CN117120977A - 动态地获取在计算容量和资源中执行操作的范围许可 - Google Patents
动态地获取在计算容量和资源中执行操作的范围许可 Download PDFInfo
- Publication number
- CN117120977A CN117120977A CN202280021387.1A CN202280021387A CN117120977A CN 117120977 A CN117120977 A CN 117120977A CN 202280021387 A CN202280021387 A CN 202280021387A CN 117120977 A CN117120977 A CN 117120977A
- Authority
- CN
- China
- Prior art keywords
- request
- management task
- computer
- computing system
- approver
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000004044 response Effects 0.000 claims description 34
- 230000006870 function Effects 0.000 claims description 32
- 238000000034 method Methods 0.000 claims description 21
- 230000003993 interaction Effects 0.000 claims description 18
- 230000009471 action Effects 0.000 claims description 11
- 238000007726 management method Methods 0.000 description 94
- 230000007246 mechanism Effects 0.000 description 7
- 230000003068 static effect Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000002093 peripheral effect Effects 0.000 description 4
- 230000006855 networking Effects 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000001934 delay Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 210000003813 thumb Anatomy 0.000 description 2
- 101000822695 Clostridium perfringens (strain 13 / Type A) Small, acid-soluble spore protein C1 Proteins 0.000 description 1
- 101000655262 Clostridium perfringens (strain 13 / Type A) Small, acid-soluble spore protein C2 Proteins 0.000 description 1
- 101000655256 Paraclostridium bifermentans Small, acid-soluble spore protein alpha Proteins 0.000 description 1
- 101000655264 Paraclostridium bifermentans Small, acid-soluble spore protein beta Proteins 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/468—Specific access rights for resources, e.g. using capability register
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
计算系统中的控制平面接收对计算系统资源集合执行管理任务的请求。所述控制平面识别要在其上执行所述管理任务的目标范围,并且针对该特定请求动态地获得对在所识别出的目标范围中的资源执行所述管理任务的许可。
Description
背景技术
计算机系统目前正在广泛使用。一些计算系统托管能够由多个不同的租户的客户端计算系统访问的应用。不同的租户能够是不同的组织。
所托管的应用可以被配置在由客户端设备访问的托管的资源群集上。所托管的应用能够通过能够被部署在控制平面中的控制功能来管理和维护。为了执行管理任务(诸如创建资源、更新资源、删除资源等),控制平面接收执行管理任务的请求。然而,控制平面必须具有执行管理任务的许可,并且能够从批准者系统获得执行管理任务的批准。
以上讨论仅仅是为了一般背景信息而提供的,而并不旨在用于辅助确定所要求保护的主题的范围。
发明内容
计算系统中的控制平面接收对计算系统资源集合执行管理任务的请求。所述控制平面为该特定请求动态地识别要在其上执行管理任务的目标范围,并且获得对所识别出的目标范围内的资源执行管理任务的许可。
提供本概要是为了以简化的形式引入概念的选择,这些概念在下文的详细描述中进一步描述。本概要不是为了识别所要求保护的主题的关键特征或基本特征,也不是为了用于辅助确定所要求保护的主题的范围。所要求保护的主题并不限于解决背景中提到的任何或所有缺点的实现方式。
附图说明
图1是计算系统架构的一个示例的框图。
图2A和图2B(在本文中被统称为图2)示出了图示出计算系统中的控制平面如何动态地识别用于管理操作的目标范围并且获得执行管理操作的许可的流程图。
