权限策略配置方法、装置及计算机可读存储介质转让专利
申请号 : CN201811201709.2
文献号 : CN109462576B
文献日 : 2020-04-21
发明人 : 袁哲
申请人 : 腾讯科技(深圳)有限公司 , 腾讯云计算(北京)有限责任公司
摘要 :
本发明提供一种权限策略配置方法,其包括获取访问权限配置信息,并基于访问权限配置信息,生成至少一个访问权限预备策略;获取访问权限流量信息,并根据访问权限流量信息,在预设沙箱环境中对访问权限预备策略进行策略运行,以得到预备策略运行结果;使用预设阈值对预备策略运行结果进行筛选,以得到对应的访问权限策略;在对应的数据访问系统上,对访问权限策略进行配置操作。本发明还提供一种权限策略配置装置,本发明基于访问权限配置信息以及访问权限流量信息生成对应的访问权限预备策略,并在预设沙箱环境中对所有的访问权限预备策略进行筛选,大大提高了访问权限预备策略的配置效率,提高了配置的访问权限预备策略的运行稳定性。
权利要求 :
1.一种权限策略配置方法,其特征在于,包括:
获取访问权限配置信息,并基于所述访问权限配置信息,生成至少一个访问权限预备策略;
获取访问权限流量信息,并根据所述访问权限流量信息,在预设沙箱环境中对所述访问权限预备策略进行策略运行,以得到预备策略运行结果;
使用预设阈值对所述预备策略运行结果进行筛选,以得到对应的访问权限策略;以及在对应的数据访问系统上,对所述访问权限策略进行配置操作。
2.根据权利要求1所述的权限策略配置方法,其特征在于,所述访问权限配置信息包括访问数据接口信息、访问数据标识信息、访问数据位置信息、访问数据归属信息以及访问数据授权信息;
所述基于所述访问权限配置信息,生成至少一个访问权限预备策略的步骤包括:基于所述访问权限配置信息,生成多个访问权限预备策略;其中不同访问权限预备策略对应的访问数据接口信息不同、访问数据位置信息不同、访问数据归属信息不同和/或访问数据授权信息不同。
3.根据权利要求1所述的权限策略配置方法,其特征在于,所述访问权限流量信息包括预设访问数据类型的流量信息或预设访问数据时间的流量信息;
所述根据所述访问权限流量信息,在预设沙箱环境中对所述访问权限预备策略进行策略运行的步骤包括:使用预设访问数据类型的流量对应的访问信息,在预设沙箱环境中对所述访问权限预备策略进行策略运行;或使用预设访问数据时间的流量对应的访问信息,在预设沙箱环境中对所述访问权限预备策略进行策略运行。
4.根据权利要求3所述的权限策略配置方法,其特征在于,所述使用预设访问数据时间的流量对应的访问信息,在预设沙箱环境中对所述访问权限预备策略进行策略运行的步骤包括:使用实时的流量对应的访问信息,在预设沙箱环境中对所述访问权限预备策略进行策略运行。
5.根据权利要求3所述的权限策略配置方法,其特征在于,所述根据所述访问权限流量信息,在预设沙箱环境中对所述访问权限预备策略进行策略运行的步骤包括:基于预设的转换公式,将预设访问数据时间的各访问数据类型的流量转换为预设访问数据类型的流量;
使用预设访问数据类型的流量对应的访问信息,在预设沙箱环境中对所述访问权限预备策略进行策略运行。
6.根据权利要求2所述的权限策略配置方法,其特征在于,所述根据所述访问权限流量信息,在预设沙箱环境中对所述访问权限预备策略进行策略运行的步骤包括:根据所述访问权限流量信息,在同一预设沙箱环境中对至少两个访问权限预备策略同时进行策略运行。
7.根据权利要求1所述的权限策略配置方法,其特征在于,所述预设阈值包括请求量趋势范围、错误码分布范围以及请求业务分布范围中至少一个;
所述使用预设阈值对所述预备策略运行结果进行筛选,以得到对应的访问权限策略的步骤之前包括:基于现有访问权限策略的运行结果以及预设浮动范围确定所述预设阈值。
8.一种权限策略配置装置,其特征在于,包括:
预备策略生成模块,用于获取访问权限配置信息,并基于所述访问权限配置信息,生成至少一个访问权限预备策略;
策略运行模块,用于获取访问权限流量信息,并根据所述访问权限流量信息,在预设沙箱环境中对所述访问权限预备策略进行策略运行,以得到预备策略运行结果;
访问权限策略获取模块,使用预设阈值对所述预备策略运行结果进行筛选,以得到对应的访问权限策略;以及配置模块,用于在对应的数据访问系统上,对所述访问权限策略进行配置操作。
9.根据权利要求8所述的权限策略配置装置,其特征在于,所述访问权限配置信息包括访问数据接口信息、访问数据标识信息、访问数据位置信息、访问数据归属信息以及访问数据授权信息;
所述预备策略生成模块具体用于基于所述访问权限配置信息,生成多个访问权限预备策略;其中不同访问权限预备策略对应的访问数据接口信息不同、访问数据位置信息不同、访问数据归属信息不同和/或访问数据授权信息不同。
10.根据权利要求8所述的权限策略配置装置,其特征在于,所述访问权限流量信息包括预设访问数据类型的流量信息或预设访问数据时间的流量信息;
所述策略运行模块包括:
第一策略运行单元,用于使用预设访问数据类型的流量对应的访问信息,在预设沙箱环境中对所述访问权限预备策略进行策略运行;以及第二策略运行单元,用于使用预设访问数据时间的流量对应的访问信息,在预设沙箱环境中对所述访问权限预备策略进行策略运行。
11.根据权利要求10所述的权限策略配置装置,其特征在于,所述第二策略运行单元还用于使用实时的流量对应的访问信息,在预设沙箱环境中对所述访问权限预备策略进行策略运行。
12.根据权利要求10所述的权限策略配置装置,其特征在于,所述策略运行模块包括:转换单元,用于基于预设的转换公式,将预设访问数据时间的各访问数据类型的流量转换为预设访问数据类型的流量;以及第二策略运行单元,用于使用预设访问数据时间的流量对应的访问信息,在预设沙箱环境中对所述访问权限预备策略进行策略运行。
13.根据权利要求9所述的权限策略配置装置,其特征在于,所述策略运行模块用于根据所述访问权限流量信息,在同一预设沙箱环境中对至少两个访问权限预备策略同时进行策略运行。
