差的问题。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是根据本申请实施例的对象存储的访问控制方法的硬件环境的示意图;
图2是根据本申请实施例的一种可选的对象存储的访问控制方法的流程示意图;
图3是根据本申请实施例的另一种可选的对象存储的访问控制方法的流程示意图;
图4是根据本申请实施例的一种可选的对象存储的访问控制装置的结构框图;
图5是根据本申请实施例的一种可选的电子装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
首先,在对本申请实施例进行描述的过程中出现的部分名词或者术语适用于如下解释:
(1)ACL:Access Control List,访问控制列表;
(2)API:Application Programming Interface,应用程序接口;
(3)http:Hyper Text Transfer Protocol,超文本传输协议;
(4)IAAS:Infrastructure-as-a-Service,基础设施即服务;
(5)IP:Internet Protocol,网际互连协议;
(6)PaaS:Platform-as-a-Service,平台即服务;
(7)SaaS:Software-as-a-Service,软件即服务;
(8)VPC(Virtual Private Cloud,虚拟私有网络)
虚拟私有网络可以帮助用于在云中构建完全逻辑隔离的网络空间,通过SDN(Software Defined Network,软件自定义网络),灵活的自定义网络、IP地址、路由、安全策略等。用户在自定义的虚拟网络中可以部署各种云服务,可以包括但不限于:云服务器、物理机、负载均衡、云数据库等。用户可以通过弹性IP、NAT灵活地访问互联网,也可以通过专线/VPN等连接方式将VPC和已有的数据中心一起构建的混合解决方案,实现平滑迁移上云。
(9)基础网络
基础网络是云上所有用户的公共网络资源池,该资源池内云服务器内网IP地址由云端统一分配。
(10)子网
子网是从虚拟私有网络中划分的一块地址空间,用户可以在子网中关联云的各种云服务,云子网可以分为:普通子网,用户可以在普通子网中关联云服务器;终端子网,用户可以在终端子网中关联RDS、KCS、KMR等业务;物理机子网,用户可以在物理机子网中关联云物理主机。
(11)网段
网段是由用户指定的独立网络空间地址块,通过IP和掩码结合,实现对网络的整体划分。以10.1.0.0/16为例,斜杠左边为网络块的IP,斜杠右边为网络块的掩码。通过设定掩码的大小,可以调整网络块的大小设定。网络块包括的IP数=2^(32-掩码),因而10.1.0.0/16网络块至多可以包含:65536个IP地址。
(12)内网IP
内网IP无法访问互联网,但是可以用于VPC内实例之间的通讯。
(13)公网IP
公网IP地址可以访问互联网,可以是全球唯一的IP地址。
根据本申请实施例的一个方面,提供了一种对象存储的访问控制方法。可选地,在本实施例中,上述对象存储的访问控制方法可以应用于如图1所示的由终端101和服务器103(云端服务器)所构成的硬件环境中。如图1所示,服务器103通过网络与终端101进行连接,可用于为终端或终端上安装的客户端提供服务(如游戏服务、应用服务等),可在服务器上或独立于服务器设置数据库,用于为服务器103提供数据存储服务,上述网络包括但不限于:广域网、城域网或局域网,终端101并不限定于PC、手机、平板电脑等。本申请实施例的对象存储的访问控制方法可以由服务器103来执行,也可以由服务器103和终端101共同执行。其中,终端101执行本申请实施例的对象存储的访问控制方法也可以是由安装在其上的客户端来执行。
以由云端执行为例,图2是根据本申请实施例的一种可选的对象存储的访问控制方法的流程示意图,如图2所示,该方法的流程可以包括以下步骤:
步骤S202,接收目标云主机的目标访问请求,其中,目标访问请求用于请求访问目标对象存储中目标应用程序的目标应用资源;
步骤S204,获取与目标云主机对应的目标内网标识信息,其中,目标内网标识信息为目标云主机在所属的虚拟私有云中的标识信息;
步骤S206,根据目标内网标识信息,对目标应用资源进行访问控制。
通过上述步骤S202至步骤S206,接收目标云主机的目标访问请求,其中,目标访问请求用于请求访问目标对象存储中目标应用程序的目标应用资源;获取与目标云主机对应的目标内网标识信息,其中,目标内网标识信息为目标云主机在所属的虚拟私有云中的标识信息;根据目标内网标识信息,对目标应用资源进行访问控制,解决了相关技术中云主机通过域名访问对象存储的方式存在由于权限管控粒度过大导致的对象存储安全性差的问题,提高了访问控制的灵活性,提升了对象存储的安全性。
在步骤S202提供的技术方案中,接收目标云主机的目标访问请求,其中,目标访问请求用于请求访问目标对象存储中目标应用程序的目标应用资源。
本实施例中的对象存储的访问控制方法可以应用于对象存储中云原生应用的数据资源的访问控制场景。在该场景中,云原生应用的云主机和对象存储可以位于相同的VPC中,也可以位于不同的VPC中。
相关技术中,VPC中的云主机可通过域名访问对象存储,权限管控粒度建立在整个VPC粒度上。例如,在用户VPC内的子网A能访问其对象存储的存储空间A,VPC内的子网B依然可以访问存储空间A。
上述权限管控的方式管控粒度较粗,存在一定安全风险,且不能够实现对同一VPC内的云主机进行管控,无法满足权限控制要求高和业务有严格的审计要求的场景下管控需求。
可选地,在本实施例中,不同对象(例如,可以是目标应用程序的研发者、维护者或者使用者等)可以使用其终端设备上的客户端界面登录到目标应用程序。例如,目标对象可以通过其终端设备上的客户端界面使用帐号和密码、手机号和动态密码、第三方授权登录等方式登录到目标应用程序。目标应用程序可以是云原生应用,目标应用程序的客户端可以运行在云端,例如,目标客户端可以运行在目标云主机上。