图3是示出了被部署在远程服务器架构中的、在图3中所图示的计算系统架构的一个示例的框图。
图4是能够在先前的图中所图示的架构中使用的计算环境的一个示例的框图。
具体实施方式
如上文所论述的,控制平面需要对在托管环境中的计算系统资源执行管理操作的许可。在一些当前的系统中,所述控制平面针对托管环境的整个计算能力具有常备许可。然而,这会是有问题的。静态许可常常支持的操作范围比执行所请求的管理任务所需的范围大得多。这会使得执行秘密操作变得更容易。例如,当授予针对大范围的计算系统资源的许可时,能够在该范围内的任何地方执行操作,由此支持对任何资源执行秘密操作。
因此,本讨论继续涉及一种系统,其中,所述控制平面能够动态地识别用于执行所请求的管理任务的范围。例如,所述控制平面能够接收指示执行管理任务的请求的信号。然后,所述控制平面能够动态地识别执行该管理任务所需的目标范围,并且生成批准请求以请求在所识别的目标范围内执行管理任务的批准。在获得批准之前对范围的这种动态识别能够大大减小能够在其之内执行操作的范围,由此增强安全性并且减少能够在计算系统资源内采取秘密操作的可能性。在一个示例中,动态地意指由所述控制平面为执行管理任务的每个特定请求识别目标范围,并且请求针对该目标范围的批准。这与静态范围是不同的,在静态范围中,所述控制平面被授权在预定义的范围内执行操作,所述预定义的范围不是根据每个请求而确定的。因为所述静态范围不是根据特定于请求的基础来确定的,所以静态范围必须涵盖用于执行管理任务的许多不同类型的请求以及许多不同的管理任务。因此,所述静态范围常常非常广泛,并且能够访问执行需要批准的许多任务所需的资源。
图1是计算系统架构100的一个示例的框图。计算系统架构100包括请求系统102、控制平面计算系统(或者控制平面)104、批准者系统105以及数据访问平面计算系统(或者数据平面)106。控制平面计算系统104能够包括一个或多个处理器或服务器108、数据存储110、任务分析系统112、批准请求生成器114、批准交互系统116、操作执行功能118以及其他项目120。任务分析系统112能够包括动态范围识别系统122、操作识别系统124、时间识别系统126以及其他项目128。
数据访问平面计算系统106能够包括一个或多个处理器或服务器130、数据存储134、计算系统资源136以及其他项目138。数据访问平面计算系统106可以包括运行针对不同用户的代码的计算系统资源136的集合。计算系统资源136能够被划分为多个不同的托管资源集群140-142。托管资源集群140-142能够按环排列。例如,资源集群140能够是测试环,而资源集群142能够是生产环。这些环仅仅是示例。资源群集140-142能够由多个不同的客户端设备144-146访问,这些客户端设备自身能够由不同的用户148-150的集合来访问和操纵。客户端设备144-146可以属于具有基于租户的用户的不同租户(其中,租户可以是组织)。不同租户可以访问计算系统资源136中的不同资源集群140-142,从而针对不同租户的数据保持分离。另外,不同租户可以对被部署在不同计算系统资源136上的应用或服务具有不同的订阅以及对应的功能。每个不同租户可以具有对不同服务、计算系统资源和/或计算系统功能的一个或多个不同的订阅。
在更详细地描述架构100的总体操作之前,将首先提供对架构100中的一些项目的简要描述。
请求系统102可以是工程系统、帮助系统或者允许系统102的工程师或其他用户生成对数据访问平面计算系统106中的项目执行管理任务的请求的另一系统。执行管理任务的请求由图1中的框152图示出。可以通过在一个或多个不同资源136或资源集群140-142上执行多个不同的操作来执行在请求152中表示的任务。所述操作可以跨租户、跨集群140-142、跨订阅或者在单个租户、订阅或资源集群内执行。
控制平面计算系统104能够被用于部署、管理和配置由客户端计算系统144-146用于访问客户端数据的代码。然后,用户148-150使用计算系统106中的数据访问功能来访问所述数据并且访问由所述代码实现的用户功能。因此,控制平面计算系统104被用于对计算系统106中的数据访问功能和对计算系统资源136执行管理任务、部署任务以及其他配置任务。
然而,在执行管理任务之前,控制平面计算系统104首先动态地识别数据访问平面计算系统106内的目标范围,控制平面计算系统104需要访问所述目标范围,以便执行所请求的管理任务。例如,假设由请求152所请求的管理任务是跨计算系统资源136中的多个订阅提供对网络资源的修复。在这种情况下,动态范围识别系统122分析所述请求以确定为了执行所请求的管理任务而需要访问的特定资源集群140-142。需要访问的群集可以跨不同的订阅,其可以是网络资源的子集,或者其可以在另一粒度上确定。动态范围识别系统122将需要在数据访问平面计算系统106中访问的特定资源集群和/或操作或其他功能识别为针对所请求的管理任务的识别目标范围。
为了识别所述目标范围,系统122可以考虑在执行管理任务时要执行的特定操作。操作识别系统124能够分析请求152以识别为了执行所请求的管理任务而需要在数据平面106内执行的不同操作。例如,为了执行所请求的管理任务,系统124可以识别系统必须从虚拟机获得数据,重新配置存储器,或者在执行总体管理任务中执行其他操作。
时间识别系统126识别指示执行管理任务所需的时间量的时间窗口(或者时间跨度)。例如,不同的操作可能具有不同的对应延时或者可能需要不同的时间量来执行。因此,一旦管理任务中的操作已经由系统124识别,系统126就能够识别可以寻求许可或批准的时间窗口(或者时间跨度)。然后,批准请求生成器114生成能够被提交给批准者系统105的批准请求。
批准请求生成器114能够确定或识别执行所请求的管理任务将需要的批准类型。例如,如果管理任务要在托管资源集群的测试环中执行,则批准请求生成器114可以确定自动批准是足够的。然而,如果所请求的管理任务要在生产环内的资源集群上执行,其中,管理任务将在对用户数据具有广泛访问的环境中操作,则批准请求生成器114可以确定请求152必须由人工批准者来批准。不管所需的批准类型如何,批准请求生成器114生成批准请求,所述批准请求识别要执行的管理任务(以及可能在该管理任务内的操作)以及由动态范围识别系统122识别的管理任务的目标范围。所述请求也能够识别由时间识别系统126识别的期望时间窗口。
