JP6521337B2 - マルチファセット・コンピュート・インスタンス・アイデンティティ - Google Patents
マルチファセット・コンピュート・インスタンス・アイデンティティ Download PDFInfo
- Publication number
- JP6521337B2 JP6521337B2 JP2017531524A JP2017531524A JP6521337B2 JP 6521337 B2 JP6521337 B2 JP 6521337B2 JP 2017531524 A JP2017531524 A JP 2017531524A JP 2017531524 A JP2017531524 A JP 2017531524A JP 6521337 B2 JP6521337 B2 JP 6521337B2
- Authority
- JP
- Japan
- Prior art keywords
- instance
- cvi
- compute instance
- identity
- compute
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Description
図1は、少なくともいくつかの実施形態により、仮想コンピューティング・サービスで実装されたコンピュート・インスタンスがそれぞれの名前空間内にいくつかの異なる暗号で検証可能なアイデンティティ(CVI)を割り当てられることができる。示されるように、システム100は、仮想化コンピューティング・サービス(VCS)110を実装するプロバイダ・ネットワーク105を含む。VCSは、さまざまなクライアントの代わりに、複数のインスタンス・ホスト125で複数のコンピュート・インスタンス150を確立することができる。たとえば、コンピュート・インスタンス150A及び150Bは、インスタンス・ホスト125Aで、たとえば、それぞれのゲスト仮想マシンとして、セットアップされていて、コンピュート・インスタンス150K及び150Lは、インスタンス・ホスト125Bで確立されている。少なくともいくつかのコンピュート・インスタンス150は、顧客ネットワーク115内のクライアント・デバイス133のような、プロバイダ・ネットワーク外部のデバイスから発行されたインスタンス起動要求に応答してセットアップされることができる。
図2は、少なくともいくつかの実施形態により、コンピュート・インスタンスへ割り当てられることができるアイデンティティのタイプの実施例を図示する。示されるように、コンピュート・インスタンス150は、VCSによりそれに割り当てられた仮想IPアドレスに基づきDNS名260Aを割り当てられることができる。いくつかの実施形態において、DNS名260Aのフォーマットは、VCSサービス(たとえば、<vcs−service−name>)を識別するそれぞれのサブストリング、IPアドレスのドット付き10進表記要素(たとえば、IPv4アドレス54.187.31.66に対応する文字列「54−187−31−66」)、インスタンス(たとえば、<zone>)の地理的位置のいくつかのインディケーション、及びVCSに割り当てられたドメイン名を含むことができる。他の実施形態において、DNS名260Aで示された1つ以上のサブストリングを使用しなくてもよい。
図3は、少なくともいくつかの実施形態により、複数のアプリケーションの認証コンポーネント、及びコンピュート・インスタンス間のインタラクションの実施例を図示する。所与のコンピュート・インスタンス150に割り当てられたCVIセット342の異なるCVI360A〜360D(それぞれの名前空間344A〜344Dに対応する)は、これらの異なるアプリケーションの操作を続行するパーミッションをインスタンスが受信することを可能にする、描写された実施形態において各いくつかの異なるアプリケーションに対応する特定の認証チャレンジにインスタンスが応答することを可能にできる。2つの異なるアプリケーションApp1及びApp2のオーセンティケータ302A及び302Bは、図3で示される。たとえば、オーセンティケータ302Aは、リモート・デスクトップ・クライアント・アプリケーションであることができ、オーセンティケータ302Bは、ソフトウェア・アズ・ア・サービスを使用して実装されたチップ設計アプリケーションのライセンス・マネージャであってもよい。リモート・デスクトップ・クライアント・アプリケーションの実装者は、コンピュート・インスタンスへのリモート・デスクトップ・セッションを確立する前に、コンピュート・インスタンスのアイデンティティを検証することを確実にしたい可能性がある。同様に、チップ設計アプリケーションの実装者は、コンピュート・インスタンスからCADツールを呼び出す、またはCADツールを使用することが可能になる前に、インスタンスからのCADツールの使用を許可することを確実にするようにコンピュート・インスタンスのアイデンティティを検証することを確実にしたい可能性がある。
上述されるように、コンピュート・インスタンスへ割り当てられた鍵ペアの秘密鍵は、いくつかの実施形態において所与の名前空間内にコンピュート・インスタンスのアイデンティティをアサートするために実行された少なくともいくつかの操作のために使用されることができる。図4は、少なくともいくつかの実施形態により、セキュア鍵ストアが管理する転送不可能な秘密鍵をコンピュート・インスタンスが利用することを可能にするプログラマティック・インタフェースを実装することができる、インスタンス・ホストの実施例を図示する。示されるように、インスタンス・ホスト125は、たとえば、いくつかの数の処理コアまたはプロセッサ470、メイン・メモリと言われることができる少なくとも1つの非永続メモリ472、ディスク(回転ディスク及び/またはソリッド・ステート・ディスクを含むことができる)のような1つ以上のローカル永続ストレージ・デバイス490、及び1つ以上のネットワーク・インタフェース・カード(NIC)480を含むことができる、複数のハードウェア・コンポーネント410を備えることができる。他の非永続メモリ位置は、プロセッサ・キャッシュ、レジスタ、及び同様のもののさまざまなレベルのような、少なくともいくつかの実施形態でハードウェア・コンポーネント層410に利用可能であり得る。トラステッド・プラットフォーム・モジュール470のようなローカル・セキュア鍵ストアは、描写された実施形態のインスタンス・ホスト125内に組み込まれる、またはこれに接続されることもできる。1つ以上のモニタ、マウス、及び同様のもの(図4で示されない)のような周辺機器は、いくつかの実装においてインスタンス・ホストに接続されることもできる。
いくつかの実施形態において、インスタンス・アイデンティティに関連した構成操作のための1セットのプログラマティック・インタフェースを支援することができる。図5は、少なくともいくつかの実施形態により、クライアント及びインスタンス設定マネージャ間のアイデンティティ関連のコントロール・プレーン・インタラクションの実施例を図示する。いく人かのクライアントは、インスタンスが起動する前にインスタンスに割り当てられるアイデンティティのタイプを判定することができ、他のクライアントは、起動後にインスタンスへアイデンティティを割り当てることができる。クライアントは、描写された実施形態でコンピュート・インスタンスからのアイデンティティを無効にすることが可能であり得る。これらの、及び他のタイプの構成操作について、1セットのプログラマティック・インタフェース590は、描写された実施形態においてVCSコントロール・プレーンにより実装されることができる。
図6は、少なくともいくつかの実施形態により、インスタンス設定マネージャに提示されたアイデンティティ割り当て要求内に含まれることができるアイデンティティ記述子の例示的なコンテンツを図示する。複数のアイデンティティ・エントリ612、たとえば、612Aまたは612Bを含むアイデンティティ記述子610は、たとえば、図5で図示された要求に類似するインスタンス起動、またはインスタンスへのアイデンティティ割り当て要求のパラメータとして提供されることができる。
図7は、少なくともいくつかの実施形態により、インスタンス・アイデンティティ割り当てに関連する管理要求に応答するように実行されることができる操作の態様を図示する流れ図である。要素701で示されるように、コンピュート・インスタンスCI1へ1つ以上のCVIを割り当てる要求は、仮想コンピューティング・サービスのコントロール・プレーン・コンポーネントで受信されることができる。用語「コントロール・プレーン・コンポーネント」は、非管理アプリケーション操作を実装する際に伴われる「データ・プレーン・コンポーネント」とは対照的に、VCSのコンピュート・インスタンス及びインスタンス・ホストの設定及び管理のために応答可能であるエンティティ(図510で示された設定マネージャのような)を指すために本明細書で使用されることができる。アイデンティティ割り当て要求は、名前空間識別子、名前空間の所有者、要求された名前、及びその他のもののような、要求された各タイプのアイデンティティに対応する図6のコンテキストで考察される一部の、またはすべてのアイデンティティ・プロパティを示すことができる。いくつかのパラメータは、2つ以上の要求されたアイデンティティについて同一であってもよい、たとえば、同一の有効期間は、2つ以上の異なるアイデンティティのために要求されることができる、または同一のエンティティは、2つ以上のアイデンティティのために名前空間を所有することができる。いくつかの実施形態において、デフォルト設定は、クライアントの要求で明示的に詳述されない1つ以上のプロパティのために使用されることができる。アイデンティティ割り当て要求は、インスタンスの起動(たとえば、インスタンス起動要求、または均等物で)前に、または他の事例でインスタンスを起動した後に受信されることができる。
複数の暗号で検証可能なアイデンティティをコンピュート・インスタンスへ割り当てるためのサポートを提供する、上述された技術は、さまざまな環境で使用されることができる。機密性の高いビジネス・データを処理するため、高水準のセキュリティを要求する多くの最新のアプリケーション及びプロトコルは、プロバイダ・ネットワーク環境で現在実行されている。仮想コンピューティング・サービスの少なくともいく人かのクライアントは、各アプリケーション・コンテキストが1つ以上の名前空間内でそれ自体の認証及びセキュリティ要件を課しながら、複数のアプリケーション・コンテキストにコンピュート・インスタンスを使用したい可能性がある。各インスタンスへ暗号鍵ペア(それらのハードウェア鍵ストアから秘密鍵を変更する、またはコピーすることが不可能である)を割り当てること、及びインスタンスが1つ以上の名前空間内でそれら自体のアイデンティティをアサートすることを可能にするためにこれらの鍵を使用することで、クライアントは、多くのタイプのアプリケーションのために所望のレベルのセキュリティを達成することが可能であり得る。またこのような技術は、コンピュート・インスタンスを管理することと関連した管理作業を軽減することができ、たとえば、管理者は、所与のアプリケーションに関係する各インスタンスがそのように行う権限を与えられることを手作業で(たとえば、コンピューティング・サービスの管理コンソールを介して)検証する必要がなくなることができる。異なる有効期間及び他のプロパティは、単一のアイデンティティのみがインスタンスに割り当て可能であった場合に可能であるものより、大きな柔軟性を可能にする、所与のインスタンスに割り当てられた異なるアイデンティティのために設定されることができる。クライアントは、さまざまなインスタンスのために使用されるアイデンティティ検証メカニズムのタイプに部分的に依存する価格設定プランを選択する、インスタンス・アイデンティティに関する価格設定トレードオフを行うことが可能であり得る。
少なくともいくつかの実施形態において、コンピュート・インスタンスへのそれぞれの名前空間内の複数のアイデンティティの割り当てのために上述される技術のうちの1つ以上を実装するサーバは、1つ以上のコンピュータ・アクセス可能な媒体を含む、またはこれらにアクセスするように設定される汎用コンピュータ・システムを含むことができる。図9は、このような汎用コンピューティング・デバイス9000を図示する。図示された実施形態において、コンピューティング・デバイス9000は、入力/出力(I/O)インタフェース9030を介してシステム・メモリ9020(不揮発性及び揮発性メモリ・モジュールの両方を含むことができる)に結合された1つ以上のプロセッサ9010を含む。さらにコンピューティング・デバイス9000は、I/Oインタフェース9030に結合されたネットワーク・インタフェース9040を含む。
さまざまな実施形態は、コンピュータ・アクセス可能な媒体上に前述の説明に従い実装された命令及び/またはデータを受信すること、送信すること、または格納することをさらに備えることができる。一般的に言えば、コンピュータ・アクセス可能な媒体は、ネットワーク及び/または無線リンクのような通信媒体を介して伝達された、磁気または光媒体、たとえば、ディスクまたはDVD/CD−ROMのようなストレージ・メディアまたはメモリ・メディア、RAM(たとえば、SDRAM、DDR、RDRAM、SRAMなど)、ROMなどのような揮発性または不揮発性媒体、及び電気、電磁、またはデジタル信号のような伝送媒体または信号を含むことができる。
1.1つ以上のコンピュート・インスタンスを含む少なくとも第一インスタンス・ホストを含む、プロバイダ・ネットワークの仮想コンピューティング・サービスの複数のインスタンス・ホスト、
を備え、
前記1つ以上のコンピュート・インスタンスの特定のコンピュート・インスタンスは、
第一アプリケーションと関連した第一オーセンティケータからの第一アイデンティティ・クエリに応答して、第一インスタンス・アイデンティティ名前空間(IIN)内の前記特定のコンピュート・インスタンスへ割り当てられる第一暗号で検証可能なアイデンティティ(CVI)のインディケーションを提供し、前記第一CVIが前記第一コンピュート・インスタンスのために指定された暗号鍵ペアと関連し、前記暗号鍵ペアの秘密鍵は、セキュア鍵ストア外部の位置へ前記秘密鍵のコピーを防止するように設定された前記セキュア鍵ストアにより管理され、前記仮想コンピューティング・サービスは、前記特定のコンピュート・インスタンスが前記秘密鍵を使用して、前記第一CVIの前記インディケーションを提供することを可能にし、
前記第一CVIが前記第一オーセンティケータにより受諾された判定に応答して、前記第一アプリケーションの1つ以上の操作を実行し、
第二アプリケーションと関連した第二オーセンティケータから第二アイデンティティ・クエリに応答して、別のIIN内の前記第一コンピュート・インスタンスに割り当てられた別のCVIのインディケーションを提供し、
前記第二CVIが前記第二オーセンティケータにより受諾された判定に応答して、前記第二アプリケーションの1つ以上の操作を実行する、
ように設定される、
システム。
前記第一インスタンス・ホストの仮想化管理コンポーネントにより実装されたプログラマティック・インタフェースを呼び出し、前記第一CVIの前記インディケーション内に含まれた少なくとも1つのアーティファクトを取得する、
ようにさらに設定される、条項1に記載の前記システム。
(a)前記特定のコンピュート・インスタンスに割り当てられた仮想IP(インターネット・プロトコル)アドレスに少なくとも部分的に基づき前記特定のコンピュート・インスタンスのDNS(ドメイン名システム)名、(b)前記特定のコンピュート・インスタンスに割り当てられたパブリックIPアドレス、(c)前記特定のコンピュート・インスタンスに割り当てられたプライベートIPアドレス、(d)VCS定義の名前空間から前記プロバイダ・ネットワークの前記仮想コンピューティング・サービス(VCS)により前記特定のコンピュート・インスタンスに割り当てられた一意の名前、(e)前記プロバイダ・ネットワークの顧客により顧客定義の名前空間から選択された一意の名前、(f)前記プロバイダ・ネットワークの顧客によりVCS定義の名前空間から選択された名前、(g)前記プロバイダ・ネットワークの顧客により選択されたDNS名、または(h)第三者により定義された名前空間内の前記特定のコンピュート・インスタンスに割り当てられた名前、のうちの1つ以上を含む、条項1に記載の前記システム。
前記1つ以上のコンピュート・インスタンスの第一コンピュート・インスタンスで、第一アイデンティティ・クエリを受信し、
前記第一アイデンティティ・クエリに応答して前記第一コンピュート・インスタンスから、第一インスタンス・アイデンティティ名前空間(IIN)内に前記第一コンピュート・インスタンスに割り当てられた第一暗号で検証可能なアイデンティティ(CVI)のインディケーションを提供し、前記第一CVIは、暗号鍵ペアと関連し、前記暗号鍵ペアの秘密鍵は、前記秘密鍵のコピーを防止するように設定されたセキュア鍵ストアにより管理され、前記仮想コンピューティング・サービスは、前記第一コンピュート・インスタンスが前記秘密鍵を使用し、前記第一CVIの前記インディケーションを提供することを可能にし、
前記第一コンピュート・インスタンスで、第二アイデンティティ・クエリを受信し、
前記第二アイデンティティ・クエリに応答して前記第一コンピュート・インスタンスから、別のIIN内の前記第一コンピュート・インスタンスへ割り当てられた別のCVIのインディケーションを提供する、
ことを備える、方法。
ことをさらに備える、条項6に記載の前記方法。
前記第二アイデンティティ・クエリに応答して前記第一コンピュート・インスタンスから、前記第二CVIの第二有効期間のインディケーションを提供し、前記第二有効期間は、前記第一有効期間と異なる、
ことをさらに備える、条項6に記載の前記方法。
前記インスタンス設定要求に応答して前記コントロール・プレーン・コンポーネントにより、前記第一IIN内に前記第一コンピュート・インスタンスへのアイデンティティの割り当てを開始する、
ことをさらに備える、条項6に記載の前記方法。
前記サービス・マネージャにより、(a)前記第二コンピュート・インスタンスへの共有されたCVIの割り当て、及び(b)前記第三コンピュート・インスタンスへの前記共有されたCVIの割り当てを開始し、前記共有されたCVIは、前記アプリケーションを前記第二コンピュート・インスタンスで、及び前記第三コンピュート・インスタンスで実行可能であることを検証するために使用される、
ことをさらに備える、条項6に記載の前記方法。
仮想コンピューティング・サービスの第一コンピュート・インスタンスで、第一アイデンティティ・クエリを受信し、
前記第一アイデンティティ・クエリに応答して前記第一コンピュート・インスタンスから、第一インスタンス・アイデンティティ名前空間(IIN)内に前記第一コンピュート・インスタンスに割り当てられた第一暗号で検証可能なアイデンティティ(CVI)のインディケーションを提供し、前記第一CVIは、暗号鍵ペアと関連し、前記暗号鍵ペアの秘密鍵は、前記秘密鍵のコピーを防止するように設定されたセキュア鍵ストアにより管理され、前記仮想コンピューティング・サービスは、前記第一コンピュート・インスタンスが前記秘密鍵を使用して、前記第一CVIの前記インディケーションを提供することを可能にし、
前記第一コンピュート・インスタンスで、第二アイデンティティ・クエリを受信し、
前記第二アイデンティティ・クエリに応答して前記第一コンピュート・インスタンスから、別のIIN内の前記第一コンピュート・インスタンスに割り当てられた別のCVIのインディケーションを提供する、
プログラム命令を格納する非一時的なコンピュータ・アクセス可能な記憶媒体。
前記第一コンピュート・インスタンスから、インスタンス・ホストの仮想化管理コンポーネントにより実装されたプログラマティック・インタフェースを呼び出し、前記第一CVIの前記インディケーション内に含まれたデータの少なくとも部分を取得する、
条項17に記載の前記非一時的なコンピュータ・アクセス可能な記憶媒体。
Claims (15)
- 1つ以上のコンピュート・インスタンスを備える少なくとも第一インスタンス・ホストを含む、プロバイダ・ネットワークの仮想コンピューティング・サービスの複数のインスタンス・ホスト、
を備え、
前記1つ以上のコンピュート・インスタンスの第一コンピュート・インスタンスは、
第一アプリケーションと関連する第一オーセンティケータからの第一アイデンティティ・クエリに応答して、第一インスタンス・アイデンティティ名前空間(IIN)内に前記第一コンピュート・インスタンスに割り当てられた第一暗号で検証可能な第一アイデンティティ(CVI)のインディケーションを提供し、前記第一CVIは、前記第一コンピュート・インスタンスのために指定された暗号鍵ペアと関連し、前記暗号鍵ペアの秘密鍵は、セキュア鍵ストアの外部の位置へ前記秘密鍵のコピーを防止するように設定された前記セキュア鍵ストアにより管理され、前記仮想コンピューティング・サービスは、前記第一コンピュート・インスタンスが前記秘密鍵を使用して前記第一CVIの前記インディケーションを提供することを可能にし、
前記第一CVIが前記第一オーセンティケータにより受諾された判定に応答して、前記第一アプリケーションの1つ以上の操作を実行し、
第二アプリケーションと関連した第二オーセンティケータからの第二アイデンティティ・クエリに応答して、別のIIN内に前記第一コンピュート・インスタンスに割り当てられた第二CVIのインディケーションを提供し、前記第二CVIは、前記第一CVIと異なり、
前記第二CVIが前記第二オーセンティケータにより受諾された判定に応答して、前記第二アプリケーションの1つ以上の操作を実行する、
ように設定される、
システム。 - 前記第一コンピュート・インスタンスは、
前記第一インスタンス・ホストの仮想化管理コンポーネントにより実装されたプログラマティック・インタフェースを呼び出し、前記第一CVIの前記インディケーション内に含まれた少なくとも1つのアーティファクトを取得する、
ようにさらに設定される、請求項1に記載のシステム。 - 前記セキュア鍵ストアは、(a)プロバイダ・ネットワークのセキュリティ・サービスのハードウェア・セキュリティ・モジュール、または(b)前記第一インスタンス・ホストの通信バスに接続された周辺機器、のうちの1つを備える、請求項1に記載のシステム。
- 前記第一CVIは、(a)前記第一コンピュート・インスタンスに割り当てられた仮想IP(インターネット・プロトコル)アドレスに少なくとも部分的に基づき前記第一コンピュート・インスタンスのDNS(ドメイン名システム)名、(b)前記第一コンピュート・インスタンスに割り当てられたパブリックIPアドレス、(c)前記第一コンピュート・インスタンスに割り当てられたプライベートIPアドレス、(d)仮想コンピューティング・サービス(VCS)定義の名前空間から前記プロバイダ・ネットワークの前記VCSにより前記第一コンピュート・インスタンスに割り当てられた一意の名前、(e)前記プロバイダ・ネットワークの顧客により顧客定義の名前空間から選択された一意の名前、(f)前記プロバイダ・ネットワークの顧客によりVCS定義の名前空間から選択された名前、(g)前記プロバイダ・ネットワークの顧客により選択されたDNS名、または(h)第三者により定義された名前空間内に前記第一コンピュート・インスタンスに割り当てられた名前、のうちの1つ以上を備える、請求項1に記載のシステム。
- プロバイダ・ネットワークに仮想コンピューティング・サービスのインスタンス・ホストで、1つ以上のコンピュート・インスタンスを起動し、
前記1つ以上のコンピュート・インスタンスの第一コンピュート・インスタンスで、第一アイデンティティ・クエリを受信し、
前記第一アイデンティティ・クエリに応答して、前記第一コンピュート・インスタンスから、第一インスタンス・アイデンティティ名前空間(IIN)内の前記第一コンピュート・インスタンスに割り当てられた第一暗号で検証可能な第一アイデンティティ(CVI)のインディケーションを提供し、前記第一CVIは、暗号鍵ペアと関連し、前記暗号鍵ペアの秘密鍵は、前記秘密鍵のコピーを防止するように設定されたセキュア鍵ストアにより管理され、前記仮想コンピューティング・サービスは、前記第一コンピュート・インスタンスが前記秘密鍵を使用して前記第一CVIの前記インディケーションを提供することを可能にし、
前記第一コンピュート・インスタンスで、第二アイデンティティ・クエリを受信し、
前記第二アイデンティティ・クエリに応答して前記第一コンピュート・インスタンスから、別のIIN内の前記第一コンピュート・インスタンスに割り当てられた、前記第1のCVIとは別の第二CVIのインディケーションを提供する、
ことを備える、方法。 - 前記第一CVIの前記インディケーションは、公開鍵基盤(PKI)標準に従いフォーマットされた第一証明書を含む、請求項5に記載の方法。
- 前記第一コンピュート・インスタンスにより、前記インスタンス・ホストの仮想化管理コンポーネントにより実装されたプログラマティック・インタフェースを起動し、前記第一CVIの前記インディケーション内に含まれたアーティファクトの少なくとも部分を取得する、
ことをさらに備える、請求項5に記載の方法。 - 前記第二CVIは、別の暗号鍵ペアと関連する、請求項5に記載の方法。
- 前記セキュア鍵ストアは、(a)プロバイダ・ネットワークのセキュリティ・サービスのハードウェア・セキュリティ・モジュール、または(b)前記インスタンス・ホストの通信バスに接続された周辺機器、のうちの1つを備える、請求項5に記載の方法。
- 前記第一CVIは、(a)前記第一コンピュート・インスタンスに割り当てられた仮想IP(インターネット・プロトコル)アドレスに少なくとも部分的に基づく前記第一コンピュート・インスタンスのDNS(ドメイン名システム)名、(b)前記第一コンピュート・インスタンスに割り当てられたパブリックIPアドレス、(c)前記第一コンピュート・インスタンスに割り当てられたプライベートIPアドレス、(d)仮想コンピューティング・サービス(VCS)定義の名前空間から前記プロバイダ・ネットワークのVCSにより前記第一コンピュート・インスタンスに割り当てられた一意の名前、(e)前記プロバイダ・ネットワークの顧客により顧客定義の名前空間から選択された一意の名前、(f)前記プロバイダ・ネットワークの顧客によりVCS定義の名前空間から選択された名前、(g)前記プロバイダ・ネットワークの顧客により選択されたDNS名、または(h)第三者により定義された名前空間内の前記第一コンピュート・インスタンスに割り当てられた名前、のうちの1つ以上を備える、請求項5に記載の方法。
- 前記第一CVIの前記インディケーションは、(a)公的認証局(CA)、(b)前記プロバイダ・ネットワーク内に実装された検証局、(c)前記第一コンピュート・インスタンスを割り当てる前記プロバイダ・ネットワークの顧客により所有された顧客ネットワーク内に実装された検証局、または(d)第三者検証局、のうちの1つ以上を備えるアイデンティティ・バリデータを含む、請求項5に記載の方法。
- 前記第一アイデンティティ・クエリに応答して前記第一コンピュート・インスタンスから、前記第一CVIの第一有効期間のインディケーションを提供し、
前記第二アイデンティティ・クエリに応答して前記第一コンピュート・インスタンスから、前記第二CVIの第二有効期間のインディケーションを提供し、前記第二有効期間は、前記第一有効期間と異なる、
ことをさらに備える、請求項5に記載の方法。 - 前記プロバイダ・ネットワークのコントロール・プレーン・コンポーネントで、前記第一コンピュート・インスタンスが前記第一IIN内にアイデンティティを割り当てられることを示すインスタンス設定要求を受信し、
前記インスタンス設定要求に応答して前記コントロール・プレーン・コンポーネントにより、前記第一IIN内に前記第一コンピュート・インスタンスへのアイデンティティの割り当てを開始する、
ことをさらに備える、請求項5に記載の方法。 - 前記第一アイデンティティ・クエリは、第一アプリケーションと関連したライセンス・マネージャから前記第一コンピュート・インスタンスで受信され、前記第一CVIは、前記ライセンス・マネージャにより使用され、前記第一コンピュート・インスタンスが前記第一アプリケーションを利用するライセンスを供与されることを検証する、請求項5に記載の方法。
- 前記プロバイダ・ネットワークで実装された特定のサービスのサービス・マネージャにより、第二コンピュート・インスタンス、及び第三コンピュート・インスタンスを含むインスタンス・フェイルオーバー・グループを確立し、前記第二コンピュート・インスタンスで障害の場合には、前記第二コンピュート・インスタンスで実行していたアプリケーションは、前記第三コンピュート・インスタンスにフェイルオーバーされ、
前記サービス・マネージャにより、(a)前記第二コンピュート・インスタンスへ共有されたCVIの割り当て、及び(b)前記第三コンピュート・インスタンスへ前記共有されたCVIの割り当て、を開始し、前記共有されたCVIを使用して、前記第二コンピュート・インスタンスで、及び前記第三コンピュート・インスタンスで前記アプリケーションを実行可能であることを検証する、
ことをさらに備える、請求項5に記載の方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/577,232 US9525672B2 (en) | 2014-12-19 | 2014-12-19 | Multi-faceted compute instance identity |
US14/577,232 | 2014-12-19 | ||
PCT/US2015/066875 WO2016100918A1 (en) | 2014-12-19 | 2015-12-18 | Multi-faceted compute instance identity |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2018501565A JP2018501565A (ja) | 2018-01-18 |
JP6521337B2 true JP6521337B2 (ja) | 2019-05-29 |
Family
ID=55080226
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017531524A Active JP6521337B2 (ja) | 2014-12-19 | 2015-12-18 | マルチファセット・コンピュート・インスタンス・アイデンティティ |
Country Status (9)
Country | Link |
---|---|
US (1) | US9525672B2 (ja) |
EP (1) | EP3234846B1 (ja) |
JP (1) | JP6521337B2 (ja) |
KR (1) | KR101957076B1 (ja) |
CN (1) | CN107113300B (ja) |
AU (1) | AU2015364339B2 (ja) |
RU (1) | RU2679188C2 (ja) |
SG (1) | SG11201704703UA (ja) |
WO (1) | WO2016100918A1 (ja) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10303879B1 (en) * | 2014-11-06 | 2019-05-28 | Amazon Technologies, Inc. | Multi-tenant trusted platform modules |
US9847992B2 (en) * | 2015-08-20 | 2017-12-19 | Verizon Digital Media Services Inc. | End-to-end certificate pinning |
EP3403432B1 (en) | 2016-01-15 | 2020-11-18 | Microsoft Technology Licensing, LLC | Database based redundancy in a telecommunications network |
US10320572B2 (en) * | 2016-08-04 | 2019-06-11 | Microsoft Technology Licensing, Llc | Scope-based certificate deployment |
US10425417B2 (en) | 2017-03-08 | 2019-09-24 | Bank Of America Corporation | Certificate system for verifying authorized and unauthorized secure sessions |
US10432595B2 (en) | 2017-03-08 | 2019-10-01 | Bank Of America Corporation | Secure session creation system utililizing multiple keys |
US10374808B2 (en) * | 2017-03-08 | 2019-08-06 | Bank Of America Corporation | Verification system for creating a secure link |
US10361852B2 (en) * | 2017-03-08 | 2019-07-23 | Bank Of America Corporation | Secure verification system |
US10511651B2 (en) * | 2017-04-25 | 2019-12-17 | General Electric Company | Infinite micro-services architecture |
US10659222B2 (en) * | 2017-04-28 | 2020-05-19 | IronCore Labs, Inc. | Orthogonal access control for groups via multi-hop transform encryption |
US11151253B1 (en) * | 2017-05-18 | 2021-10-19 | Wells Fargo Bank, N.A. | Credentialing cloud-based applications |
US10615971B2 (en) * | 2017-05-22 | 2020-04-07 | Microsoft Technology Licensing, Llc | High integrity logs for distributed software services |
GB2565282B (en) * | 2017-08-02 | 2021-12-22 | Vnc Automotive Ltd | Remote control of a computing device |
US10860336B2 (en) | 2017-10-27 | 2020-12-08 | Google Llc | Managing multi-single-tenant SaaS services |
US11616686B1 (en) * | 2017-11-21 | 2023-03-28 | Amazon Technologies, Inc. | Cluster management |
US10742412B2 (en) | 2018-01-29 | 2020-08-11 | Micro Focus Llc | Separate cryptographic keys for multiple modes |
US11140020B1 (en) * | 2018-03-01 | 2021-10-05 | Amazon Technologies, Inc. | Availability-enhancing gateways for network traffic in virtualized computing environments |
RU2684483C1 (ru) * | 2018-05-23 | 2019-04-09 | Олег Викторович Пушкин | Устройство для защиты от несанкционированного доступа к данным, хранимым на компьютере |
US11121921B2 (en) | 2019-01-15 | 2021-09-14 | Microsoft Technology Licensing, Llc | Dynamic auto-configuration of multi-tenant PaaS components |
EP3694173B1 (en) | 2019-02-08 | 2022-09-21 | Palantir Technologies Inc. | Isolating applications associated with multiple tenants within a computing platform |
US11494214B2 (en) * | 2019-03-28 | 2022-11-08 | Amazon Technologies, Inc. | Verified isolated run-time environments for enhanced security computations within compute instances |
US20210073736A1 (en) * | 2019-09-10 | 2021-03-11 | Alawi Holdings LLC | Computer implemented system and associated methods for management of workplace incident reporting |
US11979302B2 (en) * | 2019-12-03 | 2024-05-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Discovery of a service-providing network function |
US11442960B2 (en) * | 2019-12-17 | 2022-09-13 | Verizon Patent And Licensing Inc. | Edge key value store for a distributed platform |
DE102019135121A1 (de) * | 2019-12-19 | 2021-06-24 | Infineon Technologies Ag | Verfahren und vorrichtung zum bereitstellen einer zusätzlichen autorisierung für die verarbeitung eines kryptographisch gesicherten datensatzes für eine teilmenge einer gruppe vertrauenswürdiger module |
Family Cites Families (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE10026326B4 (de) * | 2000-05-26 | 2016-02-04 | Ipcom Gmbh & Co. Kg | Verfahren zur kryptografisch prüfbaren Identifikation einer physikalischen Einheit in einem offenen drahtlosen Telekommunikationsnetzwerk |
US7703128B2 (en) | 2003-02-13 | 2010-04-20 | Microsoft Corporation | Digital identity management |
US8621078B1 (en) * | 2005-08-15 | 2013-12-31 | F5 Networks, Inc. | Certificate selection for virtual host servers |
US7802092B1 (en) * | 2005-09-30 | 2010-09-21 | Blue Coat Systems, Inc. | Method and system for automatic secure delivery of appliance updates |
US7716180B2 (en) * | 2005-12-29 | 2010-05-11 | Amazon Technologies, Inc. | Distributed storage system with web services client interface |
US8522018B2 (en) | 2006-08-18 | 2013-08-27 | Fujitsu Limited | Method and system for implementing a mobile trusted platform module |
US8341625B2 (en) | 2008-05-29 | 2012-12-25 | Red Hat, Inc. | Systems and methods for identification and management of cloud-based virtual machines |
US20100174811A1 (en) | 2009-01-05 | 2010-07-08 | Microsoft Corporation | Network isolation and identity management of cloned virtual machines |
US8327434B2 (en) | 2009-08-14 | 2012-12-04 | Novell, Inc. | System and method for implementing a proxy authentication server to provide authentication for resources not located behind the proxy authentication server |
US8122282B2 (en) * | 2010-03-12 | 2012-02-21 | International Business Machines Corporation | Starting virtual instances within a cloud computing environment |
US10482254B2 (en) * | 2010-07-14 | 2019-11-19 | Intel Corporation | Domain-authenticated control of platform resources |
MY167494A (en) | 2010-10-05 | 2018-08-30 | Mimos Berhad | A MIGRATION SYSTEM OF VIRTUAL TRUSTED PLATFORM MODULE (vTPM) INSTANCE AND METHODS OF MIGRATING THEREOF |
US8924715B2 (en) * | 2010-10-28 | 2014-12-30 | Stephan V. Schell | Methods and apparatus for storage and execution of access control clients |
US8625788B2 (en) * | 2011-01-05 | 2014-01-07 | Intel Corporation | Method and apparatus for building a hardware root of trust and providing protected content processing within an open computing platform |
US8495219B2 (en) | 2011-01-13 | 2013-07-23 | International Business Machines Corporation | Identity management method and system |
US9344282B2 (en) | 2011-03-22 | 2016-05-17 | Microsoft Technology Licensing, Llc | Central and implicit certificate management |
US8751306B2 (en) * | 2011-06-20 | 2014-06-10 | Microsoft Corporation | Virtual identity manager |
US8375221B1 (en) | 2011-07-29 | 2013-02-12 | Microsoft Corporation | Firmware-based trusted platform module for arm processor architectures and trustzone security extensions |
US9413538B2 (en) * | 2011-12-12 | 2016-08-09 | Microsoft Technology Licensing, Llc | Cryptographic certification of secure hosted execution environments |
US9218490B2 (en) | 2011-12-30 | 2015-12-22 | Intel Corporation | Using a trusted platform module for boot policy and secure firmware |
US8738902B2 (en) * | 2012-01-27 | 2014-05-27 | Microsoft Corporation | Implicit SSL certificate management without server name indication (SNI) |
JP5137221B1 (ja) * | 2012-02-21 | 2013-02-06 | テック・パワー株式会社 | 収納ボックス及び机 |
US9210162B2 (en) * | 2012-05-02 | 2015-12-08 | Microsoft Technology Licensing, Llc | Certificate based connection to cloud virtual machine |
US20140007087A1 (en) | 2012-06-29 | 2014-01-02 | Mark Scott-Nash | Virtual trusted platform module |
US20140006776A1 (en) | 2012-06-29 | 2014-01-02 | Mark Scott-Nash | Certification of a virtual trusted platform module |
US9027087B2 (en) * | 2013-03-14 | 2015-05-05 | Rackspace Us, Inc. | Method and system for identity-based authentication of virtual machines |
-
2014
- 2014-12-19 US US14/577,232 patent/US9525672B2/en active Active
-
2015
- 2015-12-18 AU AU2015364339A patent/AU2015364339B2/en active Active
- 2015-12-18 CN CN201580069293.1A patent/CN107113300B/zh active Active
- 2015-12-18 EP EP15823108.4A patent/EP3234846B1/en active Active
- 2015-12-18 SG SG11201704703UA patent/SG11201704703UA/en unknown
- 2015-12-18 WO PCT/US2015/066875 patent/WO2016100918A1/en active Application Filing
- 2015-12-18 KR KR1020177017526A patent/KR101957076B1/ko active IP Right Grant
- 2015-12-18 JP JP2017531524A patent/JP6521337B2/ja active Active
- 2015-12-18 RU RU2017120215A patent/RU2679188C2/ru active
Also Published As
Publication number | Publication date |
---|---|
RU2017120215A (ru) | 2019-01-22 |
RU2017120215A3 (ja) | 2019-01-22 |
US9525672B2 (en) | 2016-12-20 |
EP3234846B1 (en) | 2021-02-03 |
KR20170089901A (ko) | 2017-08-04 |
EP3234846A1 (en) | 2017-10-25 |
KR101957076B1 (ko) | 2019-03-11 |
CN107113300B (zh) | 2020-08-25 |
AU2015364339A1 (en) | 2017-06-29 |
AU2015364339B2 (en) | 2018-05-17 |
CN107113300A (zh) | 2017-08-29 |
SG11201704703UA (en) | 2017-07-28 |
JP2018501565A (ja) | 2018-01-18 |
RU2679188C2 (ru) | 2019-02-06 |
WO2016100918A1 (en) | 2016-06-23 |
US20160182473A1 (en) | 2016-06-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6521337B2 (ja) | マルチファセット・コンピュート・インスタンス・アイデンティティ | |
US11075952B2 (en) | Access control policy management in a computing environment | |
US9800669B2 (en) | Connection leasing for hosted services | |
US10803027B1 (en) | Method and system for managing file system access and interaction | |
JP6403789B2 (ja) | デジタル証明書の提供方法及びマルチテナントサービス装置 | |
CA2939925C (en) | Securing client-specified credentials at cryptographically attested resources | |
US8583920B1 (en) | Secure administration of virtual machines | |
US8943319B2 (en) | Managing security for computer services | |
US8948399B2 (en) | Dynamic key management | |
US10318747B1 (en) | Block chain based authentication | |
EP2429146B1 (en) | Method and apparatus for authenticating access by a service | |
US20220385454A1 (en) | Causal total order broadcast protocols using trusted execution environments | |
US11647020B2 (en) | Satellite service for machine authentication in hybrid environments | |
CN113330435A (zh) | 跟踪被污染的连接代理 | |
US20240095338A1 (en) | Isolated runtime environments for securing secrets used to access remote resources from compute instances | |
US20220309143A1 (en) | Method and system for service image deployment in a cloud computing system based on distributed ledger technology | |
WO2024064425A1 (en) | Managing unique secrets in distributed systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180501 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180703 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181003 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190402 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190417 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6521337 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |