对象存储的访问控制方法和装置、存储介质和电子装置制造方法及图纸

本申请提供了一种对象存储的访问控制方法和装置、存储介质和电子装置，其中，该方法包括：接收目标云主机的目标访问请求，其中，所述目标访问请求用于请求访问目标对象存储中目标应用程序的目标应用资源；获取与所述目标云主机对应的目标内网标识信息，其中，所述目标内网标识信息为所述目标云主机在所属的虚拟私有云中的标识信息；根据所述目标内网标识信息，对所述目标应用资源进行访问控制。通过本申请，解决了相关技术中云主机通过域名访问对象存储的方式存在由于权限管控粒度过大导致的对象存储安全性差的问题。的对象存储安全性差的问题。的对象存储安全性差的问题。

【技术实现步骤摘要】
对象存储的访问控制方法和装置、存储介质和电子装置


[0001]本申请涉及互联网领域，尤其涉及一种对象存储的访问控制方法和装置、存储介质和电子装置。

技术介绍

[0002]传统的应用一般是运行在本地服务器上。随着云计算服务的出现，可以采用在云端直接构建并运行应用的模式，在云端构建并运行的应用可以称为云原生应用，云端是指云计算服务。对于云原生应用，应用在开始设计时就需要考虑到应用将来是运行云环境里面的。云计算的服务模式可以包括但不限于：IaaS、PaaS和SaaS。云端的应用可以充分利用云资源的优点，例如，各种云服务(云主机与云存储)的弹性和分布式架构。
[0003]云主机、弹性IP、云存储中的对象存储是构成VPC环境下的网络应用中的计算、网络、存储资源的基础。在VPC环境中，用户可以自主规划网络，进行安全防控，通过挂载公网EIP(弹性IP)来对外提供服务。
[0004]对象存储由于其具有高可用性和低成本的特性，常被用作云原生应用的各种数据库与硬盘快照等备份文件的存储容器，可以满足将非结构化的数据直接存储。可实现跨主机文件共享。但是，云上数据库等为PaaS应用，对象存储与云主机均为IaaS应用，实现上通常需要云厂商进行合理网络规划，实现二者内网可通。
[0005]相关技术中，VPC中的云主机可以通过域名访问对象存储，权限管控是建立在整个VPC粒度上的，存在一定安全风险。