然后,将批准请求提供给批准交互系统116,批准交互系统116将所述批准请求提交给批准者系统105,并且处理与批准者系统105的交互。一旦用于执行管理任务的请求已经被批准,则操作执行功能118在数据访问平面计算系统106中在授权的目标范围内执行管理任务。
图2A和图2B(在本文中被统称为图2)示出了图示出计算系统架构100在动态识别目标范围和执行所请求的管理任务中的操作的一个示例的流程图。首先假设控制平面(或者控制平面计算系统104)接收执行管理任务的请求152。接收所述请求是由图2的流程图中的框160来指示的。
操作识别系统124能够识别为了执行所请求的管理任务而需要执行的操作。识别所述操作是由图2的流程图中的框161来指示的。动态范围识别系统122可以使用将要执行的特定操作来识别所述目标范围。由系统124识别的特定操作也可以被提供给批准请求生成器114,并且在批准请求中标识,从而批准者系统105能够查看执行所请求的管理任务所需的个体操作。这些仅仅是个体操作的标识能够用于识别目标范围和获得批准的不同方式。
请求152能够由任务请求分析系统112接收,并且动态范围识别系统122动态地识别计算系统106中的目标范围,在所述目标范围内要执行在请求152中所识别的管理任务。执行动态范围识别以定义目标范围是由图2的流程图中的框162来指示的。在一个示例中,“动态”意指在逐请求的基础上为该特定管理任务请求152识别目标范围,如图2的流程图中的框164所指示的。因此,对于由系统122接收的执行管理任务的每个请求,系统122识别针对该请求的目标范围,并且所述目标范围能够逐请求而变化。所述目标范围能够通过识别跨多个租户和/或跨多个订阅的托管资源集群140-142来识别,如由框166所指示的。动态范围识别系统122能够通过解析请求152来识别目标范围,以识别小于一个或多个数据访问平面计算系统106的计算能力或小于订阅和/或服务的粒度。例如,在一些现有系统中,所述控制平面对整个订阅、整个客户端数据集、整个托管服务和/或数据中心的整个计算容量具有常备或静态许可。相反,本动态范围识别系统122识别用于在可能更小的粒度上执行管理任务的目标范围,诸如跨多个订阅的小型资源集合、计算容量内的资源子集、由服务托管的资源子集等。解析所述请求以识别具有期望粒度的目标范围是由图2的流程图中的框168来指示的。动态范围识别系统122也能够通过考虑由操作识别系统124识别的个体操作来识别目标范围。
动态范围识别系统122能够以许多不同的方式具体识别在所述目标范围内的特定托管资源集群140-142。所述资源群集能够通过群集位置、群集名称、独有地识别一个或多个资源群集的独有标识符和/或资源群集所驻留在其中的特定环等来进行识别。识别目标范围内的特定资源集群是由图2的流程图中的框170来指示的。动态范围识别系统122也能够以其他方式执行动态范围识别,如由框172所指示的。
时间识别系统126然后生成寻求批准的时间窗口(或者时间跨度)。生成时间窗口是由图2的流程图中的框176来指示的。所述时间窗口可以是针对该特定类型的管理任务所请求的预定窗口或者时间跨度,如由框178所指示的。在这种情况下,时间识别系统126可以使用将管理任务类型与时间窗口相关的相关性来识别与所请求的管理任务相对应的预定时间窗口。在另一示例中,可以基于由操作识别系统124识别的管理任务中的个体操作来识别所述时间窗口。基于在所请求的管理任务中的操作来定义时间窗口是由框180来指示的。个体操作可以具有不同的延时或者可以需要不同的时间量,并且因此,时间识别系统126可以使用其来确定能够请求批准的合适的时间窗口,并且能够在其中执行管理任务。时间窗口也能够以其他方式生成,如由框182所指示的。
批准请求生成器114然后生成请求来自批准者系统105的批准(或者证书)的批准请求。所述批准请求将示例性地请求批准(或者证书),以在所定义的目标范围内、在时间窗口内执行管理任务中的操作。由在图2的流程图中的框184来指示生成批准请求。所述批准请求说明性地识别目标范围,如由框186所指示的。能够使用特定托管资源集群140-142的标识或者以其他方式来识别目标范围。批准请求也可以识别所请求的管理任务和/或在执行管理任务时要执行的个体操作,如由框188所指示的。所述批准请求也能够识别寻求批准的时间窗口,如由框190所指示的。所述批准请求也能够包括其他项目192。
一旦批准请求生成器114生成批准请求,所述批准请求就被提供给批准交互系统116,批准交互系统116识别将向其发送批准请求的批准者系统105。批准交互系统116然后将批准请求发送到所识别出的批准者系统105,如图2的流程图中的框194所图示的。基于所请求的管理任务的类型,并且基于目标范围,批准者系统105可以是手动批准者系统196、自动批准系统198或者另一类型的批准者系统200。
批准交互系统116处理与批准者系统105的任何交互,并且最终从批准者系统105接收响应。接收所述响应是由图2的流程图中的框202来指示的。如果来自批准者系统105的响应指示批准请求未被授权,如由框204所指示的,则取消所请求的管理任务,如由框206所指示的。然而,如果在框204处,批准交互系统116确定批准者系统105已经批准所述请求,则所述批准包括能够被用于访问所述目标范围和执行所述管理任务的证书。系统116生成指示这一点的信号,并且将该信号提供给操作执行功能118。然后,功能118使用证书来访问数据平面106中的目标范围,并且开始执行操作,以便在目标范围内的计算系统资源136上执行管理任务。在目标范围内执行操作是由图2的流程图中的框208来指示的。