14.根据权利要求8所述的权限策略配置装置,其特征在于,所述预设阈值包括请求量趋势范围、错误码分布范围以及请求业务分布范围中至少一个;
所述权限策略配置装置还包括:
阈值设置模块,用于基于现有访问权限策略的运行结果以及预设浮动范围确定所述预设阈值。
15.一种计算机可读存储介质,其内存储有处理器可执行指令,所述指令由一个或一个以上处理器加载,以执行如权利要求1-7中任一的权限策略配置方法。
说明书 :
权限策略配置方法、装置及计算机可读存储介质
技术领域
[0001] 本发明涉及互联网领域,特别是涉及一种权限策略配置方法、装置及计算机可读存储介质。
背景技术
[0002] 随着科技的发展,人们对数据访问的要求越来越高,为了满足人们各种的数据访问要求,现有的数据服务提供商会提供各种的数据访问权限对数据访问进行条件限制以及流量控制。如通过配置数据访问权限策略来控制不同的用户对不同数据资源的访问权限等。
[0003] 现有的数据权限策略配置方法中,数据服务提供商在创建访问权限策略后,会直接授权给对应的账号或客户;如访问权限策略不能满足用户的业务需求(如兼容性问题、越权问题或变更未达预期问题等),则用户可申请对已授权的访问权限策略进行变更,变更后的访问权限策略为一个新版本的访问权限策略,或用户通过切换到上一个版本的访问权限策略进行策略回退,以便在原有的访问权限策略的基础上进行访问权限策略的变更。
[0004] 虽然现有的数据权限策略配置方法中提供了策略回退的机制,但是均需要通过现网的运营数据对新的数据权限策略进行测试来发现问题;如发现了问题,新的数据权限策略可能已经对数据访问系统造成了巨大的影响,因此现有的数据权限策略配置方法是低效且稳定性较低的。
发明内容
[0005] 本发明实施例提供一种配置效率较高且稳定性较高的权限策略配置方法及权限策略配置装置;以解决现有的权限策略配置方法及配置装置的配置效率较低且配置稳定性较低的技术问题。
[0006] 本发明实施例提供一种权限策略配置方法,其包括:
[0007] 获取访问权限配置信息,并基于所述访问权限配置信息,生成至少一个访问权限预备策略;
[0008] 获取访问权限流量信息,并根据所述访问权限流量信息,在预设沙箱环境中对所述访问权限预备策略进行策略运行,以得到预备策略运行结果;
[0009] 使用预设阈值对所述预备策略运行结果进行筛选,以得到对应的访问权限策略;以及
[0010] 在对应的数据访问系统上,对所述访问权限策略进行配置操作。
[0011] 本发明实施例还提供一种权限策略配置装置,其包括:
[0012] 预备策略生成模块,用于获取访问权限配置信息,并基于所述访问权限配置信息,生成至少一个访问权限预备策略;
[0013] 策略运行模块,用于获取访问权限流量信息,并根据所述访问权限流量信息,在预设沙箱环境中对所述访问权限预备策略进行策略运行,以得到预备策略运行结果;
[0014] 访问权限策略获取模块,使用预设阈值对所述预备策略运行结果进行筛选,以得到对应的访问权限策略;以及
[0015] 配置模块,用于在对应的数据访问系统上,对所述访问权限策略进行配置操作。
[0016] 本发明实施例还提供一种计算机可读存储介质,其内存储有处理器可执行指令,所述指令由一个或一个以上处理器加载,以执行上述的权限策略配置方法。
[0017] 相较于现有技术,本发明的权限策略配置方法、装置及计算机可读存储介质基于访问权限配置信息生成对应的访问权限预备策略,并在预设沙箱环境中对所有的访问权限预备策略进行筛选,大大提高了访问权限预备策略的配置效率,提高了配置的访问权限预备策略的运行稳定性;有效的解决了现有的权限策略配置方法及配置装置的配置效率较低且配置稳定性较低的技术问题。
附图说明
[0018] 图1为本发明的权限策略配置方法的第一实施例的流程图;
[0019] 图2为本发明的权限策略配置方法的第二实施例的流程图;
[0020] 图3为本发明的权限策略配置装置的第一实施例的结构示意图;
[0021] 图4为本发明的权限策略配置装置的第二实施例的结构示意图;
[0022] 图5为本发明的权限策略配置装置的第二实施例的策略运行模块的结构示意图;
[0023] 图6为本发明的权限策略配置方法以及权限策略配置装置的具体实施例的流程图;
[0024] 图7为本发明的权限策略配置装置所在的电子设备的工作环境结构示意图。
具体实施方式
[0025] 请参照图式,其中相同的组件符号代表相同的组件,本发明的原理是以实施在一适当的运算环境中来举例说明。以下的说明是基于所例示的本发明具体实施例,其不应被视为限制本发明未在此详述的其它具体实施例。
[0026] 在以下的说明中,本发明的具体实施例将参考由一部或多部计算机所执行之作业的步骤及符号来说明,除非另有述明。因此,其将可了解到这些步骤及操作,其中有数次提到为由计算机执行,包括了由代表了以一结构化型式中的数据之电子信号的计算机处理单元所操纵。此操纵转换该数据或将其维持在该计算机之内存系统中的位置处,其可重新配置或另外以本领域技术人员所熟知的方式来改变该计算机之运作。该数据所维持的数据结构为该内存之实体位置,其具有由该数据格式所定义的特定特性。但是,本发明原理以上述文字来说明,其并不代表为一种限制,本领域技术人员将可了解到以下所述的多种步骤及操作亦可实施在硬件当中。
[0027] 本发明的权限策略配置方法及权限策略配置装置可设置在任何的电子设备中,用于对数据服务提供商的数据库进行访问权限策略的配置操作。该电子设备包括但不限于可穿戴设备、头戴设备、医疗健康平台、个人计算机、服务器计算机、手持式或膝上型设备、移动设备(比如移动电话、个人数字助理(PDA)、媒体播放器等等)、多处理器系统、消费型电子设备、小型计算机、大型计算机、包括上述任意系统或设备的分布式计算环境,等等。该电子设备优选为访问权限策略配置服务器,以便接收用户或数据库管理员的指令对访问权限策略进行高效设置以及变更,并且设置以及变更后的访问权限策略的运行稳定性较高。