目标对象可以通过其终端设备上的客户端界面触发目标云主机上运行的目标客户端向目标对象存储发送目标访问请求,以请求访问目标对象存储中目标应用程序的目标应用资源。例如,请求访问目标对象存储中目标应用程序的图片资源、音频资源、视频资源或者其他类型的资源等。目标对象存储可以接收目标云主机发送的目标访问请求。上述目标访问请求可以是客户端发起的http请求。
需要说明的是,目标访问请求也可以是用户通过其他方式触发目标云主机发送的,本实施例中对此不作限定。
在步骤S204提供的技术方案中,获取与目标云主机对应的目标内网标识信息,其中,目标内网标识信息为目标云主机在所属的虚拟私有云中的标识信息。
在接收到目标访问请求之后,目标对象存储可以对目标云主机进行权限鉴定,确定该目标云主机是否具有访问目标应用资源的权限。
为了实现同一VPC内的更细粒度的管控,例如,主机粒度的管控,对象存储的存储桶对同子网内不同主机进行限制,目标对象存储可以获取目标云主机在所属的VPC中的标识信息,即,目标内网标识信息。
目标内网标识信息可以在其所属的VPC中标识该目标云主机,可以是目标云主机的唯一标识(例如,内网IP),也可以是目标云主机所在的云主机集群、云主机组的标识(例如,子网ID),还可以是其他云主机在VPC中的标识信息,本实施例中对此不作限定。
对对象存储发起的http请求可以在服务的前端网关或者代理服务器出被接收,前端网关或者代理服务器可以将需要辅助权限判断的信息传递给访问控制实现模块(可以位于目标对象存储中),实现权限的鉴定。
上述辅助权限判断的信息可以包括但不限于以下至少之一:来源IP,子网ID,请求API,请求者身份(例如,客户端的登录帐号),其中,来源IP可以是公网IP和/或内网IP。目标内网标识信息可以包括但不限于以下至少之一:子网ID,内网IP。
在步骤S206提供的技术方案中,根据目标内网标识信息,对目标应用资源进行访问控制。
在得到目标内网标识信息之后,目标对象存储可以根据目标内网标识信息对目标应用资源进行访问控制,对目标云主机对目标应用资源的访问权限(操作权限)进行鉴定,确定该目标云主机是否具有访问该目标应用资源的权限。目标应用资源的访问权限可以包括但不限于:下载权限,上传权限。
根据目标内网标识信息对目标应用资源进行访问控制可以是:确定该目标内网标识信息是否属于允许访问目标应用资源的内网标识信息,如果属于,确定该目标云主机具有访问目标应用资源的权限,否则,确定该目标云主机没有访问目标应用资源的权限。
如果目标云主机具有访问目标应用资源,则可以对目标应用资源执行目标访问请求所请求的访问操作,例如,下载目标应用资源,上传到目标应用资源等等。本实施例中对此不作限定。
作为一种可选的实施例,在接收目标云主机的目标访问请求之后,上述方法还包括:
S11,获取与目标云主机对应的目标对象的目标对象标识;
S12,在根据目标对象标识确定出目标对象未被授权访问目标应用资源的情况下,向目标云主机发送第二访问拒绝消息,其中,第二访问拒绝消息用于指示拒绝访问目标应用资源。
除了根据目标内网标识信息对目标应用资源进行访问控制以外,还可以通过其他方式对目标应用资源进行访问控制。例如,基于公网IP对目标应用资源进行访问控制,又例如,基于目标对象标识对目标应用资源进行访问控制,该目标对象标识为与目标云主机对应的目标对象的对象标识。
可选地,在本实施例中,目标对象存储可以获取与目标云主机对应的目标对象的目标对象标识,目标对象标识用于表示请求者身份,例如,登录帐号。
根据目标对象标识,可以判断该目标对象是否具有访问目标对象存储或者目标应用资源的权限。如果目标对象具有访问目标对象存储或者目标应用资源的权限(即,被授权访问目标应用资源),则可以确定允许目标对象访问目标应用资源,执行访问目标应用资源的操作,或者,执行其他的访问控制操作。
如果目标对象没有访问目标对象存储或者目标应用资源的权限(未被授权访问目标应用资源),目标对象存储可以向目标云主机发送第二访问拒绝消息,以指示拒绝访问目标应用资源。
目标云主机接收到第二访问拒绝消息,可以在目标客户端的客户端界面上显示访问拒绝指示信息,该客户端界面可以同步显示到目标对象的终端设备上,以方便目标对象获知第二访问拒绝消息。
通过本实施例,基于目标对象标识对对象存储中的应用资源进行访问控制,可以过滤部分非法请求,提高请求响应的效率,还可以提升对象存储的安全性。
作为一种可选的实施例,在接收目标云主机的目标访问请求之后,上述方法还包括:
S21,确定与目标访问请求对应的目标应用程序的目标API;
S22,根据目标API,确定目标访问请求所请求的目标操作,目标操作为对目标应用资源所执行的资源操作。
对于对象存储中的应用资源,不同的访问操作(例如,下载,上传等)可以对应于不同的API。前端网关或者代理服务器可以将访问请求的API转化为对应的操作。
在接收到目标访问请求(例如,http请求)之后,前端网关或者代理服务器可以首先确定与该目标访问请求对应的目标应用程序的目标API,并根据目标API确定目标访问请求所请求的目标操作,即,对目标应用资源所执行的资源操作。
对于不同的资源操作,可以配置不同的访问控制权限,例如,对于下载文件,可以配置较严的管控,对于上传文件,可以配置较松的管控。
通过本实施例,通过将访问请求的API转化为对应的操作,可以提高访问控制的准确性,保证对象存储的安全性。
作为一种可选的实施例,根据目标内网标识信息,对目标应用资源进行访问控制包括:
S31,获取与目标对象存储对应的访问控制规则,其中,访问控制规则用于指示不同云主机的内网标识信息对目标对象存储中目标应用程序的应用资源的访问权限;
S32,在获取到与目标对象存储对应的目标访问控制规则的情况下,根据目标内网标识信息和目标访问控制规则,对目标应用资源进行访问控制。
用户可以配置与对象存储对应的访问控制规则,例如,访问控制规则可以是对象存储、存储桶、应用资源中的至少之一的访问控制规则。根据用户设置的规则,可以精准判断是否允许访问对象存储中的应用资源。
对于目标对象存储,用户可以配置了与目标对象存储对应的访问控制规则,也可以没有配置与目标对象存储对应的访问控制规则,与目标对象存储对应的访问控制规则可以用于指示不同云主机的内网标识信息对目标对象存储中目标应用程序的应用资源的访问权限。目标对象存储可以获取与目标对象存储对应的访问控制规则,确定是否存在存储桶的访问控制规则。
上述访问控制规则可以通过访问控制配置信息进行描述,不同的访问控制配置信息可以用于描述不同的访问控制规则。
如果获取到与目标对象存储对应的目标访问控制规则,即,存在存储桶的访问控制规则,则可以根据目标内网标识信息和目标访问控制规则对目标应用资源进行访问控制。
通过本实施例,通过首先判断是否存在存储桶的访问控制规则,以确定权限控制的方式,可以提高权限控制的灵活性。
作为一种可选的实施例,根据目标内网标识信息和目标访问控制规则,对目标应用资源进行访问控制包括:
S41,在目标访问控制规则包括第一访问控制规则的情况下,根据第一访问控制规则和目标子网ID,确定目标应用资源的第一访问控制结果,其中,第一访问控制规则用于指示不同云主机的子网ID对目标应用资源或者目标存储空间的访问权限,目标子网ID为目标云主机在虚拟私有云中的子网ID,目标内网标识信息包括目标子网ID;
S42,在目标访问控制规则包括第二访问控制规则的情况下,根据第二访问控制规则和目标内网网际互连协议IP地址,确定目标应用资源的第二访问控制结果,其中,第二访问控制规则用于指示不同云主机的内网IP地址对目标应用资源或者目标存储空间的访问权限,目标内网IP地址为目标云主机在虚拟私有云中的内网IP地址,目标内网标识信息包括目标内网IP地址;
其中,目标存储空间为目标对象存储中目标应用资源所在的存储空间。
目标内网标识信息可以包括以下至少之一:目标云主机在虚拟私有云中的子网ID(目标子网ID),目标云主机在虚拟私有云中的内网IP地址(目标内网IP地址)。对应地,目标访问控制规则可以有多种,可以包括但不限于以下至少之一:用于指示不同云主机的子网ID对目标应用资源或者目标存储空间的访问权限的第一访问控制规则,用于指示不同云主机的内网IP地址对目标应用资源或者目标存储空间的访问权限的第二访问控制规则,其中,目标存储空间可以为目标对象存储中目标应用资源所在的存储空间,例如,存储桶。
如果目标访问控制规则包括第一访问控制规则,目标对象存储可以根据第一访问控制规则和目标子网ID,确定目标应用资源的第一访问控制结果,该第一访问控制结果可以是:允许访问目标应用资源,或者,拒绝访问目标应用资源。
如果目标访问控制规则包括第二访问控制规则,目标对象存储可以根据第二访问控制规则和目标内网IP地址,确定目标应用资源的第二访问控制结果,该第二访问控制结果可以是:允许访问目标应用资源,或者,拒绝访问目标应用资源。
可选地,在本实施例中,在公有云-对象存储的鉴权管理功能中,可以增加设置子网功能,即,存储桶的访问策略中,能够对云主机的所属的VPC中的子网进行限制。用户从主机配置基本信息处获取子网ID信息,并设置存储桶策略中,可允许放行或者拒绝的该子网内所有主机的访问请求。
可选地,在子网粒度的基础上,可以增加对来源IP的设置。对象存储基于http协议提供标准HTTP服务,可以获取客户端请求的来源IP,公有云对象可以存储在存储桶鉴权上,可以支持对该IP设置放行或者拒绝的策略。
为了实现上述功能,云计算网络在转发请求过程中,可以将客户在控制台界面上获取的内网IP与所属的子网信息,传递给对象存储,从而在客户设置了来源IP与子网策略后可以正常的获取到云主机的内网IP与所属子网信息,并根据用于设置的规则精准判断是否允许访问。
可选地,在本实施例中,可以采用灵活的访问规则设置,规则组成可以如表1所示,表1示出了规则元素表单的示例,支持对来源IP和子网(通过配置subnetID)进行放行与拒绝,并支持细粒度的资源设置,为了满足不同的访问控制场景,可以设置多条规则。
表1
Figure BDA0002724770140000161
由表1中的字段可以组成一个完整的规则,或者,在一些情况下,部分元素可以采用默认配置。结合表1,对判断元素的说明如下:
1.细粒度的资源范围设置
对象存储可以支持对于不同目录甚至是单个文件访问控制。可支持全部文件(资源),或者部分文件目录,或者一个文件的设置。
2.API类型设置
对象存储在不同资源维度上的操作表现为具体调用的应用程序接口,即不同API,也称为不同的操作。
3.对访问操作执行的结果(效果)
可以支持设置2种:允许与拒绝。
4.确定被授权人
被允许或者拒绝访问资源的用户和账户,账户身份可能会被窃取,比如,秘钥的泄露造成他人冒名访问。
5.条件
在授予权限时指定的条件。只有访问请求在满足指定条件时,访问策略才可以生效。访问来源支持不同条件设定:
1)设置来源IP,如,来源IP为178.0.0.1的主机,或者174.0.1.1的公网IP,由于公网IP全网唯一,网络通信过程中不会出现转化丢失,但是,同是在云厂商内部的主机,内网IP如果架构不合理,容易在请求转发中被转化,所以对象存储从收到的请求中所获取的地址可能为内网中的某台代理的IP,导致鉴权失败。因此,云厂商在网络规划时,在避免过长网络转发路径的同时,需要携带原始内网IP信息到对象存储,从而进行访问控制的精准判断。
2)设置子网ID,子网ID在VPC环境里全网唯一。对象存储会将来源IP和携带的其他网络归属信息,确定来源请求IP的唯一归属子网与VPC。
允许多个条件同时存在。多个条件同时存在时,是处理逻辑为并集,即两者都要符合才可以。
下面结合可选示例对访问控制规则进行解释说明。
规则示例1:在访问请求的来源IP为198.0.0.1时,允许账户A对examplebucket存储桶(示例对象存储空间)执行listbucket(获取存储桶中文件列表信息)、getobject(下载文件)和Putobject(上传文件)操作操作。
规则示例2:在访问请求的来源子网ID为xxxxxx-yyyyyy时,允许账户A对examplebucket存储桶执行getobject和Putobject操作。
规则示例3:在访问请求的来源子网ID为xxxxxx-yyyyyy、且来源IP为198.0.0.1时,允许账户B对examplebucket存储桶执行getobject操作。
以上规则示例1可以实现放行云主机内网IP为198.0.0.1的部分请求;规则示例2可以实现放行子网ID为xxxxxx-yyyyyy中的所有的云主机的部分请求;规则示例3可有效的限制到具体某个子网中的某个云主机,因为不同VPC环境中可能会出现内网IP相同,所以加上子网ID的限制会更加严谨,风险更低。
通过本实施例,基于不同的内网标识信息配置不同的访问控制规则,可以提高访问控制的灵活性,提高对象存储的安全性。
作为一种可选的实施例,根据目标内网标识信息和目标访问控制规则,对目标应用资源进行访问控制还包括:
S51,在第一访问控制结果和第二访问控制结果不一致的情况下,向目标云主机发送第一访问拒绝消息,其中,第一访问拒绝消息用于指示拒绝访问目标应用资源。
在多条访问控制规则发生冲突时,为了保证对象存储的安全性,可以将拒绝的效力配置为高于允许的效力。
如果第一访问控制结果和第二访问控制结果不一致,则有一个访问控制结果为拒绝访问,最终执行拒绝。目标存储对象可以向目标云主机发送第一访问拒绝消息,以指示拒绝访问目标应用资源。
目标云主机接收到第一访问拒绝消息,可以在目标客户端的客户端界面上显示访问拒绝指示信息,该客户端界面可以同步显示到目标对象的终端设备上,以方便目标对象获知第一访问拒绝消息。
通过本实施例,在多条访问控制规则发生冲突时,将拒绝的效力配置为高于允许的效力,可以提高对象存储的安全性。
作为一种可选的实施例,在获取与目标对象存储对应的访问控制规则之后,上述方法还包括:
S61,在未获取到与目标对象存储对应的访问控制规则的情况下,确定与目标对象存储的访问控制列表,其中,访问控制列表用于过滤目标对象存储的访问请求;
S62,在根据访问控制列表确定目标访问请求通过的情况下,确定允许目标云主机访问目标应用资源;
S63,在根据访问控制列表确定目标访问请求不通过的情况下,确定拒绝目标云主机访问目标应用资源。
如果未获取到与目标对象存储对应的访问控制规则,可以确定不存在存储桶的访问控制规则,可以按照对象存储已有的存储桶和资源维度的简单访问权限控制(例如,ACL)判断是否放行,简单ACL大体分为两种:公开和私密,公开则为容许,私密则不容许。
目标对象存储可以确定与目标对象存储的访问控制列表,访问控制列表用于过滤目标对象存储的访问请求。
根据访问控制列表,目标对象存储可以判断目标访问请求是否通过,如果通过,目标对象存储可以确定允许目标云主机访问目标应用资源;否则,确定拒绝目标云主机访问目标应用资源。
允许访问目标应用资源和拒绝访问目标应用资源之后的操作与前述类似,在此不做赘述。
通过本实施例,在没有匹配到访问控制规则或者没有访问控制规则的情况下采用访问控制列表进行访问控制,可以提高对象存储的访问控制方法的适用性,还可以提升对象存储的安全性。
需要说明的是,虽然本实施例中以由对象存储执行对象存储的访问控制方法为例进行说明,不排他的,也可以采用其他设备或者网络节点执行该方法,例如,前端网关,代理服务器等。
下面结合可选示例对本申请实施例中的对象存储的访问控制方法进行解释说明。
为了解决公有云厂商均不支持VPC内云主机可被对象存储资源进行细粒度的访问控制管理的问题,本可选示例中提供了一种对象存储的访问控制方法,该方法是一种VPC内主机与对象存储中资源细粒度管控的访问控制方案,描述了如何实现对象存储桶中资源对云主机访问进行控制,可以实现精细管理访问,确保数据保护。
如图3所示,本示例中的对象存储的访问控制方法可以包括以下步骤:
步骤1,对对象存储发起的http请求。
步骤2,对象存储获取请求信息。
http请求可以在服务的前端网关或者代理服务器接收,并且将需要辅助判断的信息传递给对象存储的访问控制实现模块,实现权限的鉴定。
对象存储可以从前端网关或者代理服务器处获取请求信息,获取的请求信息可以包括但不限于:来源IP,子网ID,请求API,请求资源,请求者身份。
对象存储可以将http请求对应的API转化为对应的操作,并整理好来源IP信息与客户的账号信息,
步骤3,判断是否存在存储桶访问控制规则,如果是,执行步骤4,否则,执行步骤7。
步骤4,规则逐一匹配。
步骤5,判断是否存在筛选出匹配规则集合或单条,如果是,执行步骤6,否则,执行步骤7。
步骤6,根据规则内容判断执行结果。
存在存储桶访问控制规则时,可以与存在的规则进行一一匹配,如果仅匹配到一条规则,则根据该规则的结果,判断是否容许或者拒绝该操作。如果命中多条规则,再对规则进行对比。为了保证数据安全性原则,可以拒绝的效力高于允许的效力。当两者发生冲突时,最终执行拒绝。
步骤7,根据桶与文件本身默认ACL判断是否放行。
如果请求没有匹配到规则或者没有规则,则可以按照对象存储当前有的存储桶和资源维度的简单访问权限控制判断是否放行,简单ACL大体分为两种:公开与私密,公开则为容许,私密则不容许。
通过本示例,在云原生应用中,通过细粒度的权限控制(配置与不同子网粒度对应的访问控制策略),实现控制到单条云主机或某个子网中的多台云主机的目的,可以支持对来源IP中公网IP与内网IP的限制,支持整个子网内云主机的限制,不同粒度的灵活配置,实现灵活且丰富的访问控制策略;对文件和存储桶默认安全防控,在访问控制设置的基础上,提出更加灵活的多种访问控制策略,通过精细化API操作来设置访问规则。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
根据本申请实施例的另一个方面,还提供了一种用于实施上述对象存储的访问控制方法的对象存储的访问控制装置。图4是根据本申请实施例的一种可选的对象存储的访问控制装置的结构框图,如图4所示,该装置可以包括:
(1)接收单元402,用于接收目标云主机的目标访问请求,其中,目标访问请求用于请求访问目标对象存储中目标应用程序的目标应用资源;
(2)第一获取单元404,与接收单元402相连,用于获取与目标云主机对应的目标内网标识信息,其中,目标内网标识信息为目标云主机在所属的虚拟私有云中的标识信息;
(3)控制单元406,与第一获取单元404相连,用于根据目标内网标识信息,对目标应用资源进行访问控制。
需要说明的是,该实施例中的接收单元402可以用于执行上述步骤S202,该实施例中的第一获取单元404可以用于执行上述步骤S204,该实施例中的控制单元406可以用于执行上述步骤S206。
通过上述模块,接收目标云主机的目标访问请求,其中,目标访问请求用于请求访问目标对象存储中目标应用程序的目标应用资源;获取与目标云主机对应的目标内网标识信息,其中,目标内网标识信息为目标云主机在所属的虚拟私有云中的标识信息;根据目标内网标识信息,对目标应用资源进行访问控制,解决了相关技术中云主机通过域名访问对象存储的方式存在由于权限管控粒度过大导致的对象存储安全性差的问题,提高了访问控制的灵活性,提升了对象存储的安全性。
作为一种可选的实施例,上述装置还包括:
第一确定单元,用于在接收目标云主机的目标访问请求之后,确定与目标访问请求对应的目标应用程序的目标API;
第二确定单元,用于根据目标API,确定目标访问请求所请求的目标操作,目标操作为对目标应用资源所执行的资源操作。
作为一种可选的实施例,控制单元406包括:
第一获取模块,用于获取与目标对象存储对应的访问控制规则,其中,访问控制规则用于指示不同云主机的内网标识信息对目标对象存储中目标应用程序的应用资源的访问权限;
控制模块,用于在获取到与目标对象存储对应的目标访问控制规则的情况下,根据目标内网标识信息和目标访问控制规则,对目标应用资源进行访问控制。
作为一种可选的实施例,控制模块包括:
第一确定子模块,用于在目标访问控制规则包括第一访问控制规则的情况下,根据第一访问控制规则和目标子网ID,确定目标应用资源的第一访问控制结果,其中,第一访问控制规则用于指示不同云主机的子网ID对目标应用资源或者目标存储空间的访问权限,目标子网ID为目标云主机在虚拟私有云中的子网ID,目标内网标识信息包括目标子网ID;
第二确定子模块,用于在目标访问控制规则包括第二访问控制规则的情况下,根据第二访问控制规则和目标内网网际互连协议IP地址,确定目标应用资源的第二访问控制结果,其中,第二访问控制规则用于指示不同云主机的内网IP地址对目标应用资源或者目标存储空间的访问权限,目标内网IP地址为目标云主机在虚拟私有云中的内网IP地址,目标内网标识信息包括目标内网IP地址;
其中,目标存储空间为目标对象存储中目标应用资源所在的存储空间。
作为一种可选的实施例,控制模块还包括:
发送子模块,用于在第一访问控制结果和第二访问控制结果不一致的情况下,向目标云主机发送第一访问拒绝消息,其中,第一访问拒绝消息用于指示拒绝访问目标应用资源。
作为一种可选的实施例,上述装置还包括:
第三确定单元,用于在获取与目标对象存储对应的访问控制规则之后,在未获取到与目标对象存储对应的访问控制规则的情况下,确定与目标对象存储的访问控制列表,其中,访问控制列表用于过滤目标对象存储的访问请求;
第四确定单元,用于在根据访问控制列表确定目标访问请求通过的情况下,确定允许目标云主机访问目标应用资源;在根据访问控制列表确定目标访问请求不通过的情况下,确定拒绝目标云主机访问目标应用资源。
作为一种可选的实施例,上述装置还包括:
第二获取单元,在接收目标云主机的目标访问请求之后,获取与目标云主机对应的目标对象的目标对象标识;
发送单元,用于在根据目标对象标识确定出目标对象未被授权访问目标应用资源的情况下,向目标云主机发送第二访问拒绝消息,其中,第二访问拒绝消息用于指示拒绝访问目标应用资源。
此处需要说明的是,上述模块与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容。需要说明的是,上述模块作为装置的一部分可以运行在如图1所示的硬件环境中,可以通过软件实现,也可以通过硬件实现,其中,硬件环境包括网络环境。
根据本申请实施例的又一个方面,还提供了一种用于实施上述对象存储的访问控制方法的电子装置,该电子装置可以是终端设备、服务器、或者其组合。
图5是根据本申请实施例的一种可选的电子装置的结构框图,如图5所示,该电子装置包括存储器502和处理器504,该存储器502中存储有计算机程序,该处理器504被设置为通过计算机程序执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述电子装置可以位于计算机网络的多个网络设备中的至少一个网络设备。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,接收目标云主机的目标访问请求,其中,目标访问请求用于请求访问目标对象存储中目标应用程序的目标应用资源;
S2,获取与目标云主机对应的目标内网标识信息,其中,目标内网标识信息为目标云主机在所属的虚拟私有云中的标识信息;
S3,根据目标内网标识信息,对目标应用资源进行访问控制。
其中,存储器502可用于存储软件程序以及模块,如本发明实施例中的对象存储的访问控制方法和装置对应的程序指令/模块,处理器504通过运行存储在存储器502内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述对象存储的访问控制方法。存储器502可包括高速随机存储器,还可以包括非易失性存储器,如一个或多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器502可进一步包括相对于处理器504远程设置的存储器,这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
作为一种示例,如图5所示,上述存储器502中可以但不限于包括上述对象存储的访问控制装置中的接收单元402、第一获取单元404、以及控制单元406。此外,还可以包括但不限于上述对象存储的访问控制装置中的其他模块单元,本示例中不再赘述。