操作执行功能118继续执行操作以便执行所请求的管理任务,只要时间窗口尚未过期。如果时间窗口到期,如由图2的流程图中的框210所指示的,则由批准者系统105提供的证书也被禁用或过期,从而操作执行功能118不再具有适当的证书来访问所述目标范围并且在计算系统资源136的目标范围内执行操作。禁用证书(或者检测到其不再有效)是由图2的流程图中的框212中来指示的。然而,如果在框210处确定时间窗口尚未过期并且证书仍然有效,则操作执行功能118继续执行操作,直到管理任务完成,如由图2的流程图中的框214所指示的。一旦管理任务已经完成,那么由批准者系统105提供的证书也被禁用。
因此,能够看出,本说明书描述了一种在从批准者系统寻求批准之前动态地识别管理任务的目标范围的系统。目标范围是动态的,因为其是为执行管理任务的每个请求而确定的,并且其能够基于正在执行的特定管理任务。一旦目标范围被动态地识别,就会生成批准请求,所述请求寻求在目标范围内执行管理任务所需的许可或者证书。一旦批准,管理任务就在目标范围内使用所获取的许可或者证书来执行。在预定义的临时窗口过期后,证书也将过期。以这种方式,即使获得了针对秘密请求的批准,受到损害的资源的范围也是有限的,而且损害的持续时间也是有限的。这增强了系统安全性,并且降低了秘密操作可能危及客户数据或者其他计算系统资源的可能性。
将注意到,以上讨论描述了各种不同的系统、组件和/或逻辑。将意识到,这样的系统、组件和/或逻辑能够包括执行与那些系统、组件和/或逻辑相关联的功能的硬件项目(诸如处理器和相关联的存储器,或者其他处理组件,其中的一些在下文描述)。另外,系统、组件和/或逻辑可以包括被加载到存储器中并随后由处理器或服务器或其他计算组件执行的软件,如下所述。所述系统、组件和/或逻辑还可以包括硬件、软件、固件等的不同组合,下文描述其中的一些示例。这些仅仅是可用于形成所述系统、组件和/或逻辑的不同结构的一些示例。也可以使用其他结构。
目前的讨论提到了处理器和服务器。在一个实施例中,处理器和服务器包括具有相关联的存储器和定时电路(未单独示出)的计算机处理器。其是所属的系统或设备的功能部分,由这些系统中的其他组件或项目激活,并促进这些系统中的其他组件或项目的功能。
此外,可能已经讨论了许多用户界面显示。用户界面可以采取多种不同的形式,并且可以具有布置在其上的多种不同的用户可致动输入机制。例如,用户可致动输入机制可以是文本框、复选框、图标、链接、下拉菜单、搜索框等。该机制也可以以多种不同的方式被致动。例如,可以使用点击设备(例如跟踪球或鼠标)来致动机制。机制可以使用硬件按钮、开关、操纵杆或键盘、拇指开关或拇指垫等来致动。机制也可以使用虚拟键盘或其他虚拟致动器来致动。此外,在显示其屏幕是触敏屏的情况下,可以使用触摸手势来对其进行致动。此外,如果显示其设备具有语音识别组件,则可以使用语音命令来对其进行致动。
还讨论了一些数据存储。值得注意的是,其可以分别分解成多个数据存储。对于访问其系统来说,所有都可以是本地的,所有都可以是远程的,或者一些是本地的而另一些是远程的。在本文中设想了所有这些配置。
此外,图中示出了许多框,每个块都具有功能。需要注意的是,可以使用更少的框,因此功能由更少的组件执行。此外,更多的框可以与分布在更多组件之间的功能一起使用。
图3是图1所示架构100的框图,除了其元素被布置在云计算架构500中。云计算提供计算、软件、数据访问和存储服务,这些服务不需要终端用户了解提供服务的系统的物理位置或配置。在各种实施例中,云计算使用适当的协议在诸如互联网的广域网上交付服务。例如,云计算提供商在广域网上交付应用,可以通过web浏览器或任何其他计算组件对其进行访问。架构100的软件或组件以及对应的数据可以存储在远程位置的服务器上。云计算环境中的计算资源可以合并且在远程数据中心位置,也可以分散。云计算基础设施可以通过共享数据中心提供服务,即使其看起来是用户的单一访问点。因此,在本文中所描述的组件和功能可以使用云计算架构从远程位置的服务提供商提供。替代地,其可以从传统服务器提供,或者其可以直接安装在客户端设备上,或者以其他方式安装。
该描述旨在包括公共云计算和私有云计算。云计算(包括公共和私有)提供了实质上无缝的资源池化,并且减少了管理和配置底层硬件基础设施的需求。
公有云由供应商管理,通常支持使用相同基础设施的多个消费者。此外,与私有云相比,公共云可以将终端用户从管理硬件中解放出来。私有云可以由组织本身管理,并且基础设施通常不与其他组织共享。本组织仍在某种程度上维护硬件,如安装和维修等。
在图3所示的示例中,一些项目与图1中所示相似并且其被类似编号。图3具体示出控制平面计算系统104和数据访问平面计算系统106可以位于云502中(其可以是公共的、私有的,或者部分是公共的而其他部分是私有的组合)。因此,用户148-150使用客户端计算系统144-146通过云502访问那些系统。
图3还描绘了云架构的另一示例。图3示出了还设想计算系统架构100的一些元件可以布置在云502中,而其他元件则不是。作为示例,数据存储110、134可以设置在云502之外,并通过云502访问。在另一示例中,请求系统102可以在云502中或在云502之外。无论其位于何处,其都可以由系统144-146通过网络(广域网或局域网)直接访问,其可以由服务托管在远程站点,或者其可以作为服务通过云提供或由驻留在云中的连接服务访问。在本文中设想了所有这些架构。
还将注意到,架构100或其部分可以布置在各种不同的设备上。这些设备中的一些包括服务器、台式计算机、膝上型计算机、平板计算机或其他移动设备,例如掌上计算机、移动电话、智能电话、多媒体播放器、个人数字助理等。
图4是计算环境的一个示例,在其中(例如)可以部署架构100或其部分。参考图4,用于实现一些实施例的示例性系统包括计算机810形式的通用计算设备,其被编程以如上所述地操作。计算机810的组件可以包括但不限于处理单元820(其可以包括前面图中的处理器或服务器)、系统存储器830以及将包括系统存储器的各种系统组件耦合到处理单元820的系统总线821。系统总线821可以是几种类型的总线结构中的任何一种,包括使用各种总线架构中的任意一种的存储器总线或存储器控制器、外围总线和本地总线。通过示例而非限制,这样的架构包括工业标准架构(ISA)总线、微通道架构(MCA)总线、增强型ISA(EISA)总线、视频电子标准协会(VESA)本地总线和也称为夹层总线的外围组件互连(PCI)总线。关于图1所描述的存储器和程序可以部署在图4的对应部分中。
