CN117725441A - 权限管理方法、装置、可读存储介质及电子设备 - Google Patents
权限管理方法、装置、可读存储介质及电子设备 Download PDFInfo
- Publication number
- CN117725441A CN117725441A CN202311778476.3A CN202311778476A CN117725441A CN 117725441 A CN117725441 A CN 117725441A CN 202311778476 A CN202311778476 A CN 202311778476A CN 117725441 A CN117725441 A CN 117725441A
- Authority
- CN
- China
- Prior art keywords
- accounts
- account
- authority
- data
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 title claims abstract description 35
- 238000000034 method Methods 0.000 claims abstract description 49
- 238000012545 processing Methods 0.000 claims description 50
- 238000004590 computer program Methods 0.000 claims description 17
- 239000013598 vector Substances 0.000 claims description 15
- 238000010606 normalization Methods 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 6
- 230000001360 synchronised effect Effects 0.000 claims description 6
- 239000000284 extract Substances 0.000 claims description 5
- 238000012216 screening Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 15
- 238000004458 analytical method Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000007246 mechanism Effects 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 238000000605 extraction Methods 0.000 description 4
- 230000000007 visual effect Effects 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000027455 binding Effects 0.000 description 2
- 238000009739 binding Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 238000007781 pre-processing Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013135 deep learning Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本公开涉及一种权限管理方法、装置、可读存储介质及电子设备。方法包括:获取多个账户的权限数据;根据多个账户的权限数据,对多个账户进行聚类;根据多个账户的聚类结果,生成至少一个账户类别的权限配置信息,从而能够清晰简洁地描述权限结构,可以更好地理解用户和系统的权限需求,从而实现更精细、更安全的权限控制。通过生成的权限配置信息,系统管理员可清晰地看到每个账户的权限分布,从而快速发现和处理冗余和过大的权限,使得权限管理更加精细化,这不仅为系统管理员带来了巨大的便利,还大大提高了业务系统的安全性和效率。
Description
技术领域
本公开涉及权限数据管理技术领域,具体地,涉及一种权限管理方法、装置、可读存储介质及电子设备。
背景技术
权限管理,一般指根据业务系统设置的安全规则或者安全策略,使不同用户对于预定资源的访问能力或访问规则的管理,一般来说,用户可以以特定的方式(例如读取、写入、删除等)访问而且只能访问自己被授权的资源。另外,权限管理是业务系统开发者所面临的重要课题,任何多用户的业务系统都不可避免地涉及到权限管理的问题,业务系统的使用者越多,使用者本身的属性或分工越复杂,权限管理问题也就越复杂。权限管理技术呈现出以多级化和多维化为趋势发展。因此,如何有效的对业务系统的权限进行管理,对于保证业务系统的安全性至关重要。
发明内容
提供该发明内容部分以便以简要的形式介绍构思,这些构思将在后面的具体实施方式部分被详细描述。该发明内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征,也不旨在用于限制所要求的保护的技术方案的范围。
第一方面,本公开提供一种权限管理方法,包括:
获取业务系统中多个账户的权限数据;
根据所述多个账户的所述权限数据,对所述多个账户进行聚类;
根据所述多个账户的聚类结果,生成针对所述业务系统的至少一个账户类别的权限配置信息。
第二方面,本公开提供一种权限管理装置,包括:
获取模块,用于获取业务系统中多个账户的权限数据;
第一聚类模块,用于根据所述多个账户的所述权限数据,对所述多个账户进行聚类;
第一生成模块,用于根据所述多个账户的聚类结果,生成针对所述业务系统的至少一个账户类别的权限配置信息。
第三方面,本公开提供一种计算机可读介质,其上存储有计算机程序,该程序被处理装置执行时实现本公开第一方面提供的所述权限管理方法的步骤。
第四方面,本公开提供一种电子设备,包括:
存储装置,其上存储有计算机程序;
处理装置,用于执行所述存储装置中的所述计算机程序,以实现本公开第一方面提供的所述权限管理方法的步骤。