可选地,上述的传输装置506用于经由一个网络接收或者发送数据。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置506包括一个网络适配器(Network Interface Controller,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置506为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
此外,上述电子装置还包括:连接总线508,用于连接上述电子装置中的各个模块部件。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例在此不再赘述。
本领域普通技术人员可以理解,图5所示的结构仅为示意,实施上述对象存储的访问控制方法的设备可以是终端设备,该终端设备可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌上电脑以及移动互联网设备(Mobile Internet Devices,MID)、PAD等终端设备。图5其并不对上述电子装置的结构造成限定。例如,终端设备还可包括比图5中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图5所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-Only Memory,ROM)、随机存取器(RandomAccess Memory,RAM)、磁盘或光盘等。
根据本申请实施例的又一个方面,还提供了一种存储介质。可选地,在本实施例中,上述存储介质可以用于执行对象存储的访问控制方法的程序代码。
可选地,在本实施例中,上述存储介质可以位于上述实施例所示的网络中的多个网络设备中的至少一个网络设备上。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
S1,接收目标云主机的目标访问请求,其中,目标访问请求用于请求访问目标对象存储中目标应用程序的目标应用资源;
S2,获取与目标云主机对应的目标内网标识信息,其中,目标内网标识信息为目标云主机在所属的虚拟私有云中的标识信息;
S3,根据目标内网标识信息,对目标应用资源进行访问控制。
可选地,本实施例中的具体示例可以参考上述实施例中所描述的示例,本实施例中对此不再赘述。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、ROM、RAM、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例中所提供的方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (10)

1.一种对象存储的访问控制方法,其特征在于,包括:
接收目标云主机的目标访问请求,其中,所述目标访问请求用于请求访问目标对象存储中目标应用程序的目标应用资源;
获取与所述目标云主机对应的目标内网标识信息,其中,所述目标内网标识信息为所述目标云主机在所属的虚拟私有云中的标识信息;
根据所述目标内网标识信息,对所述目标应用资源进行访问控制。
2.根据权利要求1所述的方法,其特征在于,在接收所述目标云主机的所述目标访问请求之后,所述方法还包括:
确定与所述目标访问请求对应的所述目标应用程序的目标应用程序接口API;
根据所述目标API,确定所述目标访问请求所请求的目标操作,所述目标操作为对所述目标应用资源所执行的资源操作。
3.根据权利要求2所述的方法,其特征在于,根据所述目标内网标识信息,对所述目标应用资源进行访问控制包括:
获取与所述目标对象存储对应的访问控制规则,其中,所述访问控制规则用于指示不同云主机的内网标识信息对所述目标对象存储中所述目标应用程序的应用资源的访问权限;
在获取到与所述目标对象存储对应的目标访问控制规则的情况下,根据所述目标内网标识信息和所述目标访问控制规则,对所述目标应用资源进行访问控制。
4.根据权利要求3所述的方法,其特征在于,根据所述目标内网标识信息和所述目标访问控制规则,对所述目标应用资源进行访问控制包括:
在所述目标访问控制规则包括第一访问控制规则的情况下,根据所述第一访问控制规则和目标子网标识ID,确定所述目标应用资源的第一访问控制结果,其中,所述第一访问控制规则用于指示不同云主机的子网ID对所述目标应用资源或者目标存储空间的访问权限,所述目标子网ID为所述目标云主机在所述虚拟私有云中的子网ID,所述目标内网标识信息包括所述目标子网ID;
在所述目标访问控制规则包括第二访问控制规则的情况下,根据所述第二访问控制规则和目标内网网际互连协议IP地址,确定所述目标应用资源的第二访问控制结果,其中,所述第二访问控制规则用于指示不同云主机的内网IP地址对所述目标应用资源或者目标存储空间的访问权限,所述目标内网IP地址为所述目标云主机在所述虚拟私有云中的内网IP地址,所述目标内网标识信息包括所述目标内网IP地址;
其中,所述目标存储空间为所述目标对象存储中所述目标应用资源所在的存储空间。
5.根据权利要求4所述的方法,其特征在于,根据所述目标内网标识信息和所述目标访问控制规则,对所述目标应用资源进行访问控制还包括:
在所述第一访问控制结果和所述第二访问控制结果不一致的情况下,向所述目标云主机发送第一访问拒绝消息,其中,所述第一访问拒绝消息用于指示拒绝访问所述目标应用资源。
6.根据权利要求3所述的方法,其特征在于,在获取与所述目标对象存储对应的访问控制规则之后,所述方法还包括:
在未获取到与所述目标对象存储对应的访问控制规则的情况下,确定与所述目标对象存储的访问控制列表,其中,所述访问控制列表用于过滤所述目标对象存储的访问请求;
在根据所述访问控制列表确定所述目标访问请求通过的情况下,确定允许所述目标云主机访问所述目标应用资源;
在根据所述访问控制列表确定所述目标访问请求不通过的情况下,确定拒绝所述目标云主机访问所述目标应用资源。
7.根据权利要求1至6中任一项所述的方法,其特征在于,在接收所述目标云主机的所述目标访问请求之后,所述方法还包括:
获取与所述目标云主机对应的目标对象的目标对象标识;
在根据所述目标对象标识确定出所述目标对象未被授权访问所述目标应用资源的情况下,向所述目标云主机发送第二访问拒绝消息,其中,所述第二访问拒绝消息用于指示拒绝访问所述目标应用资源。
8.一种对象存储的访问控制装置,其特征在于,包括:
接收单元,用于接收目标云主机的目标访问请求,其中,所述目标访问请求用于请求访问目标对象存储中目标应用程序的目标应用资源;
第一获取单元,用于获取与所述目标云主机对应的目标内网标识信息,其中,所述目标内网标识信息为所述目标云主机在所属的虚拟私有云中的标识信息;
控制单元,用于根据所述目标内网标识信息,对所述目标应用资源进行访问控制。
9.一种计算机可读的存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至7中任一项中所述的方法。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为通过所述计算机程序执行权利要求1至7中任一项中所述的方法。
CN202011099149.1A 2020-10-14 2020-10-14 对象存储的访问控制方法和装置、存储介质和电子装置 Pending CN114374524A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011099149.1A CN114374524A (zh) 2020-10-14 2020-10-14 对象存储的访问控制方法和装置、存储介质和电子装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011099149.1A CN114374524A (zh) 2020-10-14 2020-10-14 对象存储的访问控制方法和装置、存储介质和电子装置

Publications (1)

Publication Number Publication Date
CN114374524A true CN114374524A (zh) 2022-04-19

Family

ID=81139005

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011099149.1A Pending CN114374524A (zh) 2020-10-14 2020-10-14 对象存储的访问控制方法和装置、存储介质和电子装置

Country Status (1)

Country Link
CN (1) CN114374524A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115150419A (zh) * 2022-09-05 2022-10-04 杭州华卓信息科技有限公司 一种混合云对象存储的配置和访问方法及系统
CN115982778A (zh) * 2023-03-14 2023-04-18 北京仁科互动网络技术有限公司 Obs文件访问方法、系统、装置、电子设备及存储介质
WO2024037224A1 (zh) * 2022-08-15 2024-02-22 华为云计算技术有限公司 一种基于云计算技术的云资源访问控制方法及云管理平台

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030101160A1 (en) * 2001-11-26 2003-05-29 International Business Machines Corporation Method for safely accessing shared storage
CN105635931A (zh) * 2014-11-04 2016-06-01 华为技术有限公司 一种资源访问的方法和装置
CN106789757A (zh) * 2016-03-29 2017-05-31 新华三技术有限公司 一种访问控制方法及装置
CN107317792A (zh) * 2016-03-30 2017-11-03 阿里巴巴集团控股有限公司 一种实现虚拟专有网络中访问控制的方法与设备
CN107483491A (zh) * 2017-09-19 2017-12-15 山东大学 一种云环境下分布式存储的访问控制方法
CN107566329A (zh) * 2017-05-11 2018-01-09 新华三云计算技术有限公司 一种访问控制方法及装置
CN108243175A (zh) * 2016-12-27 2018-07-03 北京金山云网络技术有限公司 一种基于桶策略的访问控制方法及装置
CN108900483A (zh) * 2018-06-13 2018-11-27 江苏物联网研究发展中心 云存储细粒度访问控制方法、数据上传和数据访问方法
WO2019052496A1 (zh) * 2017-09-14 2019-03-21 腾讯科技(深圳)有限公司 云存储的帐号鉴权方法和服务器

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030101160A1 (en) * 2001-11-26 2003-05-29 International Business Machines Corporation Method for safely accessing shared storage
CN105635931A (zh) * 2014-11-04 2016-06-01 华为技术有限公司 一种资源访问的方法和装置
CN106789757A (zh) * 2016-03-29 2017-05-31 新华三技术有限公司 一种访问控制方法及装置
CN107317792A (zh) * 2016-03-30 2017-11-03 阿里巴巴集团控股有限公司 一种实现虚拟专有网络中访问控制的方法与设备
CN108243175A (zh) * 2016-12-27 2018-07-03 北京金山云网络技术有限公司 一种基于桶策略的访问控制方法及装置
CN107566329A (zh) * 2017-05-11 2018-01-09 新华三云计算技术有限公司 一种访问控制方法及装置
WO2019052496A1 (zh) * 2017-09-14 2019-03-21 腾讯科技(深圳)有限公司 云存储的帐号鉴权方法和服务器
CN107483491A (zh) * 2017-09-19 2017-12-15 山东大学 一种云环境下分布式存储的访问控制方法
CN108900483A (zh) * 2018-06-13 2018-11-27 江苏物联网研究发展中心 云存储细粒度访问控制方法、数据上传和数据访问方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024037224A1 (zh) * 2022-08-15 2024-02-22 华为云计算技术有限公司 一种基于云计算技术的云资源访问控制方法及云管理平台
CN115150419A (zh) * 2022-09-05 2022-10-04 杭州华卓信息科技有限公司 一种混合云对象存储的配置和访问方法及系统
CN115150419B (zh) * 2022-09-05 2022-12-06 杭州华卓信息科技有限公司 一种混合云对象存储的配置和访问方法及系统
CN115982778A (zh) * 2023-03-14 2023-04-18 北京仁科互动网络技术有限公司 Obs文件访问方法、系统、装置、电子设备及存储介质
CN115982778B (zh) * 2023-03-14 2023-07-14 北京仁科互动网络技术有限公司 Obs文件访问方法、系统、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
US11962622B2 (en) Automated enforcement of security policies in cloud and hybrid infrastructure environments
US11397805B2 (en) Lateral movement path detector
US8365294B2 (en) Hardware platform authentication and multi-platform validation
US11489872B2 (en) Identity-based segmentation of applications and containers in a dynamic environment
EP3175381B1 (en) Method and system for providing a virtual asset perimeter
US9525564B2 (en) Secure virtual network platform for enterprise hybrid cloud computing environments
US7856499B2 (en) Autonomic provisioning of hosted applications with level of isolation terms
US8918841B2 (en) Hardware interface access control for mobile applications
CN114374524A (zh) 对象存储的访问控制方法和装置、存储介质和电子装置
US8813225B1 (en) Provider-arbitrated mandatory access control policies in cloud computing environments
CN111934918A (zh) 对同一容器集群内的容器实例的网络隔离方法和装置
US10721209B2 (en) Timing management in a large firewall cluster
US8635686B2 (en) Integrated privilege separation and network interception
US10595320B2 (en) Delegating policy through manufacturer usage descriptions
CN110855709A (zh) 安全接入网关的准入控制方法、装置、设备和介质
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
US9871778B1 (en) Secure authentication to provide mobile access to shared network resources
CN109413080B (zh) 一种跨域动态权限控制方法及系统
US11163584B2 (en) User device compliance-profile-based access to virtual sessions and select virtual session capabilities
CN110968848B (zh) 基于用户的权限管理方法、装置及计算设备
WO2017219748A1 (zh) 访问权限的确定、页面的访问方法及装置
CN109302397B (zh) 一种网络安全管理方法、平台和计算机可读存储介质
EP3373551A1 (en) Access control in a computer system
US10623370B1 (en) Secure data flow for virtual workspaces
AU2014100338A4 (en) Network Filtering System and Method

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination