本公開涉及基于角色的訪問控制策略自動生成。在一些實例中，計算機網絡中的訪問控制策略控制器可接收創建訪問控制策略的請求，該訪問控制策略允許角色執行計算機網絡中的一個或多個功能。訪問控制策略控制器可至少部分基于跟蹤計算機網絡中的一個或多個功能的執行，來確定對計算機網絡中的一個或多個對象執行的以執行一個或多個功能的一個或多個操作。訪問控制策略控制器可創建用于角色的訪問控制策略，該訪問控制策略允許角色對計算機網絡中的一個或多個對象執行一個或多個操作。

技術領域

本公開涉及計算機網絡，并且更具體地，涉及用于計算機網絡的訪問控制策略。

背景技術

虛擬數字中心正成為現代信息技術(IT)基礎設施的核心基礎。具體地，現代數據中心已廣泛利用了虛擬環境，其中，諸如虛擬機或虛擬容器的虛擬主機被部署在物理計算設備的底層計算平臺上并在其上運行。具有大型數據中心的虛擬化可提供若干優勢。一個優勢是虛擬化可大大提高效率。因為隨著每一物理CPU具有大量核的多核微處理器架構的出現，底層物理計算設備(即，服務器)變得越來越強大，所以虛擬化變得更加容易且更加高效。第二優勢是虛擬化提供對該基礎設施的重要控制。因為例如，在基于云的計算環境中，物理計算資源成為替代資源，所以計算基礎設施的提供和管理變得更加容易。因此，除了虛擬化所提供的效率和更高的投資回報率(ROI)之外，企業IT員工還因數據中心中的虛擬化計算集群的管理優勢而通常更喜歡虛擬化的計算集群。

例如，數據中心可物理上容納所有基礎設施設備，例如聯網和存儲系統、冗余電源和環境控制。在典型的數據中心中，存儲系統和應用服務器的集群通過由一層或多層物理網絡交換機和路由器提供的交換結構互連。更復雜的數據中心為遍布全球的基礎設施提供位于各種物理主管設施中的用戶支持設備。在數據中心的許多實例中，基礎設施可包括物理設備的組合，這些物理設備鏈接至各種虛擬資源，例如虛擬服務器、代理和/或策略控制器，并與之通信。

發明內容

總體上，本公開描述了使計算機網絡的控制器能夠基于用戶意圖生成用于計算機網絡的基于角色的訪問控制(RBAC)策略的技術。用戶，例如計算機網絡的管理員，可指定一個或多個用戶意圖，其中，用戶意圖可以是計算機網絡的最終功能的高級描述。控制器可確定計算機網絡中被操作以執行一個或多個用戶意圖的對象，并且可確定為了執行一個或多個用戶意圖而對所識別的對象執行的特定操作。因此，控制器可確定用于角色的訪問控制策略，該訪問控制策略允許角色對所識別的對象執行特定操作。

計算機網絡(例如，軟件定義的網絡)可以是一個復雜的環境，該環境包括彼此之間通信以及與外部設備通信的成百上千個物理和/或虛擬部件，例如應用程序、虛擬機、虛擬路由器、虛擬網絡、子網、域、租戶、資源等。因此，對于用戶(例如，管理員)來說，手動確定用于角色的允許角色在計算機網絡內執行一個或多個用戶意圖的適當訪問控制策略是不可行的。例如，執行包括一個或多個用戶意圖的工作流可包括執行操作以監控并編排跨集群、域、租戶、虛擬網絡等的資源。此外，這些實體可跨越多個虛擬路由器、節點(例如，配置節點、控制節點等)、虛擬機等。因此，在一些實例中，執行包括一個或多個用戶意圖的工作流可包括訪問跨網絡的多個服務器的數百個不同對象并對其執行操作。因此，在某些情況下，用戶可能無法手動確定用于角色的適當訪問控制策略。

在一些實例中，如果用戶嘗試手動確定用于角色的執行一個或多個意圖的訪問策略，則用戶在手動確定授予角色在計算機網絡中執行一個或多個意圖的能力的訪問策略時，可能包含過度或欠包含。例如，如果用戶確定執行用戶意圖包括對計算機網絡中的對象執行操作，但不知道為了執行該用戶意圖而對對象執行的具體操作，則為了在計算機網絡中執行用戶意圖，用戶可能授予角色對不需要的對象執行操作的能力，這可能會導致如下安全問題：與角色相關的用戶可能被允許執行除了執行用戶意圖所需的操作以外的操作。在其他實例中，為了執行用戶意圖，用戶可能會錯誤地未授予角色執行可能需要被執行的一個或多個操作的能力，這可導致在用戶授予權限的情況下，該角色也無法執行用戶意圖。