[0028] 请参照图1,图1为本发明的权限策略配置方法的第一实施例的流程图。本实施例的权限策略配置方法可使用上述的电子设备进行实施,优选使用访问权限策略配置服务器进行实施,本实施例的权限策略配置方法包括:
[0029] 步骤S101,获取访问权限配置信息,并基于访问权限配置信息,生成至少一个访问权限预备策略;
[0030] 步骤S102,获取访问权限流量信息,并根据访问权限流量信息,在预设沙箱环境中对访问权限预备策略进行策略运行,以得到预备策略运行结果;
[0031] 步骤S103,使用预设阈值对预备策略运行结果进行筛选,以得到对应的访问权限策略;
[0032] 步骤S104,在对应的数据访问系统上,对访问权限策略进行配置操作。
[0033] 下面详细说明本发明的第一实施例的权限策略配置方法的权限策略配置过程。
[0034] 在步骤S101中,权限策略配置装置(如访问权限策略配置服务器)从外部获取访问权限配置信息。这里的访问权限配置信息为访问权限策略的基本信息,即构成访问权限策略的各个部分。
[0035] 该访问权限配置信息可包括访问数据标识信息、访问数据接口信息、访问数据位置信息、访问数据归属信息以及访问数据授权信息等。
[0036] 其中访问数据标识信息为访问权限策略对应的数据请求标识、访问权限策略对应的操作业务标识等。其中数据请求标识为该访问权限策略的唯一性标识,操作业务标识用于表示该访问权限策略的数据存储类型,如云存储(CloudObject Storage,COS)或云服务器(CloudVirtualMachine,CVM)等。
[0037] 访问数据接口信息为访问权限策略对应的接口类型以及接口标识等。
[0038] 访问数据位置信息为访问权限策略对应的数据所在区域,这里可指具体的物理位置,如欧洲或中国等,也可指某个虚拟位置,如第二号服务器等。
[0039] 访问数据归属信息为访问权限策略对应的数据的拥有者标识或对应的数据服务器的标识。
[0040] 访问数据授权信息为访问权限策略的授权用户标识。
[0041] 这样权限策略配置装置可通过上述访问权限配置信息的设置生成一个访问权限预备策略。通过该访问权限预备策略使得具有授权用户标识的用户可通过对应的接口访问特定位置的标识数据,同时授权用户可获取该标识数据的拥有者信息以及授权用户可执行的数据操作类型。
[0042] 这里访问数据接口信息、访问数据标识信息、访问数据位置信息、访问数据归属信息以及访问数据授权信息中任一信息不同均为不同的访问权限配置信息。因此权限策略配置装置可根据获取的访问权限配置信息生成多个访问权限预备策略,如用户需要获取多个访问数据接口的数据访问情况,通过不同的访问数据接口可生成对应数量的访问权限预备策略。
[0043] 这里的访问权限预备策略仅仅是根据用户预测生成的访问权限策略,该访问权限策略并不一定符合用户希望的数据访问要求,因此后续步骤需要对所有的访问权限预备策略进行验证,以找到符合要求且运行稳定的访问权限策略。
[0044] 在步骤S102中,权限策略配置装置从外部获取访问权限流量信息,该访问权限流量信息可包括访问数据类型的流量信息以及访问数据时间的流量信息。
[0045] 访问数据类型的流量信息可为访问数据流量的业务类型,访问数据流量对应的数据访问操作类型,以及访问数据流量对应的资源类型等。
[0046] 访问数据时间的流量信息可为访问数据流量发生的时间段信息。
[0047] 这样权限策略配置装置可根据上述访问权限流量信息,对步骤S101获取的访问权限预备策略进行策略运行,即确定访问权限预备策略的策略运行时间以及策略运行对象。为了避免访问权限预备策略对现有的数据访问系统造成影响,这里权限策略配置装置可在预设沙箱环境中对访问权限预备策略进行策略运行,从而得到预备策略运行结果。
[0048] 这里的预备策略运行结果为访问权限预备策略在预设沙箱环境中的运行结果,如可获取预备策略运行期间的数据访问请求量的趋势范围,数据访问的错误码分布范围以及数据访问的请求业务分布范围等。
[0049] 在步骤S103中,权限策略配置装置获取预设阈值,该预设阈值可为用户预先设置的请求量趋势范围、错误码分布范围以及请求业务分布范围中至少一个。该预设阈值为用户调整访问权限策略后的期望策略运行结果范围。
[0050] 随后权限策略配置装置使用上述预设阈值对步骤S102获取的预备策略运行结果进行筛选,从而得到符合预设阈值要求的预备策略运行结果;并将对应的预备策略运行结果对应的访问权限预备策略设置为访问权限策略。
[0051] 在步骤S104中,权限策略配置装置在对应的数据访问系统上,对步骤S103获取的访问权限策略进行配置操作。如在步骤S103获取了多个访问权限策略,则自动选择与预设阈值最接近的访问权限策略或由用户从中选择一个访问权限策略进行配置操作。
[0052] 这样即完成了本实施例的权限策略配置方法的数据访问权限策略配置过程。
[0053] 本实施例的权限策略配置方法基于访问权限配置信息以及访问权限流量信息生成对应的访问权限预备策略,并在预设沙箱环境中对所有的访问权限预备策略进行筛选,大大提高了访问权限预备策略的配置效率,提高了配置的访问权限预备策略的运行稳定性。
[0054] 请参照图2,图2为本发明的权限策略配置方法的第二实施例的流程图。本实施例的权限策略配置方法可使用上述的电子设备进行实施,优选使用访问权限策略配置服务器进行实施,本实施例的权限策略配置方法包括:
[0055] 步骤S201,获取访问权限配置信息,并基于访问权限配置信息,生成至少一个访问权限预备策略;
[0056] 步骤S202,获取访问权限流量信息,并根据访问权限流量信息,在预设沙箱环境中对访问权限预备策略进行策略运行,以得到预备策略运行结果;
[0057] 步骤S203,基于现有访问权限策略的运行结果以及预设浮动范围确定预设阈值;