技术实现思路

[0006]本申请提供了一种对象存储的访问控制方法和装置、存储介质和电子装置，以至少解决相关技术中云主机通过域名访问对象存储的方式存在由于权限管控粒度过大导致的对象存储安全性差的问题。
[0007]根据本申请实施例的一个方面，提供了一种对象存储的访问控制方法，包括：接收目标云主机的目标访问请求，其中，所述目标访问请求用于请求访问目标对象存储中目标应用程序的目标应用资源；获取与所述目标云主机对应的目标内网标识信息，其中，所述目标内网标识信息为所述目标云主机在所属的虚拟私有云中的标识信息；根据所述目标内网标识信息，对所述目标应用资源进行访问控制。
[0008]可选地，在接收所述目标云主机的所述目标访问请求之后，所述方法还包括：确定与所述目标访问请求对应的所述目标应用程序的目标API；根据所述目标API，确定所述目标访问请求所请求的目标操作，所述目标操作为对所述目标应用资源所执行的资源操作。
[0009]可选地，根据目标内网标识信息，对所述目标应用资源进行访问控制包括：获取与所述目标对象存储对应的访问控制规则，其中，所述访问控制规则用于指示不同云主机的内网标识信息对所述目标对象存储中所述目标应用程序的应用资源的访问权限；在获取到与所述目标对象存储对应的目标访问控制规则的情况下，根据所述目标内网标识信息和所
述目标访问控制规则，对所述目标应用资源进行访问控制。
[0010]可选地，根据所述目标内网标识信息和所述目标访问控制规则，对所述目标应用资源进行访问控制包括：在所述目标访问控制规则包括第一访问控制规则的情况下，根据所述第一访问控制规则和目标子网ID，确定所述目标应用资源的第一访问控制结果，其中，所述第一访问控制规则用于指示不同云主机的子网ID对所述目标应用资源或者目标存储空间的访问权限，所述目标子网ID为所述目标云主机在所述虚拟私有云中的子网ID，所述目标内网标识信息包括所述目标子网ID；在所述目标访问控制规则包括第二访问控制规则的情况下，根据所述第二访问控制规则和目标内网网际互连协议IP地址，确定所述目标应用资源的第二访问控制结果，其中，所述第二访问控制规则用于指示不同云主机的内网IP地址对所述目标应用资源或者目标存储空间的访问权限，所述目标内网IP地址为所述目标云主机在所述虚拟私有云中的内网IP地址，所述目标内网标识信息包括所述目标内网IP地址；其中，所述目标存储空间为所述目标对象存储中所述目标应用资源所在的存储空间。
[0011]可选地，根据所述目标内网标识信息和所述目标访问控制规则，对所述目标应用资源进行访问控制还包括：在所述第一访问控制结果和所述第二访问控制结果不一致的情况下，向所述目标云主机发送第一访问拒绝消息，其中，所述第一访问拒绝消息用于指示拒绝访问所述目标应用资源。
[0012]可选地，在获取与所述目标对象存储对应的访问控制规则之后，所述方法还包括：在未获取到与所述目标对象存储对应的访问控制规则的情况下，确定与所述目标对象存储的访问控制列表，其中，所述访问控制列表用于过滤所述目标对象存储的访问请求；在根据所述访问控制列表确定所述目标访问请求通过的情况下，确定允许所述目标云主机访问所述目标应用资源；在根据所述访问控制列表确定所述目标访问请求不通过的情况下，确定拒绝所述目标云主机访问所述目标应用资源。
[0013]可选地，在接收所述目标云主机的所述目标访问请求之后，所述方法还包括：获取与所述目标云主机对应的目标对象的目标对象标识；在根据所述目标对象标识确定出所述目标对象未被授权访问所述目标应用资源的情况下，向所述目标云主机发送第二访问拒绝消息，其中，所述第二访问拒绝消息用于指示拒绝访问所述目标应用资源。
[0014]根据本申请实施例的另一个方面，还提供了一种对象存储的访问控制装置，包括：接收单元，用于接收目标云主机的目标访问请求，其中，所述目标访问请求用于请求访问目标对象存储中目标应用程序的目标应用资源；第一获取单元，用于获取与所述目标云主机对应的目标内网标识信息，其中，所述目标内网标识信息为所述目标云主机在所属的虚拟私有云中的标识信息；控制单元，用于根据所述目标内网标识信息，对所述目标应用资源进行访问控制。
[0015]可选地，所述装置还包括：第一确定单元，用于在接收所述目标云主机的所述目标访问请求之后，确定与所述目标访问请求对应的所述目标应用程序的目标API；第二确定单元，用于根据所述目标API，确定所述目标访问请求所请求的目标操作，所述目标操作为对所述目标应用资源所执行的资源操作。
[0016]可选地，所述控制单元包括：第一获取模块，用于获取与所述目标对象存储对应的访问控制规则，其中，所述访问控制规则用于指示不同云主机的内网标识信息对所述目标对象存储中所述目标应用程序的应用资源的访问权限；控制模块，用于在获取到与所述目
标对象存储对应的目标访问控制规则的情况下，根据所述目标内网标识信息和所述目标访问控制规则，对所述目标应用资源进行访问控制。
[0017]可选地，所述控制模块包括：第一确定子模块，用于在所述目标访问控制规则包括第一访问控制规则的情况下，根据所述第一访问控制规则和目标子网ID，确定所述目标应用资源的第一访问控制结果，其中，所述第一访问控制规则用于指示不同云主机的子网ID对所述目标应用资源或者目标存储空间的访问权限，所述目标子网ID为所述目标云主机在所述虚拟私有云中的子网ID，所述目标内网标识信息包括所述目标子网ID；第二确定子模块，用于在所述目标访问控制规则包括第二访问控制规则的情况下，根据所述第二访问本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种对象存储的访问控制方法，其特征在于，包括：接收目标云主机的目标访问请求，其中，所述目标访问请求用于请求访问目标对象存储中目标应用程序的目标应用资源；获取与所述目标云主机对应的目标内网标识信息，其中，所述目标内网标识信息为所述目标云主机在所属的虚拟私有云中的标识信息；根据所述目标内网标识信息，对所述目标应用资源进行访问控制。2.根据权利要求1所述的方法，其特征在于，在接收所述目标云主机的所述目标访问请求之后，所述方法还包括：确定与所述目标访问请求对应的所述目标应用程序的目标应用程序接口API；根据所述目标API，确定所述目标访问请求所请求的目标操作，所述目标操作为对所述目标应用资源所执行的资源操作。3.根据权利要求2所述的方法，其特征在于，根据所述目标内网标识信息，对所述目标应用资源进行访问控制包括：获取与所述目标对象存储对应的访问控制规则，其中，所述访问控制规则用于指示不同云主机的内网标识信息对所述目标对象存储中所述目标应用程序的应用资源的访问权限；在获取到与所述目标对象存储对应的目标访问控制规则的情况下，根据所述目标内网标识信息和所述目标访问控制规则，对所述目标应用资源进行访问控制。4.根据权利要求3所述的方法，其特征在于，根据所述目标内网标识信息和所述目标访问控制规则，对所述目标应用资源进行访问控制包括：在所述目标访问控制规则包括第一访问控制规则的情况下，根据所述第一访问控制规则和目标子网标识ID，确定所述目标应用资源的第一访问控制结果，其中，所述第一访问控制规则用于指示不同云主机的子网ID对所述目标应用资源或者目标存储空间的访问权限，所述目标子网ID为所述目标云主机在所述虚拟私有云中的子网ID，所述目标内网标识信息包括所述目标子网ID；在所述目标访问控制规则包括第二访问控制规则的情况下，根据所述第二访问控制规则和目标内网网际互连协议IP地址，确定所述目标应用资源的第二访问控制结果，其中，所述第二访问控制规则用于指示不同云主机的内网IP地址对所述目标应用资源或者目标存储空间的访问权限，所述目标内网IP地址为所述目标云主机在所述虚拟私有云中的内网IP地址，所述目标内网标识信息包括所述目标内网IP地址；其中，所述目标...

【专利技术属性】
技术研发人员：张健，
申请(专利权)人：北京金山云网络技术有限公司，
类型：发明
国别省市：