訪問控制系統的第一訪問接口(100)提供對計算資源(150)的訪問。確定用戶的至少一個訪問角色和與用戶的該訪問角色關聯的至少一個訪問目標。基于用戶的至少一個訪問角色和關聯的至少一個訪問目標，確定計算資源(150)的子集。定義限于計算資源(150)的子集的第二訪問接口(110、120)。通過第二訪問接口(110、120)，向所述用戶提供對計算資源(150)的子集的訪問。

技術領域

本發明涉及用于控制對計算資源的訪問的方法以及對應的設備和系統。

背景技術

在計算機系統或網絡中，已知的是提供用于控制用戶對計算資源的訪問的各種機制。一個示例是通信網絡中的訪問控制。在此情況下，可能需要對特定訂戶可以使用通信網絡的哪些資源進行控制。然而，關于對通信網絡的管理，也可能需要訪問控制。例如，通信網絡可以在多個運營商之間共享其網絡資源，并且每個運營商可能需要管理對網絡資源的對應共享。

在每種情況下，訪問控制涉及許可特定用戶(在上述示例中為特定訂戶或運營商)對特定計算資源的訪問，而對于該用戶拒絕對其他計算資源的訪問。相似地，訪問控制也可以涉及：對于特定計算資源，許可特定用于進行訪問，而拒絕另一用戶訪問。相應地，訪問控制可以通過根據用戶和/或根據待訪問的計算資源許可對計算資源的訪問來考慮各種維度。

考慮以依賴于用戶的方式來執行訪問控制的一種方式是：向用戶指派角色，并根據指派給特定用戶的角色來執行訪問控制。這通常稱為基于角色的訪問控制(RBAC)。在此，角色可以定義計算資源上準許或禁止的事務。可以為多個用戶指派同一角色，并且可以為每個用戶指派一個或多個角色。在多維訪問控制方案中，可以通過在判決時還考慮訪問的目標來將RBAC與基于目標的訪問控制(TBAC)相組合。可以按照事務所需的計算資源的集來合定義訪問的目標。

然而，在不會不利地影響訪問控制系統的性能的情況下，實現精細粒度的多維訪問控制可能是困難的。當在服務空間中實現精細粒度的多維訪問控制時，這可能帶來服務的不一致覆蓋，和/或因為可能需要針對每個服務單獨地實現相似的訪問控制機制而可能導致架構重復。此外，由于從數據存儲庫中獲得比實際上更多的用于訪問控制判決的數據并且然后在服務空間中后處理該數據，因此也可能存在數據存儲庫上的增加的負載。因此，在從數據存儲庫獲得的數據上可能存在過度開銷。當精細粒度的訪問控制進而在數據存儲庫中是多維的時，由于在數據存儲庫中對訪問進行檢查，因此這可能導致過度的處理開銷。這可能帶來吞吐量的抑制。

因此，存在對允許有效的基于角色和基于目標的訪問控制的技術的需求。

發明內容

根據本發明的實施例，一種控制對計算資源的訪問的方法。所述方法包括：通過第一訪問接口來提供對計算資源的訪問。此外，所述方法涉及：確定用戶的至少一個訪問角色和與所述用戶的訪問角色關聯的至少一個訪問目標。基于所述用戶的所述至少一個訪問角色和所述關聯的至少一個訪問目標，確定所述計算資源的子集。此外，所述方法包括：定義限于所述計算資源的所述子集的第二訪問接口。此外，所述方法包括：通過所述第二訪問接口來向所述用戶提供對計算資源的所述子集的訪問。

根據本發明的另外的實施例，提供了一種訪問管理器。所述訪問管理器被配置為：通過第一訪問接口來提供對計算資源的訪問。此外，所述訪問管理器被配置為：確定用戶的至少一個訪問角色和與所述用戶的訪問角色關聯的至少一個訪問目標。此外，所述訪問管理器被配置為：基于所述用戶的所述至少一個訪問角色和所述關聯的至少一個訪問目標來確定所述計算資源的子集。此外，所述訪問管理器被配置為：定義限于計算資源的所述子集的第二訪問接口。此外，所述訪問管理器被配置為：通過所述第二訪問接口來向所述用戶提供對計算資源的所述子集的訪問。