[0058] 步骤S204,使用预设阈值对预备策略运行结果进行筛选,以得到对应的访问权限策略;
[0059] 步骤S205,在对应的数据访问系统上,对访问权限策略进行配置操作。
[0060] 下面详细说明本发明的第二实施例的权限策略配置方法的权限策略配置过程。
[0061] 在步骤S201中,权限策略配置装置(如访问权限策略配置服务器)从外部获取访问权限配置信息。这里的访问权限配置信息为访问权限策略的基本信息,即构成访问权限策略的各个部分。
[0062] 该访问权限配置信息可包括访问数据标识信息、访问数据接口信息、访问数据位置信息、访问数据归属信息以及访问数据授权信息等。
[0063] 随后权限策略配置装置可通过上述访问权限配置信息的设置生成多个访问权限预备策略。不同访问权限预备策略对应的访问数据接口信息不同、访问数据位置信息不同、访问数据归属信息不同和/或访问数据授权信息不同。
[0064] 这里访问数据接口信息、访问数据标识信息、访问数据位置信息、访问数据归属信息以及访问数据授权信息中任一信息不同均为不同的访问权限配置信息。因此权限策略配置装置可根据获取的访问权限配置信息生成多个访问权限预备策略,如用户需要获取多个访问数据接口的数据访问情况,通过不同的访问数据接口可生成对应数量的访问权限预备策略。
[0065] 在步骤S202中,权限策略配置装置从外部获取访问权限流量信息,该访问权限流量信息可包括访问数据类型的流量信息以及访问数据时间的流量信息。
[0066] 这样权限策略配置装置可根据上述访问权限流量信息,对步骤S201获取的访问权限预备策略进行策略运行,即确定访问权限预备策略的策略运行时间以及策略运行对象。为了避免访问权限预备策略对现有的数据访问系统造成影响,这里权限策略配置装置可在预设沙箱环境中对访问权限预备策略进行策略运行,从而得到预备策略运行结果。
[0067] 具体的,这里权限策略配置装置可直接使用预设访问数据类型的流量对应的访问信息,在预设沙箱环境中对访问权限预备策略进行策略运行。即按用户想要测试访问数据类型的流量进行访问权限预备策略的测试操作。
[0068] 这里权限策略配置装置还可直接使用预设访问数据时间的流量对应的访问信息,在预设沙箱环境中对访问权限预备策略进行策略运行。即按用户想要测试访问数据时间的流量进行访问权限预备策略的测试操作。进一步的,这里可选用历史上某个访问数据时间的流量进行访问权限预备策略的测试操作,也可直接使用实时的流量进行访问权限预备策略的测试操作。
[0069] 权限策略配置装置还可同时使用预设访问数据类型的流量对应的访问信息以及预设访问数据时间的流量对应的访问信息,在预设沙箱环境中对访问权限预备策略进行策略运行。具体的,权限策略配置装置可先基于预设的转换公式,将预设访问数据时间的各访问数据类型的流量转换为预设访问数据类型的流量,以便使用同一访问数据类型的流量模拟所有访问数据类型的流量压力。随后权限策略配置装置使用转换后的预设访问数据类型的流量对应的访问信息,在预设沙箱环境中对访问权限预备策略进行策略运行,即按用户想要测试访问数据类型的流量进行访问权限预备策略的测试操作。
[0070] 在本步骤中,权限策略配置装置还可根据访问权限流量信息,在同一预设沙箱环境中对至少两个访问权限预备策略同时进行策略运行。这里同时运行的两个访问权限预备策略应该是具有大致相同的预备策略运行结果,这样可通过多个访问权限预备策略同时进行策略运行进一步提高访问权限预备策略的配置效率,同时通过至少两个访问权限预备策略的组合运行,还进一步提高了访问权限预备策略的多样性,使得用户可发现运行更加稳定的访问权限策略。
[0071] 在步骤S203中,权限策略配置装置基于现有访问权限策略的运行结果以及预设浮动范围确定预设阈值。为了避免环境因此对策略运行结果的影响,本实施例的权限策略配置装置会基于现有访问权限策略的运行结果来确定变更后的访问权限策略,即在现有访问权限策略的运行结果上增加预设浮动范围来确定用于确定变更后的访问权限策略的运行结果的预设阈值。
[0072] 该预设阈值可为请求量趋势范围、错误码分布范围以及请求业务分布范围中至少一个。
[0073] 在步骤S204中,权限策略配置装置使用步骤S203获取的预设阈值对步骤S202获取的预备策略运行结果进行筛选,从而得到符合预设阈值要求的预备策略运行结果;并将对应的预备策略运行结果对应的访问权限预备策略设置为访问权限策略。
[0074] 在步骤S205中,权限策略配置装置在对应的数据访问系统上,对步骤S204获取的访问权限策略进行配置操作。如在步骤S204获取了多个访问权限策略,则自动选择与预设阈值最接近的访问权限策略或由用户从中选择一个访问权限策略进行配置操作。
[0075] 这样即完成了本实施例的权限策略配置方法的数据访问权限策略配置过程。
[0076] 在第一实施例的基础上,本实施例的权限策略配置方法可同时生成多个访问权限预备策略,并可使用多种方法同时对多个访问权限预备策略进行测试,进一步提高了访问权限预备策略的配置效率,同时进一步提高了配置的访问权限预备策略的运行稳定性。
[0077] 本发明还提供一种权限策略配置装置,请参照图3,图3为本发明的权限策略配置装置的第一实施例的结构示意图。本实施例的权限策略配置装置可使用上述的权限策略配置方法的第一实施例进行实施,本实施例的权限策略配置装置30包括预备策略生成模块31、策略运行模块32、访问权限策略获取模块33以及配置模块34。
[0078] 预备策略生成模块31用于获取访问权限配置信息,并基于访问权限配置信息,生成至少一个访问权限预备策略;策略运行模块32用于获取访问权限流量信息,并根据访问权限流量信息,在预设沙箱环境中对访问权限预备策略进行策略运行,以得到预备策略运行结果;访问权限策略获取模块33使用预设阈值对预备策略运行结果进行筛选,以得到对应的访问权限策略;配置模块34用于在对应的数据访问系统上,对访问权限策略进行配置操作。
[0079] 本实施例的权限策略配置装置30使用时,首先预备策略生成模块31(如访问权限策略配置服务器)从外部获取访问权限配置信息。这里的访问权限配置信息为访问权限策略的基本信息,即构成访问权限策略的各个部分。
[0080] 该访问权限配置信息可包括访问数据标识信息、访问数据接口信息、访问数据位置信息、访问数据归属信息以及访问数据授权信息等。
[0081] 其中访问数据标识信息为访问权限策略对应的数据请求标识、访问权限策略对应的操作业务标识等。其中数据请求标识为该访问权限策略的唯一性标识,操作业务标识用于表示该访问权限策略的数据存储类型,如云存储(CloudObject Storage,COS)或云服务器(CloudVirtualMachine,CVM)等。
[0082] 访问数据接口信息为访问权限策略对应的接口类型以及接口标识等。
[0083] 访问数据位置信息为访问权限策略对应的数据所在区域,这里可指具体的物理位置,如欧洲或中国等,也可指某个虚拟位置,如第二号服务器等。
[0084] 访问数据归属信息为访问权限策略对应的数据的拥有者标识或对应的数据服务器的标识。
[0085] 访问数据授权信息为访问权限策略的授权用户标识。
[0086] 这样预备策略生成模块31可通过上述访问权限配置信息的设置生成一个访问权限预备策略。通过该访问权限预备策略使得具有授权用户标识的用户可通过对应的接口访问特定位置的标识数据,同时授权用户可获取该标识数据的拥有者信息以及授权用户可执行的数据操作类型。
[0087] 这里访问数据接口信息、访问数据标识信息、访问数据位置信息、访问数据归属信息以及访问数据授权信息中任一信息不同均为不同的访问权限配置信息。因此预备策略生成模块31可根据获取的访问权限配置信息生成多个访问权限预备策略,如用户需要获取多个访问数据接口的数据访问情况,通过不同的访问数据接口可生成对应数量的访问权限预备策略。
[0088] 这里的访问权限预备策略仅仅是根据用户预测生成的访问权限策略,该访问权限策略并不一定符合用户希望的数据访问要求,因此后续步骤需要对所有的访问权限预备策略进行验证,以找到符合要求且运行稳定的访问权限策略。
[0089] 随后策略运行模块32从外部获取访问权限流量信息,该访问权限流量信息可包括访问数据类型的流量信息以及访问数据时间的流量信息。
[0090] 访问数据类型的流量信息可为访问数据流量的业务类型,访问数据流量对应的数据访问操作类型,以及访问数据流量对应的资源类型等。
[0091] 访问数据时间的流量信息可为访问数据流量发生的时间段信息。
[0092] 这样策略运行模块32可根据上述访问权限流量信息,对获取的访问权限预备策略进行策略运行,即确定访问权限预备策略的策略运行时间以及策略运行对象。为了避免访问权限预备策略对现有的数据访问系统造成影响,这里权限策略配置装置可在预设沙箱环境中对访问权限预备策略进行策略运行,从而得到预备策略运行结果。
[0093] 这里的预备策略运行结果为访问权限预备策略在预设沙箱环境中的运行结果,如可获取预备策略运行期间的数据访问请求量的趋势范围,数据访问的错误码分布范围以及数据访问的请求业务分布范围等。
[0094] 然后访问权限策略获取模块33获取预设阈值,该预设阈值可为用户预先设置的请求量趋势范围、错误码分布范围以及请求业务分布范围中至少一个。该预设阈值为用户调整访问权限策略后的期望策略运行结果范围。
[0095] 随后访问权限策略获取模块33使用上述预设阈值对策略运行模块获取的预备策略运行结果进行筛选,从而得到符合预设阈值要求的预备策略运行结果;并将对应的预备策略运行结果对应的访问权限预备策略设置为访问权限策略。
[0096] 最后配置模块34在对应的数据访问系统上,对访问权限策略获取模块33获取的访问权限策略进行配置操作。如访问权限策略获取模块33获取了多个访问权限策略,则自动选择与预设阈值最接近的访问权限策略或由用户从中选择一个访问权限策略进行配置操作。
[0097] 这样即完成了本实施例的权限策略配置装置30的数据访问权限策略配置过程。
[0098] 本实施例的权限策略配置装置基于访问权限配置信息以及访问权限流量信息生成对应的访问权限预备策略,并在预设沙箱环境中对所有的访问权限预备策略进行筛选,大大提高了访问权限预备策略的配置效率,提高了配置的访问权限预备策略的运行稳定性。
[0099] 请参照图4,图4为本发明的权限策略配置装置的第二实施例的结构示意图。本实施例的权限策略配置装置可使用上述的权限策略配置方法的第二实施例进行实施,本实施例的权限策略配置装置40包括预备策略生成模块41、策略运行模块42、访问权限策略获取模块44、配置模块45以及阈值设置模块43。
[0100] 预备策略生成模块41用于获取访问权限配置信息,并基于访问权限配置信息,生成至少一个访问权限预备策略;策略运行模块42用于获取访问权限流量信息,并根据访问权限流量信息,在预设沙箱环境中对访问权限预备策略进行策略运行,以得到预备策略运行结果;访问权限策略获取模块44使用预设阈值对预备策略运行结果进行筛选,以得到对应的访问权限策略;配置模块45用于在对应的数据访问系统上,对访问权限策略进行配置操作;阈值设置模块43用于基于现有访问权限策略的运行结果以及预设浮动范围确定预设阈值。
[0101] 请参照图5,图5为本发明的权限策略配置装置的第二实施例的策略运行模块的结构示意图。该策略运行模块42包括第一策略运行单元51、第二策略运行单元52以及转换单元53。
[0102] 第一策略运行单元51用于使用预设访问数据类型的流量对应的访问信息,在预设沙箱环境中对访问权限预备策略进行策略运行;第二策略运行单元52用于使用预设访问数据时间的流量对应的访问信息,在预设沙箱环境中对访问权限预备策略进行策略运行;转换单元53用于基于预设的转换公式,将预设访问数据时间的各访问数据类型的流量转换为预设访问数据类型的流量。