计算机810通常包括各种计算机可读介质。计算机可读介质可以是可由计算机810访问的任何可用介质,包括易失性和非易失性介质、可移动和不可移动介质。通过示例而非限制,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质不同于也不包括已调制的数据信号或载波。其包括硬件存储介质,包括以用于存储信息(例如,计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、盒式磁带、磁带、磁盘存储或其他磁存储设备、或可用于存储所需信息并可由计算机810访问的任何其他介质。通信介质通常体现计算机可读指令、数据结构、程序模块或运输机制中的其他数据,并且包括任何信息传递介质。术语“已调制数据信号”指代以编码信号中的信息的方式设置或改变其一个或多个特性的信号。通过示例而非限制,通信介质包括诸如有线网络或直接有线连接的有线介质,以及诸如声学、RF、红外和其他无线介质的无线介质。以上任一项的组合也应包含在计算机可读介质的范围内。
系统存储器830包括易失性和/或非易失性存储器形式的计算机存储介质,例如只读存储器(ROM)831和随机存取存储器(RAM)832。基本输入/输出系统833(BIOS)通常存储在ROM 831中,该BIOS 833包含诸如在启动期间帮助在计算机810内的元件之间传输信息的基本例程。RAM 832通常包含可立即访问和/或当前由处理单元820操作的数据和/或程序模块。通过示例而非限制,图4示出了操作系统834、应用程序835、其他程序模块836和程序数据837。
计算机810还可以包括其他可移动/不可移动易失性/非易失性计算机存储介质。仅通过示例,图4示出了从不可移动、非易失性磁介质读取或写入的硬盘驱动器841,以及从诸如CD ROM或其他光学介质的可移动、非易失性光盘856读取或写入的光盘驱动器855。可在示例性操作环境中使用的其他可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于盒式磁带、闪存卡、数字多功能盘、数字视频磁带、固态RAM、固态ROM等。硬盘驱动器841通常通过诸如接口840的不可移动存储器接口连接到系统总线821,光盘驱动器855通常通过诸如接口850的可移动存储器接口连接到系统总线821。
替代地或者另外地,在本文中所描述的功能可以至少部分地由一个或多个硬件逻辑组件来执行。例如但不限于,可使用的硬件逻辑组件的说明性类型包括现场可编程门阵列(FPGA)、程序专用集成电路(ASIC)、程序专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑器件(CPLD)等。
上文讨论并且在图4中示出的驱动器及其相关联的计算机存储介质为计算机810提供计算机可读指令、数据结构、程序模块和其他数据的存储。在图4中,例如,硬盘驱动器841被示为存储操作系统844、应用程序845、其他程序模块846和程序数据847。注意,这些组件可以与操作系统834、应用程序835、其他程序模块836和程序数据837相同或不同。这里给出操作系统844、应用程序845、其他程序模块846和程序数据847不同的编号,以说明其至少是不同的副本。
用户可以通过诸如键盘862、麦克风863和诸如鼠标、轨迹球或触摸板的定点设备861之类的输入设备将命令和信息输入到计算机810中。其他输入设备(未示出)可以包括操纵杆、游戏手柄、卫星天线、扫描仪等。这些和其他输入设备通常通过耦合到系统总线的用户输入接口860连接到处理单元820,但是可以通过其他接口和总线结构连接,例如并行端口、游戏端口或通用串行总线(USB)。可视显示器891或其他类型的显示设备也经由诸如视频接口890的接口连接到系统总线821。除了监视器之外,计算机还可以包括其他外围输出设备,例如扬声器897和打印机896,其可以通过输出外围接口895连接。
计算机810使用到诸如远程计算机880的一个或多个远程计算机的逻辑连接在网络环境中操作。远程计算机880可以是个人计算机、手持设备、服务器、路由器、网络PC、对等设备或其他公共网络节点,并且通常包括以上相对于计算机810描述的许多或全部元件。图4中所示的逻辑连接包括局域网(LAN)871和广域网(WAN)873,但也可以包括其他网络。这种网络环境在办公室、企业范围的计算机网络、内部网和互联网中很常见。
当在LAN网络环境中使用时,计算机810通过网络接口或适配器870连接到LAN871。当在WAN网络环境中使用时,计算机810通常包括调制解调器872或用于在WAN 873上建立通信的其他单元,例如互联网。可以是内部的或外部的调制解调器872可以经由用户输入接口860或其他适当的机制连接到系统总线821。在网络环境中,相对于计算机810描绘的程序模块或其部分可存储在远程存储器存储设备中。通过示例而非限制,图4示出了驻留在远程计算机880上的远程应用程序885。应当理解,所示的网络连接是示例性的,并且可以使用在计算机之间建立通信链路的其他单元。
还应当注意,在本文中所描述的不同示例可以以不同的方式组合。也就是说,一个或多个示例的部分可以与一个或多个其他示例的部分组合。所有这些都在本文中考虑到。
示例1是一种计算机系统,包括:
一个或多个处理器;以及
存储计算机可执行指令的存储器,所述计算机可执行指令当由所述一个或多个处理器执行时,使得所述一个或多个处理器实现:
控制平面计算系统,其接收对数据访问计算系统中的计算系统资源执行管理任务的请求,所述控制平面计算系统包括识别针对所述请求的目标范围的动态范围识别系统,所述目标范围定义在所述数据访问计算系统中的、在其之内执行所述管理任务的资源范围;
批准请求生成器,其生成批准请求以请求批准在所识别出的目标范围中执行所述管理任务;
批准交互系统,其向批准者系统发送所述批准请求,并且从批准者系统接收响应;以及
操作执行功能,其基于来自所述批准者系统的所述响应来生成动作信号。
示例2是任意或全部先前示例所述的计算机系统,其中,所述批准交互系统被配置为将来自所述批准者系统的所述响应检测为批准所述批准请求,并且作为响应,所述操作执行功能被配置为在所述目标范围中执行所述管理任务。
示例3是任意或全部先前示例所述的计算机系统,其中,所述批准交互系统被配置为将来自所述批准者系统的所述响应检测为不批准所述批准请求,并且作为响应,所述操作执行功能被配置为取消所述管理任务。
示例4是任意或全部先前示例所述的计算机系统,其中,所述批准交互系统被配置为从所述批准者系统接收在时间跨度内有效的证书,并且将所述证书发送到所述操作执行功能。
示例5是任意或全部先前示例所述的计算机系统,其中,操作执行功能被配置为在时间跨度期间使用证书来访问目标范围并且执行管理任务,并且在所述时间跨度到期时确定所述证书被禁用。
示例6是任意或全部先前示例所述的计算机系统,其中,所述控制平面计算系统包括:
操作识别系统,其被配置为识别在执行所述管理任务时要执行的操作。
示例7是任意或全部先前示例所述的计算机系统,其中,所述操作执行功能被配置为执行所述操作,直到所述操作完成或者直到所述时间跨度到期。
示例8是任意或全部先前示例所述的计算机系统,其中,所述动态范围识别系统被配置为基于在执行所述管理任务时要执行的所述操作来识别特定于所述请求的目标范围作为所述目标范围。
示例9是一种计算机实现的方法,包括:
在控制平面计算系统处,接收对数据访问计算系统中的计算系统资源执行管理任务的请求;
在所述控制平面计算系统处识别针对所述请求的目标范围,所述目标范围定义在所述数据访问计算系统中的、在其之内执行所述管理任务的资源范围;
生成批准请求以请求批准在识别出的目标范围内执行所述管理任务;
向批准者系统发送所述批准请求;
从所述批准者系统接收响应;以及
基于来自所述批准者系统的所述响应来生成动作信号。
示例10是任意或全部先前示例所述的计算机实现的方法,其中,生成动作信号包括:
将来自所述批准者系统的所述响应检测为批准所述批准请求;以及
在所述目标范围中执行所述管理任务。
示例11是任意或全部先前示例所述的计算机实现的方法,其中,生成动作信号包括:
将来自所述批准者系统的所述响应检测为不批准所述批准请求;以及
取消所述管理任务。
示例12是任意或全部先前示例所述的计算机实现的方法,其中,将来自所述批准者系统的所述响应检测为批准所述批准请求包括:
接收在时间跨度内有效的证书。
示例13是任意或全部先前示例所述的计算机实现的方法,其中,执行所述管理任务包括:
在所述时间跨度期间使用所述证书来访问所述目标范围并且执行所述管理任务;以及
在所述时间跨度到期时,禁用所述证书。
示例14是任意或全部先前示例所述的计算机实现的方法,并且还包括:
在所述控制面板计算系统处,识别在执行所述管理任务时要执行的操作。
示例15是任意或全部先前示例所述的计算机实现的方法,其中,在所述目标范围内执行所述管理任务包括:
执行所述操作,直到所述操作完成或者直到所述时间跨度到期,并且然后禁用所述证书。
示例16是任意或全部先前示例所述的计算机实现的方法,其中,识别目标范围包括:
基于在执行管理所述任务时要执行的所述操作来识别特定于所述请求的目标范围作为所述目标范围。
示例17是一种计算机实现的方法,包括:
在控制平面计算系统处,接收对数据访问计算系统中的计算系统资源执行管理任务的请求;
响应于接收到所述请求,在所述控制平面计算系统处识别特定于所述请求的目标范围,所述目标范围定义在所述数据访问计算系统中的、在其之内执行所述管理任务的资源范围;
生成批准请求以请求批准在所识别出的目标范围中执行所述管理任务;
向批准者系统发送所述批准请求;
从所述批准者系统接收响应;以及
基于来自所述批准者系统的所述响应来生成动作信号。
示例18是任意或全部先前示例所述的计算机实现的方法,其中,生成动作信号包括以下至少一项:
将来自所述批准者系统的所述响应检测为批准所述批准请求,并且在目标范围内执行所述管理任务;或者
将来自所述批准者系统的所述响应检测为不批准所述批准请求,并且取消所述管理任务。
示例19是任意或全部先前示例所述的计算机实现的方法,其中,将来自所述批准者系统的所述响应检测为批准所述批准请求包括:接收在时间跨度内有效的证书,并且其中,执行所述管理任务包括:
在所述时间跨度期间使用所述证书来访问所述目标范围并且执行所述管理任务。
示例20是任意或全部先前示例所述的计算机实现的方法,其中,识别目标范围包括:在所述控制面板计算系统处,识别在执行所述管理任务时要执行的操作;并且其中,在所述目标范围中执行所述管理任务包括:
执行所述操作,直到所述操作完成或者直到所述时间跨度到期,并且然后禁用所述证书。
尽管已经用特定于结构特征和/或方法动作的语言描述了主题,但是应当理解,在所附权利要求中定义的主题不一定限于上述特定特征或动作。相反,上文所描述的特定特征和动作被公开为实现权利要求的示例性形式。
Claims (15)
1.一种计算机系统,包括:
一个或多个处理器;以及
存储计算机可执行指令的存储器,所述计算机可执行指令当由所述一个或多个处理器执行时,使得所述一个或多个处理器实现:
控制平面计算系统,其接收对数据访问计算系统中的计算系统资源执行管理任务的请求,所述控制平面计算系统包括识别针对所述请求的目标范围的动态范围识别系统,所述目标范围定义在所述数据访问计算系统中的、在其之内执行所述管理任务的资源范围;
批准请求生成器,其生成批准请求以请求批准在所识别出的目标范围中执行所述管理任务;
批准交互系统,其向批准者系统发送所述批准请求,并且从所述批准者系统接收响应;以及
操作执行功能,其基于来自所述批准者系统的所述响应来生成动作信号。
2.根据权利要求1所述的计算机系统,其中,所述批准交互系统被配置为将来自所述批准者系统的所述响应检测为批准所述批准请求,并且作为响应,所述操作执行功能被配置为在所述目标范围中执行所述管理任务。
3.根据权利要求2所述的计算机系统,其中,所述批准交互系统被配置为将来自所述批准者系统的所述响应检测为不批准所述批准请求,并且作为响应,所述操作执行功能被配置为取消所述管理任务。
4.根据权利要求2所述的计算机系统,其中,所述批准交互系统被配置为从所述批准者系统接收在时间跨度内有效的证书,并且将所述证书发送到所述操作执行功能。
5.根据权利要求4所述的计算机系统,其中,操作执行功能被配置为在所述时间跨度期间使用所述证书来访问所述目标范围并且执行所述管理任务,并且在所述时间跨度到期时确定所述证书被禁用。
6.根据权利要求5所述的计算机系统,其中,所述控制平面计算系统包括:
操作识别系统,其被配置为识别在执行所述管理任务时要执行的操作。
7.根据权利要求6所述的计算机系统,其中,所述操作执行功能被配置为执行所述操作,直到所述操作完成或者直到所述时间跨度到期。
8.根据权利要求6所述的计算机系统,其中,所述动态范围识别系统被配置为基于在执行所述管理任务时要执行的所述操作来识别特定于所述请求的目标范围作为所述目标范围。
9.一种计算机实现的方法,包括:
在控制平面计算系统处,接收对数据访问计算系统中的计算系统资源执行管理任务的请求;
在所述控制平面计算系统处识别针对所述请求的目标范围,所述目标范围定义在所述数据访问计算系统中的、在其之内执行所述管理任务的资源范围;
生成批准请求以请求批准在所识别出的目标范围中执行所述管理任务;
向批准者系统发送所述批准请求;
从所述批准者系统接收响应;以及
基于来自所述批准者系统的所述响应来生成动作信号。
10.根据权利要求9所述的计算机实现的方法,其中,生成动作信号包括:
将来自所述批准者系统的所述响应检测为批准所述批准请求;以及
在所述目标范围中执行所述管理任务。
11.根据权利要求10所述的计算机实现的方法,其中,生成动作信号包括:
将来自所述批准者系统的所述响应检测为不批准所述批准请求;以及
取消所述管理任务。
12.根据权利要求10所述的计算机实现的方法,其中,将来自所述批准者系统的所述响应检测为批准所述批准请求包括:
接收在时间跨度内有效的证书。
13.根据权利要求12所述的计算机实现的方法,其中,执行所述管理任务包括:
在所述时间跨度期间使用所述证书来访问所述目标范围并且执行所述管理任务;以及
在所述时间跨度到期时,禁用所述证书。
14.根据权利要求13所述的计算机实现的方法,还包括:
在所述控制面板计算系统处,识别在执行所述管理任务时要执行的操作。
15.一种计算机实现的方法,包括:
在控制平面计算系统处,接收对数据访问计算系统中的计算系统资源执行管理任务的请求;
响应于接收到所述请求,在所述控制平面计算系统处识别特定于所述请求的目标范围,所述目标范围定义在所述数据访问计算系统中的、在其之内执行所述管理任务的资源范围;
生成批准请求以请求批准在所识别出的目标范围中执行所述管理任务;
向批准者系统发送所述批准请求;
从所述批准者系统接收响应;以及
基于来自所述批准者系统的所述响应来生成动作信号。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/203,834 US20220300332A1 (en) | 2021-03-17 | 2021-03-17 | Dynamically acquiring scoped permissions to perform operations in compute capacity and resources |
US17/203,834 | 2021-03-17 | ||
PCT/US2022/018412 WO2022197444A1 (en) | 2021-03-17 | 2022-03-02 | Dynamically acquiring scoped permissions to perform operations in compute capacity and resources |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117120977A true CN117120977A (zh) | 2023-11-24 |
Family
ID=81306917
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202280021387.1A Pending CN117120977A (zh) | 2021-03-17 | 2022-03-02 | 动态地获取在计算容量和资源中执行操作的范围许可 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20220300332A1 (zh) |
EP (1) | EP4309035A1 (zh) |
CN (1) | CN117120977A (zh) |
WO (1) | WO2022197444A1 (zh) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6058426A (en) * | 1997-07-14 | 2000-05-02 | International Business Machines Corporation | System and method for automatically managing computing resources in a distributed computing environment |
JP6256904B2 (ja) * | 2013-04-18 | 2018-01-10 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 処理の要求を振り分ける装置及び方法 |
US10063537B2 (en) * | 2014-12-19 | 2018-08-28 | Microsoft Technology Licensing, Llc | Permission architecture for remote management and capacity instances |
US10623410B2 (en) * | 2017-04-24 | 2020-04-14 | Microsoft Technology Licensing, Llc | Multi-level, distributed access control between services and applications |
US10785211B2 (en) * | 2017-12-27 | 2020-09-22 | Microsoft Technology Licensing, Llc | Authorization and authentication for recurring workflows |
-
2021
- 2021-03-17 US US17/203,834 patent/US20220300332A1/en active Pending
-
2022
- 2022-03-02 WO PCT/US2022/018412 patent/WO2022197444A1/en active Application Filing
- 2022-03-02 EP EP22716123.9A patent/EP4309035A1/en active Pending
- 2022-03-02 CN CN202280021387.1A patent/CN117120977A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
EP4309035A1 (en) | 2024-01-24 |
WO2022197444A1 (en) | 2022-09-22 |
US20220300332A1 (en) | 2022-09-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6426325B1 (ja) | デジタルコンテンツアイテムのマルチプレミスホスティングのための同期プロトコル | |
US9716720B2 (en) | Unregistered user account generation for content item sharing | |
US10089133B2 (en) | Apparatus and method for virtual desktop service suitable for user terminal based on environmental parameter | |
EP3714388B1 (en) | Authentication token in manifest files of recurring processes | |
US20080229411A1 (en) | Chaining information card selectors | |
US20160070565A1 (en) | Development environment system, development environment apparatus, development environment providing method, and program | |
US20210400051A1 (en) | Escalating User Privileges in Cloud Computing Environments | |
US20210258208A1 (en) | Fast Provisioning in Cloud Computing Environments | |
US11190514B2 (en) | Client-server security enhancement using information accessed from access tokens | |
US10067862B2 (en) | Tracking asynchronous entry points for an application | |
US20170126650A1 (en) | Detecting Social Login Security Flaws Using Database Query Features | |
US10802948B2 (en) | Integrated testing data provisioning and conditioning system for application development | |
US10601954B2 (en) | Sandboxing requests for web services | |
CN114041275B (zh) | 无服务器平台上的机密的生命周期管理 | |
US11930016B2 (en) | Authentication framework for resource access across organizations | |
US9646149B2 (en) | Accelerated application authentication and content delivery | |
JP5522735B2 (ja) | セッション管理装置、セッション管理システム、セッション管理方法、及びプログラム | |
CN117120977A (zh) | 动态地获取在计算容量和资源中执行操作的范围许可 | |
JP6354382B2 (ja) | 認証システム、認証方法、認証装置及びプログラム | |
US11798001B2 (en) | Progressively validating access tokens | |
KR20170032000A (ko) | 다양한 os 환경을 적용한 프로그램 가상화 서비스 제공 시스템 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |