虛擬計(jì)算服務(wù)(VCS)的計(jì)算實(shí)例被指派各自命名空間內(nèi)的第一和第二可加密核實(shí)身份(CVI)。與所述第一CVI相關(guān)聯(lián)的加密密鑰對包括由不許可拷貝所述私有密鑰的安全密鑰存儲(chǔ)區(qū)管理的不可轉(zhuǎn)移私有密鑰。所述VCS使得所述實(shí)例能夠使用所述私有密鑰來斷言所述CVI。響應(yīng)于第一身份查詢，所述實(shí)例指示所述第一CVI。響應(yīng)于第二身份查詢，所述實(shí)例指示所述第二CVI。

背景技術(shù)

許多公司和其他組織操作計(jì)算機(jī)網(wǎng)絡(luò)，這些計(jì)算機(jī)網(wǎng)絡(luò)使眾多計(jì) 算系統(tǒng)互連以支持其操作，例如其中計(jì)算系統(tǒng)位于同一位置(例如， 作為本地網(wǎng)絡(luò)的一部分)或者相反地位于多個(gè)截然不同的地理位置中 (例如，經(jīng)由一個(gè)或多個(gè)私有或公共中間網(wǎng)絡(luò)連接)。例如，容納大量 互連計(jì)算系統(tǒng)的數(shù)據(jù)中心已經(jīng)變得很常見，例如由單個(gè)組織操作并且 代表單個(gè)組織的私有數(shù)據(jù)中心，以及由如企業(yè)的實(shí)體操作以向客戶提 供計(jì)算資源的公共數(shù)據(jù)中心。一些公共數(shù)據(jù)中心操作者為由各種客戶 擁有的硬件提供網(wǎng)絡(luò)訪問、電源和安全安裝設(shè)施，而其他公共數(shù)據(jù)中 心操作者提供還包括可供其客戶使用的硬件資源的“全面服務(wù)”設(shè) 施。

針對商品硬件的虛擬化技術(shù)的出現(xiàn)為具有不同需求的許多客戶 提供了關(guān)于管理大規(guī)模的計(jì)算資源的益處，從而允許由多個(gè)客戶高效 地并安全地共享各種計(jì)算資源。例如，虛擬化技術(shù)可以允許通過為每 一用戶提供由單個(gè)物理計(jì)算機(jī)器托管的一個(gè)或多個(gè)虛擬機(jī)而在多個(gè) 用戶之間共享單個(gè)物理計(jì)算機(jī)器。每一此虛擬機(jī)可以被認(rèn)為是作為充 當(dāng)不同邏輯計(jì)算系統(tǒng)的軟件模擬，這為用戶提供了他們是給定硬件計(jì) 算資源的唯一操作者和管理員的假象，同時(shí)還提供各種虛擬機(jī)之間的 應(yīng)用隔離。

在公共數(shù)據(jù)中心處實(shí)施的虛擬化計(jì)算服務(wù)可以“計(jì)算實(shí)例”的 形式封裝供客戶端使用的計(jì)算能力，其中數(shù)個(gè)這樣的計(jì)算實(shí)例通常代 表一個(gè)或多個(gè)服務(wù)客戶端托管在給定硬件服務(wù)器上。然后，客戶端可 以在計(jì)算實(shí)例上運(yùn)行所期望的應(yīng)用集，通常經(jīng)由虛擬計(jì)算服務(wù)的基于 web的控制臺(tái)來執(zhí)行管理操作。在許多情況下，客戶端可能希望使用 計(jì)算實(shí)例來運(yùn)行需要身份驗(yàn)證的應(yīng)用，也就是說，為了獲得計(jì)算實(shí)例 的許可以執(zhí)行應(yīng)用的各種任務(wù)，或者為了請求來自其他服務(wù)的工作操 作，可能必須核實(shí)實(shí)例的身份。隨著入侵者攻擊各種網(wǎng)絡(luò)和服務(wù)的頻 率和復(fù)雜性增加，虛擬化計(jì)算服務(wù)的客戶端可能變得不愿意利用不提 供對高度安全的資源身份核實(shí)機(jī)制的支持的計(jì)算實(shí)例或其他資源。

附圖說明

圖1示出了根據(jù)至少一些實(shí)施方案的示例性系統(tǒng)環(huán)境，其中在虛 擬計(jì)算服務(wù)處實(shí)施的計(jì)算實(shí)例可以被指派各自命名空間內(nèi)的數(shù)個(gè)不 同可加密核實(shí)身份(CVI)。

圖2示出了根據(jù)至少一些實(shí)施方案的可以指派給計(jì)算實(shí)例的身 份類型的示例。

圖3示出了根據(jù)至少一些實(shí)施方案的多個(gè)應(yīng)用的認(rèn)證部件與計(jì) 算實(shí)例之間的互動(dòng)的示例。

圖4示出了根據(jù)至少一些實(shí)施方案的實(shí)例主機(jī)的示例，在實(shí)例主 機(jī)處可以實(shí)施使得計(jì)算實(shí)例能夠利用由安全密鑰存儲(chǔ)區(qū)所管理的不 可轉(zhuǎn)移私有密鑰的編程接口。

圖5示出了根據(jù)至少一些實(shí)施方案的客戶端與實(shí)例配置管理器 之間的身份相關(guān)控制平面互動(dòng)的示例。

圖6示出了根據(jù)至少一些實(shí)施方案的可包括在提交給實(shí)例配置 管理器的身份指派請求中的身份描述符的示例性內(nèi)容。

圖7是示出根據(jù)至少一些實(shí)施方案的可被執(zhí)行以響應(yīng)于與實(shí)例 身份指派有關(guān)的管理請求的操作的各方面的流程圖。

圖8是示出根據(jù)至少一些實(shí)施方案的可以在已經(jīng)指派了各自命 名空間內(nèi)的一個(gè)或多個(gè)身份的計(jì)算實(shí)例處執(zhí)行的操作的各方面的流 程圖。

圖9是示出可以在至少一些實(shí)施方案中使用的示例性計(jì)算裝置 的框圖。