[0103] 本实施例的权限策略配置装置40使用时,首先预备策略生成模块41(如访问权限策略配置服务器)从外部获取访问权限配置信息。这里的访问权限配置信息为访问权限策略的基本信息,即构成访问权限策略的各个部分。
[0104] 该访问权限配置信息可包括访问数据标识信息、访问数据接口信息、访问数据位置信息、访问数据归属信息以及访问数据授权信息等。
[0105] 随后预备策略生成模块41可通过上述访问权限配置信息的设置生成多个访问权限预备策略。不同访问权限预备策略对应的访问数据接口信息不同、访问数据位置信息不同、访问数据归属信息不同和/或访问数据授权信息不同。
[0106] 这里访问数据接口信息、访问数据标识信息、访问数据位置信息、访问数据归属信息以及访问数据授权信息中任一信息不同均为不同的访问权限配置信息。因此预备策略生成模块可根据获取的访问权限配置信息生成多个访问权限预备策略,如用户需要获取多个访问数据接口的数据访问情况,通过不同的访问数据接口可生成对应数量的访问权限预备策略。
[0107] 随后策略运行模块42从外部获取访问权限流量信息,该访问权限流量信息可包括访问数据类型的流量信息以及访问数据时间的流量信息。
[0108] 这样策略运行模块42可根据上述访问权限流量信息,对获取的访问权限预备策略进行策略运行,即确定访问权限预备策略的策略运行时间以及策略运行对象。为了避免访问权限预备策略对现有的数据访问系统造成影响,这里策略运行模块42可在预设沙箱环境中对访问权限预备策略进行策略运行,从而得到预备策略运行结果。
[0109] 具体的,这里策略运行模块42的第一策略运行单元51可直接使用预设访问数据类型的流量对应的访问信息,在预设沙箱环境中对访问权限预备策略进行策略运行。即按用户想要测试访问数据类型的流量进行访问权限预备策略的测试操作。
[0110] 这里策略运行模块42的第二策略运行单元52还可直接使用预设访问数据时间的流量对应的访问信息,在预设沙箱环境中对访问权限预备策略进行策略运行。即按用户想要测试访问数据时间的流量进行访问权限预备策略的测试操作。进一步的,这里可选用历史上某个访问数据时间的流量进行访问权限预备策略的测试操作,也可直接使用实时的流量进行访问权限预备策略的测试操作。
[0111] 策略运行模块42还可同时使用预设访问数据类型的流量对应的访问信息以及预设访问数据时间的流量对应的访问信息,在预设沙箱环境中对访问权限预备策略进行策略运行。具体的,策略运行模块42的转换单元53可先基于预设的转换公式,将预设访问数据时间的各访问数据类型的流量转换为预设访问数据类型的流量,以便使用同一访问数据类型的流量模拟所有访问数据类型的流量压力。随后策略运行模块42的第二策略运行单元52使用转换后的预设访问数据类型的流量对应的访问信息,在预设沙箱环境中对访问权限预备策略进行策略运行,即按用户想要测试访问数据类型的流量进行访问权限预备策略的测试操作。
[0112] 策略运行模块42还可根据访问权限流量信息,在同一预设沙箱环境中对至少两个访问权限预备策略同时进行策略运行。这里同时运行的两个访问权限预备策略应该是具有大致相同的预备策略运行结果,这样可通过多个访问权限预备策略同时进行策略运行进一步提高访问权限预备策略的配置效率,同时通过至少两个访问权限预备策略的组合运行,还进一步提高了访问权限预备策略的多样性,使得用户可发现运行更加稳定的访问权限策略。
[0113] 然后阈值设置模块43基于现有访问权限策略的运行结果以及预设浮动范围确定预设阈值。为了避免环境因此对策略运行结果的影响,本实施例的阈值设置模块43会基于现有访问权限策略的运行结果来确定变更后的访问权限策略,即在现有访问权限策略的运行结果上增加预设浮动范围来确定用于确定变更后的访问权限策略的运行结果的预设阈值。
[0114] 该预设阈值可为请求量趋势范围、错误码分布范围以及请求业务分布范围中至少一个。
[0115] 随后访问权限策略获取模块44使用阈值设置模块43获取的预设阈值对策略运行模块获取的预备策略运行结果进行筛选,从而得到符合预设阈值要求的预备策略运行结果;并将对应的预备策略运行结果对应的访问权限预备策略设置为访问权限策略。
[0116] 最后配置模块45在对应的数据访问系统上,对访问权限策略获取模块44获取的访问权限策略进行配置操作。如访问权限策略获取模块44获取了多个访问权限策略,则自动选择与预设阈值最接近的访问权限策略或由用户从中选择一个访问权限策略进行配置操作。
[0117] 这样即完成了本实施例的权限策略配置装置40的数据访问权限策略配置过程。
[0118] 在第一实施例的基础上,本实施例的权限策略配置装置可同时生成多个访问权限预备策略,并可使用多种方法同时对多个访问权限预备策略进行测试,进一步提高了访问权限预备策略的配置效率,同时进一步提高了配置的访问权限预备策略的运行稳定性。
[0119] 下面通过一具体实施例说明本发明的权限策略配置方法以及权限策略配置装置的具体工作原理。请参照图6,图6为本发明的权限策略配置方法以及权限策略配置装置的具体实施例的流程图。
[0120] 本发明的权限策略配置方法以及权限策略配置装置设置在访问权限策略配置服务器60上,以便接收用户或数据库管理员的指令对访问权限策略进行高效设置以及变更。
[0121] 请参照图6,该访问权限策略配置服务器60包括数据管理系统61、版本管理系统62、沙箱配置系统63、策略诊断系统64以及策略发布系统65。
[0122] 其中数据管理系统61用于从外部接收现有数据访问系统的鉴权请求,即访问权限配置信息;同时对策略诊断系统最终确定的访问权限策略进行数据存储操作。版本管理系统62用于根据访问权限配置信息生成对应的访问权限预备策略,即对现有的访问权限策略进行创建、变更以及删除操作,以生成多个访问权限预备策略,以供在沙箱环境中进行策略运行。沙箱配置系统63用于提供访问权限预备策略进行策略运行的一组或多组沙箱环境。策略诊断系统64用于根据预设阈值对沙箱环境中的策略运行结果进行诊断分析,确定符合预设阈值要求的访问权限策略。策略发布系统65对策略诊断系统确定的访问权限策略在对应的数据访问系统上进行配置操作。
[0123] 其中数据管理系统61应包括接收的访问权限配置信息,该访问权限配置信息可包括访问数据标识信息、访问数据接口信息、访问数据位置信息、访问数据归属信息以及访问数据授权信息等。该访问权限配置信息包括对应数据访问系统正在运行的访问权限配置信息或用户想要运行的访问权限配置信息
[0124] 具体的访问权限配置信息可包括数据请求标识(eventID)、操作业务标识(actionService)、操作接口标识(actionInterfaceName)、资源拥有者标识
(resourceOwnerID)、资源所属业务标识(resourceService)、资源所属区域标识
(resourceRegion)、拥有者标识(resourceObject)、授权用户标识(userID)、鉴权返回码(returnCode)、鉴权返回信息(returnDetail)。
(resourceOwnerID)、资源所属业务标识(resourceService)、资源所属区域标识
(resourceRegion)、拥有者标识(resourceObject)、授权用户标识(userID)、鉴权返回码(returnCode)、鉴权返回信息(returnDetail)。
[0125] 同时数据管理系统61还会对访问权限预备策略在沙箱环境中的运行结果进行存储操作,该运行结果可包括数据访问总请求量趋势范围、不同业务类型的请求量趋势范围、错误码分布范围以及请求业务分布范围等等。这样用户可将运行结果与对应的预设阈值进行比较而确定符合预设阈值要求的访问权限策略。
[0126] 版本管理系统62用于根据访问权限配置信息,生成各种访问权限预备策略。每个访问权限预备策略对应的至少部分访问权限配置信息不同,版本管理系统完成创建访问权限预备策略,并生成对应的版本号、创建时间和相关标记,用户可通过标记来描述该版本的具体含义。
[0127] 沙箱配置系统可63使用不同的流量策略验证所有的访问权限预备策略。沙箱配置系统可对某个访问权限预备策略进行策略运行,也可对多个访问权限预备策略的组合进行策略运行,以满足用户更复杂的验证需求。
[0128] 如一个客户当前创建了两个策略StrategyA,StrategB,其中StrategyA有两个策略版本,StrategyA_Ver1.0,StrategyA_Ver2.0,StrategyB有三个策略版本,分别是StrategyB_Ver1.0,StrategyB_Ver2.0,StrategyB_Ver3.0,在一次策略验证流程中可以选择StrategyA_Ver2.0和StrategyB_Ver3.0构成的策略版本组合进行策略运行。
[0129] 同时沙箱配置系统63还可使用不同的流量策略验证对访问权限预备策略进行验证,这里的流量策略包括流量可按业务类型、操作类型、资源类型或用户集合进行流量导入。如客户可选择与云服务器相关的且执行某个子账号的访问请求进行策略运行操作。同时客户可选择导入当前数据访问系统的实时流量,可也选择数据访问系统在历史上某段时间的流量进行的策略运行操作。
[0130] 策略诊断系统64用于根据预设阈值对沙箱配置系统的策略运行结果进行诊断分析,输出符合预设阈值要求的访问权限策略。这里的诊断分析包括分析不一致的请求占比,如不一致请求中业务类型占比、操作类型占比、资源类型占比、用户占比等维度。
[0131] 策略发布系统65对策略诊断系统确定的访问权限策略在对应的数据访问系统上进行配置发布操作,并对发布后的运营指标进行统计分析。
[0132] 本具体实施例的权限策略配置装置使用时,首先数据管理系统61从外部接收现有数据访问系统的访问权限配置信息;随后版本管理系统根据接收到的访问权限配置信息生成多个访问权限预备策略;然后沙箱配置系统63基于流量策略提供沙箱环境运行上述访问权限预备策略,并得到对应的策略运行结果;随后策略诊断系统64基于预设阈值对沙箱配置系统的策略运行结果进行诊断分析,输出符合预设阈值要求的访问权限策略,并将上述访问权限策略存储在数据管理系统61中。最后策略发布系统65将存储在数据管理系统61中的访问权限策略进行配置发布操作,并对发布后的运营指标进行统计分析。
[0133] 这样即完成了本具体实施例的权限策略配置方法及权限策略配置装置的数据访问权限策略配置过程。
[0134] 本发明的权限策略配置方法及权限策略配置装置基于访问权限配置信息生成对应的访问权限预备策略,并在预设沙箱环境中对所有的访问权限预备策略进行筛选,大大提高了访问权限预备策略的配置效率,提高了配置的访问权限预备策略的运行稳定性;有效的解决了现有的权限策略配置方法及配置装置的配置效率较低且配置稳定性较低的技术问题。
[0135] 如本申请所使用的术语“组件”、“模块”、“系统”、“接口”、“进程”等等一般地旨在指计算机相关实体:硬件、硬件和软件的组合、软件或执行中的软件。例如,组件可以是但不限于是运行在处理器上的进程、处理器、对象、可执行应用、执行的线程、程序和/或计算机。通过图示,运行在控制器上的应用和该控制器二者都可以是组件。一个或多个组件可以有在于执行的进程和/或线程内,并且组件可以位于一个计算机上和/或分布在两个或更多计算机之间。
[0136] 图7和随后的讨论提供了对实现本发明所述的权限策略配置装置所在的电子设备的工作环境的简短、概括的描述。图7的工作环境仅仅是适当的工作环境的一个实例并且不旨在建议关于工作环境的用途或功能的范围的任何限制。实例电子设备712包括但不限于可穿戴设备、头戴设备、医疗健康平台、个人计算机、服务器计算机、手持式或膝上型设备、移动设备(比如移动电话、个人数字助理(PDA)、媒体播放器等等)、多处理器系统、消费型电子设备、小型计算机、大型计算机、包括上述任意系统或设备的分布式计算环境,等等。
[0137] 尽管没有要求,但是在“计算机可读指令”被一个或多个电子设备执行的通用背景下描述实施例。计算机可读指令可以经由计算机可读介质来分布(下文讨论)。计算机可读指令可以实现为程序模块,比如执行特定任务或实现特定抽象数据类型的功能、对象、应用编程接口(API)、数据结构等等。典型地,该计算机可读指令的功能可以在各种环境中随意组合或分布。
[0138] 图7图示了包括本发明的权限策略配置装置中的一个或多个实施例的电子设备712的实例。在一种配置中,电子设备712包括至少一个处理单元716和存储器718。根据电子设备的确切配置和类型,存储器718可以是易失性的(比如RAM)、非易失性的(比如ROM、闪存等)或二者的某种组合。该配置在图7中由虚线714图示。
[0139] 在其他实施例中,电子设备712可以包括附加特征和/或功能。例如,设备712还可以包括附加的存储装置(例如可移除和/或不可移除的),其包括但不限于磁存储装置、光存储装置等等。这种附加存储装置在图7中由存储装置720图示。在一个实施例中,用于实现本文所提供的一个或多个实施例的计算机可读指令可以在存储装置720中。存储装置720还可以存储用于实现操作系统、应用程序等的其他计算机可读指令。计算机可读指令可以载入存储器718中由例如处理单元716执行。
[0140] 本文所使用的术语“计算机可读介质”包括计算机存储介质。计算机存储介质包括以用于存储诸如计算机可读指令或其他数据之类的信息的任何方法或技术实现的易失性和非易失性、可移除和不可移除介质。存储器718和存储装置720是计算机存储介质的实例。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字通用盘(DVD)或其他光存储装置、盒式磁带、磁带、磁盘存储装置或其他磁存储设备、或可以用于存储期望信息并可以被电子设备712访问的任何其他介质。任意这样的计算机存储介质可以是电子设备712的一部分。
[0141] 电子设备712还可以包括允许电子设备712与其他设备通信的通信连接726。通信连接726可以包括但不限于调制解调器、网络接口卡(NIC)、集成网络接口、射频发射器/接收器、红外端口、USB连接或用于将电子设备712连接到其他电子设备的其他接口。通信连接726可以包括有线连接或无线连接。通信连接726可以发射和/或接收通信媒体。
[0142] 术语“计算机可读介质”可以包括通信介质。通信介质典型地包含计算机可读指令或诸如载波或其他传输机构之类的“己调制数据信号”中的其他数据,并且包括任何信息递送介质。术语“己调制数据信号”可以包括这样的信号:该信号特性中的一个或多个按照将信息编码到信号中的方式来设置或改变。
[0143] 电子设备712可以包括输入设备724,比如键盘、鼠标、笔、语音输入设备、触摸输入设备、红外相机、视频输入设备和/或任何其他输入设备。设备712中也可以包括输出设备722,比如一个或多个显示器、扬声器、打印机和/或任意其他输出设备。输入设备724和输出设备722可以经由有线连接、无线连接或其任意组合连接到电子设备712。在一个实施例中,来自另一个电子设备的输入设备或输出设备可以被用作电子设备712的输入设备724或输出设备722。
[0144] 电子设备712的组件可以通过各种互连(比如总线)连接。这样的互连可以包括外围组件互连(PCI)(比如快速PCI)、通用串行总线(USB)、火线(IEEE1394)、光学总线结构等等。在另一个实施例中,电子设备712的组件可以通过网络互连。例如,存储器718可以由位于不同物理位置中的、通过网络互连的多个物理存储器单元构成。
[0145] 本领域技术人员将认识到,用于存储计算机可读指令的存储设备可以跨越网络分布。例如,可经由网络728访问的电子设备730可以存储用于实现本发明所提供的一个或多个实施例的计算机可读指令。电子设备712可以访问电子设备730并且下载计算机可读指令的一部分或所有以供执行。可替代地,电子设备712可以按需要下载多条计算机可读指令,或者一些指令可以在电子设备712处执行并且一些指令可以在电子设备730处执行。
[0146] 本文提供了实施例的各种操作。在一个实施例中,所述的一个或多个操作可以构成一个或多个计算机可读介质上存储的计算机可读指令,其在被电子设备执行时将使得计算设备执行所述操作。描述一些或所有操作的顺序不应当被解释为暗示这些操作必需是顺序相关的。本领域技术人员将理解具有本说明书的益处的可替代的排序。而且,应当理解,不是所有操作必需在本文所提供的每个实施例中存在。
[0147] 而且,尽管已经相对于一个或多个实现方式示出并描述了本公开,但是本领域技术人员基于对本说明书和附图的阅读和理解将会想到等价变型和修改。本公开包括所有这样的修改和变型,并且仅由所附权利要求的范围限制。特别地关于由上述组件(例如元件、资源等)执行的各种功能,用于描述这样的组件的术语旨在对应于执行所述组件的指定功能(例如其在功能上是等价的)的任意组件(除非另外指示),即使在结构上与执行本文所示的本公开的示范性实现方式中的功能的公开结构不等同。此外,尽管本公开的特定特征已经相对于若干实现方式中的仅一个被公开,但是这种特征可以与如可以对给定或特定应用而言是期望和有利的其他实现方式的一个或多个其他特征组合。而且,就术语“包括”、“具有”、“含有”或其变形被用在具体实施方式或权利要求中而言,这样的术语旨在以与术语“包含”相似的方式包括。
[0148] 本发明实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。上述提到的存储介质可以是只读存储器,磁盘或光盘等。上述的各装置或系统,可以执行相应方法实施例中的方法。
[0149] 综上所述,虽然本发明已以实施例揭露如上,实施例前的序号仅为描述方便而使用,对本发明各实施例的顺序不造成限制。并且,上述实施例并非用以限制本发明,本领域的普通技术人员,在不脱离本发明的精神和范围内,均可作各种更动与润饰,因此本发明的保护范围以权利要求界定的范围为准。