在上述技术方案中,在获取到业务系统中多个账户的权限数据后,根据它们对多个账户进行聚类,并根据多个账户的聚类结果,生成针对业务系统的至少一个账户类别的权限配置信息,从而能够清晰简洁地描述权限结构,可以更好地理解用户和系统的权限需求,从而实现更精细、更安全的权限控制。通过生成的权限配置信息,系统管理员可以清晰地获知每个账户的权限分布,从而快速地发现和处理冗余和过大的权限,使得权限管理更加精细化,这不仅为系统管理员带来了巨大的便利,还大大提高了业务系统的安全性和效率。
本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的,原件和元素不一定按照比例绘制。在附图中:
图1是根据一示例性实施例示出的一种权限管理方法的流程图。
图2是根据一示例性实施例示出的一种简化后的权限图的示意图。
图3是根据一示例性实施例示出的一种权限处理的架构示意图。
图4是根据一示例性实施例示出的一种数据收集和处理的架构示意图。
图5是根据一示例性实施例示出的一种权限归并的示意图。
图6是根据一示例性实施例示出的一种权限管理装置的框图。
图7是根据一示例性实施例示出的一种电子设备的结构示意图。
具体实施方式
在介绍本公开的具体实施例之前,首先本公开涉及到的名词进行介绍说明。
Kubernetes(简称K8s)是一个开源的容器编排系统,旨在自动化、扩展和管理容器化应用程序的部署和运行。通过Kubernetes,开发者和系统管理员可以轻松地部署、管理和扩展运行在容器中的应用程序,而无需担心底层的基础设施。Kubernetes提供了一种声明式的配置方式,允许用户定义应用程序的期望状态,并由系统自动确保应用程序达到并保持在这种状态。
基于角色的访问控制(Role-Based Access Control,RBAC)是Kubernetes中的一种权限控制机制。它允许管理员通过定义“角色”(Roles)和“角色绑定”(Role Bindings)来控制谁可以访问Kubernetes的应用程序编程接口(Application Programming Interface,API)中的哪些资源。在RBAC中,角色包含一组权限(如读、写和删除资源的权限),而角色绑定则将角色分配给特定的用户或用户组。通过RBAC,管理员可以非常精细地控制用户对Kubernetes集群的访问权限,从而保护集群的安全并确保合规。
Kubernetes日志分析是Kubernetes系统中一个重要的功能,它提供了记录和保存集群活动的能力。通过日志分析,系统管理员和安全专家可以回溯集群中发生的事件,以确保系统的安全。在Kubernetes日志分析中,日志分析系统会捕获每个发生在集群上的请求,并将其记录在日志中。每个日志条目包含了关于请求的详细信息,如请求者的身份、请求的时间、执行的操作、影响的资源以及请求的结果等。Kubernetes日志分析功能通过定义日志分析策略来工作,管理员可以根据需要配置日志分析策略,以确定哪些类型的请求应该被记录,以及应该记录多少详细信息。这样,管理员可以根据他们的安全需求定制日志分析配置。
权限建模是一种通过分析用户或系统中角色的行为和权限需求,来创建和优化权限配置的方法。这种方法尤其适用于复杂的系统和环境,其中包含大量用户和不同级别的权限设置。通过权限建模,可以更好地理解用户和系统的权限需求,从而实现更精细、更安全的权限控制。
下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
应当理解,本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。
本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
本技术方案所涉及的数据(包括但不限于数据本身、数据的获得、使用、存储或删除)应当遵循相应法律法规及相关规定的要求。
可以理解的是,在使用本公开各实施例公开的技术方案之前,均应当依据相关法律法规通过恰当的方式对本公开所涉及信息的类型、使用范围、使用场景等告知相关用户并获得相关用户的授权,其中,相关用户可以包括任何类型的权利主体,例如个人、企业、团体。
例如,在响应于接收到用户的主动请求时,向用户发送提示信息,以明确地提示用户,其请求执行的操作将需要获取和使用到用户的个人信息。从而,使得用户可以根据提示信息来自主地选择是否向执行本公开技术方案的操作的电子设备、应用程序、服务器或存储介质等软件或硬件提供个人信息。
作为一种可选的但非限定性的实现方式,响应于接收到用户的主动请求,向用户发送提示信息的方式例如可以是弹窗的方式,弹窗中可以以文字的方式呈现提示信息。此外,弹窗中还可以承载供用户选择“同意”或者“不同意”向电子设备提供个人信息的选择控件。
可以理解的是,上述通知和获取用户授权过程仅是示意性的,不对本公开的实现方式构成限定,其它满足相关法律法规的方式也可应用于本公开的实现方式中。
同时,可以理解的是,本技术方案所涉及的数据(包括但不限于数据本身、数据的获取或使用)应当遵循相应法律法规及相关规定的要求。
图1是根据一示例性实施例示出的一种权限管理方法的流程图。如图所示,该权限管理方法可以包括S101~S103。
在S101中,获取业务系统中多个账户的权限数据。
在本公开中,账户为业务系统中的已有账户,多个账户可以包括业务系统中的全部已有账户,也可以包括业务系统中的部分已有账户。其中,该业务系统可以例如是上述的K8s系统,上述权限管理方法为基于RBAC的权限管理机制,并且该系统可以包括多个K8s集群。
权限数据可以但不限于相应账户的账户名(Account)、访问的命名空间(Namespace)、访问的API组(APIGroup)、访问的资源(Resource)、对资源的操作(Verb)等,它们构成一组结构化数据。
在S102中,根据多个账户的权限数据,对多个账户进行聚类。
在S103中,根据多个账户的聚类结果,生成针对业务系统的至少一个账户类别的权限配置信息。
在本公开中,多个账户的聚类结果可以包括至少一个账户类别,其中,每一账户类别包括至少一个账户。其中,多个账户可能同属于一个账户类别,此时,多个账户的聚类结果包括一个账户类别,多个账户可能属于不同的账户类别,此时,多个账户的聚类结果包括多个账户类别。
在对多个账户聚类时,可以将访问权限高度相似的账户划分为一个账户类别。如图2所示,展示了K8s集群中不同角色、账户、服务账户以及他们与集群、API组、资源和操作之间的复杂权限关系,图中对于复杂的权限关系做了简化。通过对多个账户聚类后,我们发现Account1、Account2以及Account3的访问权限存在较高的相似度,因此将这它们划分为一个账户类别,即聚类1。同时类似的将其他账户进行聚类,得到聚类结果。如图2所示,通过Account1、Account2、Account3、Account4、Service Account1以及Service Account2进行聚类,可以到的两个账户类别,即聚类1和聚类2,其中,Account1、Account2、Account3属于聚类1,Account4、Service Account1、Service Account2属于聚类2。
在上述技术方案中,在获取到业务系统中多个账户的权限数据后,根据它们对多个账户进行聚类,并根据多个账户的聚类结果,生成针对业务系统的至少一个账户类别的权限配置信息,从而能够清晰简洁地描述权限结构,可以更好地理解用户和系统的权限需求,从而实现更精细、更安全的权限控制。通过生成的权限配置信息,系统管理员可以清晰地获知每个账户的权限分布,从而快速地发现和处理冗余和过大的权限,使得权限管理更加精细化,这不仅为系统管理员带来了巨大的便利,还大大提高了业务系统的安全性和效率。
下面针对上述S101中的获取业务系统中多个账户的权限数据的具体实施方式进行详细说明。具体来说,可以通过多种实施方式来实现。在一种实施方式,上述业务系统可以包括大量集群,针对数百个集群产生的大量日志数据的收集和处理,本公开采用一种综合利用分布式处理、多级缓存和同步机制的高效方案。采用多级缓存架构来优化日志数据的收集和处理效率。在这种架构中,不同级别的缓存被设计用来处理不同的数据,确保系统的高效运行。由于通常日志数据量很大,同时存在大量重复数据,因此,本公开针对日志数据的特点和处理需求,定制了特定的缓存层级。每个缓存层级都针对不同的数据处理阶段和日志数据的特性进行了优化。具体来说,可以通过以下步骤(1)和步骤(2)来获取业务系统中多个账户的权限数据:
步骤(1):从第一缓存区中获取业务系统中多个账户的目标资源访问记录。
在本公开中,上述权限处理方法可以应用于电子设备,如图3和图4所示,该电子设备可以通过分布式日志收集系统来进行日志数据的收集和处理,其中,分布式日志系统包括多个分布式客户端(即图4中的数据处理节点)。具体来说,可以通过多个分布式客户端同步采集业务系统的日志数据,并通过多个分布式客户端分别从各自采集的日志数据中提取各账户的目标资源访问记录并存储至本地缓存区(即图3和图4中的L1缓存),本地缓存区中的目标资源访问记录被定期同步至第一缓存区(即图3和图4中的L2缓存)。其中,各本地缓存区和第一缓存区构成多级缓存。
采用分布式客户端进行日志数据的采集,每个分布式客户端负责收集相应的日志数据,从而并行处理大量数据,提高了数据的收集和处理效率,确定在多集群环境中能够高效地收集并处理日志数据,不仅能够快速地处理大量的日志数据,而且能够确保记录的权限访问信息的准确性。这为后续的数据分析和权限管理提供了坚实的基础。
步骤(2):针对每一账户,根据该账户的目标资源访问记录,生成该账户的权限数据。
在本公开中,可以从账户对应的一条日志数据中抽取出一条目标资源访问记录,其中,该目标资源访问记录包括该账户对资源的访问情况、对资源执行的操作等信息,其包含但不限于相应账户的账户名(Account)、访问的命名空间(Namespace)、访问的API组(APIGroup)、访问的资源(Resource)、对资源的操作(Verb)等,它们构成一条结构化数据。一个账户可能包含多条目标资源访问记录,多个目标资源访问记录包含不同的资源访问信息,此时,可以将多个目标资源访问记录涉及的资源访问信息进行整合,得到该账户的权限数据。
如图3和图4所示,多个分布式客户端并行采集业务系统的日志数据,各分布式客户端在采集到日志数据后,对其采集到的日志数据进行数据预处理,以得到相应账户的目标资源访问记录,之后,将该目标资源访问记录存储到该分布式客户端的本地缓存区(即L1缓存)中。各分布式客户端的本地缓存区中的数据被定期同步至第一缓存区(即L2缓存)中。这样,电子设备可以异步地从第一缓存区获取业务系统中多个账户的目标资源访问记录,进而根据这些目标资源访问记录,生成各账户的权限数据。其中,第一缓存区可以为设置在上述电子设备上的缓存区域,也可以是设置在其他设备或者云端的缓存区域。
上述同步机制可以包括数据同步和状态同步。其中,数据同步是指目标资源访问记录从上游的本地缓存区定期同步至下游的第一缓存区,电子设备可以异步地从第一缓存区获取数据,从而实现异步同步机制,由此,可以确保数据的完整传输,同时不影响系统的实时性。状态同步,是指多级缓存之间维护一个统一的状态信息(即多个账户的权限相关信息),以跟踪数据处理的进度和状态。
为了避免系统日志数据突增导致的分布式日志收集系统无法及时处理的问题,可以额外设置第二缓存区,以用于存储上述业务系统的日志数据,即日志数据存储在第二缓存区,这样,多个分布式客户端分别从第二缓存区采集日志数据。其中,第二缓存区中的日志数据可以以队列的形式进行存储。
另外,上述分布式客户端通过以下步骤(11)~步骤(14)来从日志数据中提取各账户的目标资源访问记录(即图3和图4中的数据预处理):
步骤(11):从日志数据中提取各账户的原始资源访问记录。
在本公开中,可以从账户对应的一条日志数据中抽取出一条原始资源访问记录,其中,该原始资源访问记录包括该账户对资源的访问情况、对资源执行的操作等信息,其包含但不限于相应账户的账户名(Account)、访问的命名空间(Namespace)、访问的API组(APIGroup)、访问的资源(Resource)、对资源的操作(Verb)等,它们构成一条非结构化数据。
步骤(12):针对每一原始资源访问记录,对该原始资源访问记录进行结构化处理。
将收集到的原始资源访问记录整理成结构化的格式,这样做有助于后续的数据处理和分析。
步骤(13):对结构化处理后所得的资源访问记录进行标准化处理。
在不同的原始资源访问记录中,同一个属性可能采用不同的形式或者参数进行表示,为了便于后续权限分析和管理,可以对结构化处理后所得的资源访问记录进行标准化处理。其中,标准化处理是指为权限实体(即账户)和关系的各种属性(如权限级别、资源类型、操作类型等)进行标准化处理,以确保数据的一致性。
步骤(14):对各标准化处理后所得的资源访问记录进行去重处理,得到多个账户的目标资源访问记录。
一个账户可能多次访问同一资源,因此,一个账户可能存在多条重复的原始资源访问记录,相应的,各标准化处理后所得的资源访问记录可能存在重复的记录,因此,可以对各标准化处理后所得的资源访问记录进行去重处理。
上述电子设备除了借助分布式日志收集进行日志数据的收集和处理外,还可以在本地进行日志数据的收集和处理,具体来说,在另一种实施方式中,上述电子设备可以直接采集业务系统的日志数据,之后,从采集的日志数据中提取各账户的目标资源访问记录;最后,针对每一账户,根据该账户的目标资源访问记录,生成该账户的权限数据。其中,电子设备可以采用与上述分布式客户端从日志数据中提取各账户的目标资源访问记录类似的方式,从采集的日志数据中提取各账户的目标资源访问记录,对此,本公开不再赘述。
为了满足更多数据来源的需求,在获取原始资源访问记录时,数据来源除了日志数据外,如图3所示,还可以包括离线数据,即同时从离线数据和日志数据中,提取各账户的原始资源访问记录。
下面针对上述S102中的根据多个账户的权限数据,对多个账户进行聚类的具体实施方式进行详细说明。具体来说,可以通过以下步骤[1]和步骤[2]来实现。
步骤[1]:针对多个账户中的每一账户,根据该账户的权限数据,生成该账户对应的权限图。
在本公开中,在权限图中,定义不同类型的节点来分别代表账户名(Account)、命名空间(Namespace)、API组(APIGroup)、资源(Resource)、操作(Verb);如果某个账户有权访问某个命名空间,则该账户的账户名节点和该账户可访问的该命名空间节点存在边关系,如果某个账户有权访问某个API组,则该账户的账户名节点和该账户可访问的该API组节点存在边关系;如果某个账户有权访问某个API组的某些资源,则该账户可访问的该API组节点与其可访问的资源节点存在边关系;如果某个账户有权对某个资源进行某些操作,则该账户可访问的资源节点与其对该资源的操作节点之间存在边关系。
步骤[2]:根据多个账户各自对应的权限图,对所述多个账户进行聚类。
在获取到业务系统中多个账户的权限数据后,针对每一账户,根据该账户的权限数据,生成该账户对应的权限图,这样,可以成功地将复杂的权限结构简化和直观化,为权限管理和后续的数据处理提供了清晰、直观的视觉基础,使得权限管理变得更加直观和易于理解。
下面针对上述步骤[1]中的根据该账户的权限数据,生成该账户对应的权限图的具体实施方式进行详细说明。
在一种实施方式中,可以以该账户的权限数据中的账户名、命名空间、API组、资源、操作等为节点;之后根据账户对于命名空间、API组、资源、操作的权限,构建各节点之间的边关系。具体来说,如果某个账户有权访问某个命名空间,则在该账户的账户名节点与该命名空间节点之间建立边关系,如果某个账户有权访问某个API组,则在该账户的账户名节点与该API组节点之间建立边关系;如果某个账户有权访问某个API组的某些资源,则在该账户可访问的该API组节点与其可访问的资源节点之间建立边关系;如果某个账户有权对某个资源进行某些操作,则在该账户可访问的资源节点与其对该资源的操作节点之间建立边关系。
另外,为了提升权限图的可读性和易理解性,在生成权限图后,可以采用层次布局算法来优化权限图中节点的排布。
如图4所示,在生成权限图后,可以对其进行数据存储,如图3所示,可以将各账户的权限图存储到图数据库中,便于后续采用可视化工具对指定账户对应的权限图进行可视化展示。
下面针对上述步骤[2]中的根据多个账户各自对应的权限图,对多个账户进行聚类的具体实施方式进行详细说明。具体来说,可以通过以下步骤(a1)和步骤(a2)来实现:
步骤(a1):根据多个账户各自对应的权限图,确定多个账户中每两个账户之间的相似度。
如图3所示,在获取到多个账户各自对应的权限图后,可以采用上述电子设备中的数据处理模块进行权限图之间的相似度计算和权限聚类。具体来说,可以针对上述多个账户中的每一账户,确定该账户对应的权限图的特征向量;然后,针对多个账户中的每两个账户,确定该两个账户各自对应的权限图的特征向量之间的相似度,作为两个账户之间的相似度。
示例地,可以基于余弦距离、欧式距离等来衡量两个账户各自对应的权限图的特征向量之间的相似度。
步骤(a2):根据所有相似度,对多个账户进行聚类。
在本公开中,可以根据权限数据的特性和需求,采用相应的聚类算法对多个账户进行聚类。
示例地,上述业务系统为K8s,为了确保能够准确地反映K8s RBAC权限数据的结构和特点,可以采用基于密度的聚类算法(Density-Based Spatial Clustering ofApplications with Noise,DBSCAN)对多个账户进行聚类。其中,如图3所示,在采用DBSCAN进行聚类时,可以通过轮廓系数、戴维森-博尔丁指数等方式对DBSCAN的聚类参数进行动态调优,以评估聚类效果和精度。
下面针对上述确定该账户对应的权限图的特征向量的具体实施方式进行详细说明。具体来说,可以通过多种实施方式来实现,在一种实施方式中,可以根据该账户对应的权限图中各节点之间的连接关系和各节点的属性信息,生成该账户对应的权限图的特征向量。
在另一种实施方式,可以通过预先训练好的特征提取模型来生成各账户对应的权限图的特征向量。具体来说,可以针对每一账户,将该账户的权限图输入到该特征提取模型中,得到账户对应的权限图的特征向量。这样,通过特征提取模型即可快速获取到账户对应的权限图的特征向量,方便快捷。
在一种实施方式中,上述特征提取模型可以为基于深度学习的自编码器。使用自编码器来处理K8s的权限信息,以生成特征向量,特征向量可以有效表示这一权限数据。
下面针对上述S103中的根据多个账户的聚类结果,生成针对业务系统的至少一个账户类别的权限配置信息的具体实施方式进行详细说明。如图3所示,在得到聚类结果后,可以对聚类结果进一步处理,以进行权限配置信息建模,具体来说,可以针对每一账户类别,将该账户类别中各账户的权限数据进行合并,得到该账户类别的权限配置信息。
示例地,如图5所示,将多个账户聚合得到两个账户类别(即权限类1和权限类2)。其中,权限类1包括两个账户,即ServiceAccount1和ServiceAccount2(两个账户名),权限类2也包括两个账户,即ServiceAccount3和ServiceAccount4;将权限类1中ServiceAccount1的权限数据和ServiceAccount2的数据进行权限归并(即合并)后,可以得到如图5右下角所示的权限归并结果,从而得到权限类1的权限配置信息(即图5中ServiceAccountX的权限配置信息);将权限类2中ServiceAccount3的权限数据和ServiceAccount4的数据进行权限归并(即合并)后,可以得到如图4左上角所示的权限归并结果,从而得到权限类2的权限配置信息(即图5中ServiceAccountY的权限配置信息)。
又示例地,聚类1的权限数据具体为图2中所示的、与聚类1中各账户(包括Account1、Account2、Account3)分别连接的ApiGroups及其下游节点,聚类2的权限数据具体为图2中所示的、与聚类2中各账户(包括Account4、Service Account1、ServiceAccount2)分别连接的ApiGroups及其下游节点。
为了便于快速获取账户的权限信息,如图3所示,可以针对每一个账户预先生成对应的权限文件,作为账户应当使用的最优权限,从而能够对现有账户的风险进行收敛。
具体来说,上述方法还可以包括以下步骤:
针对每一账户,根据该账户的命名空间访问情况,确定与该账户对应的权限文件的目标类型;
根据该账户所属的账户类别的权限配置信息和目标类型,生成与该账户对应的权限文件。
在本公开中,若该账户对应的权限图中包括多个命名空间,则表明该账户拥有集群级别的命名空间访问权限,此时,可以确定该账户对应的权限文件的目标类型为簇角色(ClusterRole);若该账户对应的权限图中包括一个命名空间,则表明该账户拥有单个命名空间访问权限,此时,可以确定该账户对应的权限文件的目标类型为角色(Role)。
示例地,如图2所示,针对Account1和Account2,生成ClusterRoleA权限文件;针对Account3和Account4,生成ClusterRoleB权限文件;针对Service Account1和ServiceAccount2,生成Role权限文件。
另外,为了简化权限管理流程,以提高系统的安全性和效率,在优化账户权限的基础上,可以根据集群现状预先生成权限配置模板,新增账户可以在模板基础上创建权限资源,从而简化新增账户的权限配置流程。具体来说,上述方法还可以包括以下步骤:
针对多个预设权限中的每一预设权限,根据多个账户的权限数据,从多个账户中筛选具有该预设权限的多个目标账户;
根据多个目标账户的权限数据,对多个目标账户进行聚类;
将目标账户类别中各目标账户的权限数据进行合并,得到该预设权限对应的权限配置模板,其中,目标账户类别为多个目标账户的聚类结果中包含目标账户最多的账户类别。
在本公开中,多个预设权限可以未业务系统中使用频率最高的多个权限,比如,多个预设权限包括读权限、写权限、删除权限等。
另外,可以采用与上述S102中根据多个账户的权限数据,对多个账户进行聚类类似的方式,根据多个目标账户的权限数据,对多个目标账户进行聚类,本公开不再赘述。其中,为了使得更可能多的账户具有该预设权限,在对多个目标账户进行聚类时,所采用的聚类阈值小于对多个账户聚类时所采用的聚类阈值。
此外,为了简化新增账户的权限配置流程,如图3所示,新增账户可以在预先建立的权限配置模板基础上创建权限资源。具体来说,上述方法还可以包括以下两个步骤:
响应于检测到新增账户的创建请求,从多个预设权限中确定与创建请求相匹配的目标权限;
根据目标权限对应的权限配置模板,生成新增账户的权限文件。
在本公开中,创建请求包括新增账户期望访问的权限,与权限请求相匹配的目标权限即是该新增账户期望访问的权限。示例地,多个预设权限包括读权限、写权限以及删除权限,新增账户期望访问的权限为写权限,则目标权限为写权限。
在生成新增账户的权限文件时,需要先确定新增账户的权限文件的类型,其中,该类型可以在新增账户创建时,由用户指定。
图6是根据一示例性实施例示出的一种权限管理装置的框图。如图6所示,该权限管理装置200包括:
获取模块201,用于获取业务系统中多个账户的权限数据;
第一聚类模块202,用于根据所述多个账户的所述权限数据,对所述多个账户进行聚类;
第一生成模块203,用于根据所述多个账户的聚类结果,生成针对所述业务系统的至少一个账户类别的权限配置信息。
在上述技术方案中,在获取到业务系统中多个账户的权限数据后,根据它们对多个账户进行聚类,并根据多个账户的聚类结果,生成针对业务系统的至少一个账户类别的权限配置信息,从而能够清晰简洁地描述权限结构,可以更好地理解用户和系统的权限需求,从而实现更精细、更安全的权限控制。通过生成的权限配置信息,系统管理员可以清晰地获知每个账户的权限分布,从而快速地发现和处理冗余和过大的权限,使得权限管理更加精细化,这不仅为系统管理员带来了巨大的便利,还大大提高了业务系统的安全性和效率。
可选地,所述第一聚类模块202包括:
第一生成子模块,用于针对所述多个账户中的每一所述账户,根据该账户的权限数据,生成该账户对应的权限图;
第一聚类子模块,用于根据所述多个账户各自对应的所述权限图,对所述多个账户进行聚类。
可选地,所述第一聚类子模块包括:
第一确定子模块,用于根据所述多个账户各自对应的所述权限图,确定所述多个账户中每两个账户之间的相似度;
第二聚类子模块,用于根据所有所述相似度,对所述多个账户进行聚类。
可选地,所述第一确定子模块包括:
第二确定子模块,用于针对每一所述账户,确定该账户对应的所述权限图的特征向量;
第三确定子模块,用于针对所述多个账户中的每两个账户,确定所述两个账户各自对应的所述权限图的特征向量之间的相似度,作为所述两个账户之间的相似度。
可选地,所述多个账户的聚类结果包括至少一个账户类别,其中,每一所述账户类别包括至少一个所述账户;
所述第一生成模块203用于针对每一所述账户类别,将该账户类别中各所述账户的权限数据进行合并,得到该账户类别的权限配置信息。
可选地,所述获取模块201包括:
获取子模块,用于从第一缓存区中获取业务系统中多个账户的目标资源访问记录,其中,通过多个分布式客户端同步采集所述业务系统的日志数据,并通过所述多个分布式客户端分别从各自采集的所述日志数据中提取各账户的目标资源访问记录并存储至本地缓存区,所述本地缓存区中的目标资源访问记录被定期同步至所述第一缓存区;
第二生成子模块,用于针对每一所述账户,根据该账户的所述目标资源访问记录,生成该账户的权限数据。
可选地,所述日志数据存储在第二缓存区,所述多个分布式客户端分别从所述第二缓存区采集所述日志数据。
可选地,所述分布式客户端通过以下方式从所述日志数据中提取各账户的目标资源访问记录:
从所述日志数据中提取各账户的原始资源访问记录;
针对每一所述原始资源访问记录,对该原始资源访问记录进行结构化处理;对结构化处理后所得的资源访问记录进行标准化处理;
对各标准化处理后所得的资源访问记录进行去重处理,得到所述多个账户的目标资源访问记录。
可选地,所述装置200还包括:
第一确定模块,用于针对每一所述账户,根据该账户的命名空间访问情况,确定与该账户对应的权限文件的目标类型;
第二生成模块,用于根据该账户所属的账户类别的权限配置信息和所述目标类型,生成与该账户对应的权限文件。
可选地,所述装置200还包括:
筛选模块,用于针对多个预设权限中的每一所述预设权限,根据所述多个账户的权限数据,从所述多个账户中筛选具有该预设权限的多个目标账户;
第二聚类模块,用于根据所述多个目标账户的所述权限数据,对所述多个目标账户进行聚类;
合并模块,用于将目标账户类别中各目标账户对应的所述权限数据合并,得到该预设权限对应的权限配置模板,其中,所述目标账户类别为所述多个目标账户的聚类结果中包含所述目标账户最多的账户类别。
可选地,所述装置200还包括:
第二确定模块,用于响应于检测到新增账户的创建请求,从所述多个预设权限中确定与所述创建请求相匹配的目标权限;
第三生成模块,用于根据所述目标权限对应的权限配置模板,生成所述新增账户的权限文件。
本公开还提供一种计算机可读介质,其上存储有计算机程序,该程序被处理装置执行时实现本公开提供的上述权限管理方法的步骤。
下面参考图7,其示出了适于用来实现本公开实施例的电子设备(例如终端设备或服务器)600的结构示意图。本公开实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图7示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,电子设备600可以包括处理装置(例如中央处理器、图形处理器等)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储装置608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有电子设备600操作所需的各种程序和数据。处理装置601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
通常,以下装置可以连接至I/O接口605:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置606;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置607;包括例如磁带、硬盘等的存储装置608;以及通信装置609。通信装置609可以允许电子设备600与其他设备进行无线或有线通信以交换数据。虽然图7示出了具有各种装置的电子设备600,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置609从网络上被下载和安装,或者从存储装置608被安装,或者从ROM 602被安装。在该计算机程序被处理装置601执行时,执行本公开实施例的方法中限定的上述功能。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:获取业务系统中多个账户的权限数据;根据所述多个账户的所述权限数据,对所述多个账户进行聚类;根据所述多个账户的聚类结果,生成针对所述业务系统的至少一个账户类别的权限配置信息。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言——诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,模块的名称在某种情况下并不构成对该模块本身的限定,例如,获取模块还可以被描述为“获取业务系统中多个账户的权限数据的模块”。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
根据本公开的一个或多个实施例,示例1提供了一种权限管理方法,包括:
获取业务系统中多个账户的权限数据;
根据所述多个账户的所述权限数据,对所述多个账户进行聚类;
根据所述多个账户的聚类结果,生成针对所述业务系统的至少一个账户类别的权限配置信息。
根据本公开的一个或多个实施例,示例2提供了示例1的方法,所述根据所述多个账户的所述权限数据,对所述多个账户进行聚类,包括:
针对所述多个账户中的每一所述账户,根据该账户的权限数据,生成该账户对应的权限图;
根据所述多个账户各自对应的所述权限图,对所述多个账户进行聚类。
根据本公开的一个或多个实施例,示例3提供了示例2的方法,所述根据所述多个账户各自对应的所述权限图,对所述多个账户进行聚类,包括:
根据所述多个账户各自对应的所述权限图,确定所述多个账户中每两个账户之间的相似度;
根据所有所述相似度,对所述多个账户进行聚类。
根据本公开的一个或多个实施例,示例4提供了示例3的方法,所述根据所述多个账户各自对应的所述权限图,确定所述多个账户中每两个账户之间的相似度,包括:
针对每一所述账户,确定该账户对应的所述权限图的特征向量;
针对所述多个账户中的每两个账户,确定所述两个账户各自对应的所述权限图的特征向量之间的相似度,作为所述两个账户之间的相似度。
根据本公开的一个或多个实施例,示例5提供了示例1的方法,所述多个账户的聚类结果包括至少一个账户类别,其中,每一所述账户类别包括至少一个所述账户;
所述根据所述多个账户的聚类结果,生成针对所述业务系统的至少一个账户类别的权限配置信息,包括:
针对每一所述账户类别,将该账户类别中各所述账户的权限数据进行合并,得到该账户类别的权限配置信息。
根据本公开的一个或多个实施例,示例6提供了示例1的方法,所述获取业务系统中多个账户的权限数据,包括:
从第一缓存区中获取业务系统中多个账户的目标资源访问记录,其中,通过多个分布式客户端同步采集所述业务系统的日志数据,并通过所述多个分布式客户端分别从各自采集的所述日志数据中提取各账户的目标资源访问记录并存储至本地缓存区,所述本地缓存区中的目标资源访问记录被定期同步至所述第一缓存区;
针对每一所述账户,根据该账户的所述目标资源访问记录,生成该账户的权限数据。
根据本公开的一个或多个实施例,示例7提供了示例6的方法,所述日志数据存储在第二缓存区,所述多个分布式客户端分别从所述第二缓存区采集所述日志数据。
根据本公开的一个或多个实施例,示例8提供了示例6的方法,所述分布式客户端通过以下方式从所述日志数据中提取各账户的目标资源访问记录:
从所述日志数据中提取各账户的原始资源访问记录;
针对每一所述原始资源访问记录,对该原始资源访问记录进行结构化处理;对结构化处理后所得的资源访问记录进行标准化处理;
对各标准化处理后所得的资源访问记录进行去重处理,得到所述多个账户的目标资源访问记录。
根据本公开的一个或多个实施例,示例9提供了示例1-8中任一项的方法,所述方法还包括:
针对每一所述账户,根据该账户的命名空间访问情况,确定与该账户对应的权限文件的目标类型;
根据该账户所属的账户类别的权限配置信息和所述目标类型,生成与该账户对应的权限文件。
根据本公开的一个或多个实施例,示例10提供了示例1-8中任一项所述的方法,所述方法还包括:
针对多个预设权限中的每一所述预设权限,根据所述多个账户的权限数据,从所述多个账户中筛选具有该预设权限的多个目标账户;
根据所述多个目标账户的所述权限数据,对所述多个目标账户进行聚类;
将目标账户类别中各目标账户的所述权限数据合并,得到该预设权限对应的权限配置模板,其中,所述目标账户类别为所述多个目标账户的聚类结果中包含所述目标账户最多的账户类别。
根据本公开的一个或多个实施例,示例11提供了示例10的方法,所述方法还包括:
响应于检测到新增账户的创建请求,从所述多个预设权限中确定与所述创建请求相匹配的目标权限;
根据所述目标权限对应的权限配置模板,生成所述新增账户的权限文件。
根据本公开的一个或多个实施例,示例12提供了一种权限管理装置,包括:
获取模块,用于获取业务系统中多个账户的权限数据;
第一聚类模块,用于根据所述多个账户的所述权限数据,对所述多个账户进行聚类;
第一生成模块,用于根据所述多个账户的聚类结果,生成针对所述业务系统的至少一个账户类别的权限配置信息。
根据本公开的一个或多个实施例,示例13提供了一种计算机可读介质,其上存储有计算机程序,该程序被处理装置执行时实现示例1-11中任一项所述方法的步骤。
根据本公开的一个或多个实施例,示例14提供了一种电子设备,包括:
存储装置,其上存储有计算机程序;
处理装置,用于执行所述存储装置中的所述计算机程序,以实现示例1-11中任一项所述方法的步骤。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
此外,虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
Claims (14)
1.一种权限管理方法,其特征在于,包括:
获取业务系统中多个账户的权限数据;
根据所述多个账户的所述权限数据,对所述多个账户进行聚类;
根据所述多个账户的聚类结果,生成针对所述业务系统的至少一个账户类别的权限配置信息。
2.根据权利要求1所述的方法,其特征在于,所述根据所述多个账户的所述权限数据,对所述多个账户进行聚类,包括:
针对所述多个账户中的每一所述账户,根据该账户的权限数据,生成该账户对应的权限图;
根据所述多个账户各自对应的所述权限图,对所述多个账户进行聚类。
3.根据权利要求2所述的方法,其特征在于,所述根据所述多个账户各自对应的所述权限图,对所述多个账户进行聚类,包括:
根据所述多个账户各自对应的所述权限图,确定所述多个账户中每两个账户之间的相似度;
根据所有所述相似度,对所述多个账户进行聚类。
4.根据权利要求3所述的方法,其特征在于,所述根据所述多个账户各自对应的所述权限图,确定所述多个账户中每两个账户之间的相似度,包括:
针对每一所述账户,确定该账户对应的所述权限图的特征向量;
针对所述多个账户中的每两个账户,确定所述两个账户各自对应的所述权限图的特征向量之间的相似度,作为所述两个账户之间的相似度。
5.根据权利要求1所述的方法,其特征在于,所述多个账户的聚类结果包括至少一个账户类别,其中,每一所述账户类别包括至少一个所述账户;
所述根据所述多个账户的聚类结果,生成针对所述业务系统的至少一个账户类别的权限配置信息,包括:
针对每一所述账户类别,将该账户类别中各所述账户的权限数据进行合并,得到该账户类别的权限配置信息。
6.根据权利要求1所述的方法,其特征在于,所述获取业务系统中多个账户的权限数据,包括:
从第一缓存区中获取业务系统中多个账户的目标资源访问记录,其中,通过多个分布式客户端同步采集所述业务系统的日志数据,并通过所述多个分布式客户端分别从各自采集的所述日志数据中提取各账户的目标资源访问记录并存储至本地缓存区,所述本地缓存区中的目标资源访问记录被定期同步至所述第一缓存区;
针对每一所述账户,根据该账户的所述目标资源访问记录,生成该账户的权限数据。
7.根据权利要求6所述的方法,其特征在于,所述日志数据存储在第二缓存区,所述多个分布式客户端分别从所述第二缓存区采集所述日志数据。
8.根据权利要求6所述的方法,其特征在于,所述分布式客户端通过以下方式从所述日志数据中提取各账户的目标资源访问记录:
从所述日志数据中提取各账户的原始资源访问记录;
针对每一所述原始资源访问记录,对该原始资源访问记录进行结构化处理;对结构化处理后所得的资源访问记录进行标准化处理;
对各标准化处理后所得的资源访问记录进行去重处理,得到所述多个账户的目标资源访问记录。
9.根据权利要求1-8中任一项所述的方法,其特征在于,所述方法还包括:
针对每一所述账户,根据该账户的命名空间访问情况,确定与该账户对应的权限文件的目标类型;
根据该账户所属的账户类别的权限配置信息和所述目标类型,生成与该账户对应的权限文件。
10.根据权利要求1-8中任一项所述的方法,其特征在于,所述方法还包括:
针对多个预设权限中的每一所述预设权限,根据所述多个账户的权限数据,从所述多个账户中筛选具有该预设权限的多个目标账户;
根据所述多个目标账户的所述权限数据,对所述多个目标账户进行聚类;
将目标账户类别中各目标账户的所述权限数据合并,得到该预设权限对应的权限配置模板,其中,所述目标账户类别为所述多个目标账户的聚类结果中包含所述目标账户最多的账户类别。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
响应于检测到新增账户的创建请求,从所述多个预设权限中确定与所述创建请求相匹配的目标权限;
根据所述目标权限对应的权限配置模板,生成所述新增账户的权限文件。
12.一种权限管理装置,其特征在于,包括:
获取模块,用于获取业务系统中多个账户的权限数据;
第一聚类模块,用于根据所述多个账户的所述权限数据,对所述多个账户进行聚类;
第一生成模块,用于根据所述多个账户的聚类结果,生成针对所述业务系统的至少一个账户类别的权限配置信息。
13.一种计算机可读介质,其上存储有计算机程序,其特征在于,该程序被处理装置执行时实现权利要求1-11中任一项所述方法的步骤。
14.一种电子设备,其特征在于,包括:
存储装置,其上存储有计算机程序;
处理装置,用于执行所述存储装置中的所述计算机程序,以实现权利要求1-11中任一项所述方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311778476.3A CN117725441A (zh) | 2023-12-21 | 2023-12-21 | 权限管理方法、装置、可读存储介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311778476.3A CN117725441A (zh) | 2023-12-21 | 2023-12-21 | 权限管理方法、装置、可读存储介质及电子设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117725441A true CN117725441A (zh) | 2024-03-19 |
Family
ID=90208786
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311778476.3A Pending CN117725441A (zh) | 2023-12-21 | 2023-12-21 | 权限管理方法、装置、可读存储介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117725441A (zh) |
-
2023
- 2023-12-21 CN CN202311778476.3A patent/CN117725441A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10560465B2 (en) | Real time anomaly detection for data streams | |
CN113254466B (zh) | 一种数据处理方法、装置、电子设备和存储介质 | |
CN110929799B (zh) | 用于检测异常用户的方法、电子设备和计算机可读介质 | |
US10031901B2 (en) | Narrative generation using pattern recognition | |
CN111783045B (zh) | 基于分级分类的数据授权方法和装置 | |
US20210334277A1 (en) | Method for scalable mining of temporally correlated events | |
CN112000992B (zh) | 数据防泄漏保护方法、装置、计算机可读介质及电子设备 | |
CN114244595A (zh) | 权限信息的获取方法、装置、计算机设备及存储介质 | |
FR3105851A1 (fr) | Procede et systeme d’agregation de donnees pour une plateforme de gouvernance unifiee d’une pluralite de solutions de calcul intensif | |
US20220179764A1 (en) | Multi-source data correlation extraction for anomaly detection | |
CN113704178A (zh) | 大数据管理方法、系统、电子设备及存储介质 | |
EP3842962A1 (fr) | Procede et systeme de gestion des flux de donnees pour la gouvernance unifiee d'une pluralite de solutions de calculs intensifs | |
Kharb et al. | A contingent exploration on big data tools | |
US11586598B2 (en) | Data deduplication in data platforms | |
CN113542238B (zh) | 一种基于零信任的风险判定方法及系统 | |
US11893132B2 (en) | Discovery of personal data in machine learning models | |
CN117725441A (zh) | 权限管理方法、装置、可读存储介质及电子设备 | |
US20210397717A1 (en) | Software information analysis | |
US20220300822A1 (en) | Forgetting data samples from pretrained neural network models | |
US20210406391A1 (en) | Production Protection Correlation Engine | |
Senthil | ENHANCED BIG DATA CLASSIFICATION SUSHISEN ALGORITHMS TECHNIQUES IN HADOOP CLUSTER (META) | |
US11093636B2 (en) | Maintaining data protection compliance and data inference from data degradation in cross-boundary data transmission using containers | |
CN113656271B (zh) | 用户异常行为的处理方法、装置、设备及存储介质 | |
Malik et al. | Big Data: Risk Management & Software Testing | |
CN111507734B (zh) | 作弊请求识别方法、装置、电子设备及计算机存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |