TWI663556B - 具拆帳功能之資源權限管控系統及方法 - Google Patents

具拆帳功能之資源權限管控系統及方法 Download PDF

Info

Publication number
TWI663556B
TWI663556B TW107103222A TW107103222A TWI663556B TW I663556 B TWI663556 B TW I663556B TW 107103222 A TW107103222 A TW 107103222A TW 107103222 A TW107103222 A TW 107103222A TW I663556 B TWI663556 B TW I663556B
Authority
TW
Taiwan
Prior art keywords
account
sub
resource
rule
resources
Prior art date
Application number
TW107103222A
Other languages
English (en)
Other versions
TW201933201A (zh
Inventor
林昱安
吳俊宏
黃耀德
Original Assignee
中華電信股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 中華電信股份有限公司 filed Critical 中華電信股份有限公司
Priority to TW107103222A priority Critical patent/TWI663556B/zh
Application granted granted Critical
Publication of TWI663556B publication Critical patent/TWI663556B/zh
Publication of TW201933201A publication Critical patent/TW201933201A/zh

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

本發明揭露一種具拆帳功能之資源權限管控系統及方法。該方法包括:建立用戶之主帳號之子帳號,對子帳號進行認證,以在子帳號經認證成功時,使子帳號登入一具有資源之雲端系統;依據主帳號或子帳號申請、異動或退租雲端系統之資源之行為,建立、修改或刪除用於子帳號之權限管理之資源規則,以依據資源規則產生資源之存取權限;以及關聯子帳號及存取權限,將子帳號加入權限群組以綁定子帳號及存取權限,進而依據帳務群組中之子帳號對資源之使用情形分拆出子帳號之帳務。據此,本發明可提供資源權限管控及帳務分拆功能,藉以提高資源權限管控之效率。

Description

具拆帳功能之資源權限管控系統及方法
本發明係關於一種資源權限管控之技術,特別是指一種具拆帳功能之資源權限管控系統及方法。
一般雲端系統通常僅具有權限管控機制而未加入資源權限,以致不易達成有效的資源權限管控。而且,用戶之主帳號及子帳號在使用雲端系統之資源後,無法分拆主帳號及子帳號之帳務(帳單),從而難以提供主帳號依據分拆帳務(帳單)向子帳號收取費用。
舉例而言,如先前技術中之權限管控方法為利用用戶識別碼及服務請求的資源識別碼進行權限規則比對,以判定是否接受服務請求。又,如先前技術中另提供存取權限之過濾機制,可依據網路請求的執行功能及存取資源進行權限規則比對,以決定是否受理此網路請求。然而,上述先前技術均無法同時提供資源權限管控及帳務分拆功能。
因此,如何解決上述現有技術之缺點,實已成為本領域技術人員之一大課題。
本發明提供一種具拆帳功能之資源權限管控系統及方法,其可同時提供資源權限管控及帳務分拆功能,藉以提高資源權限管控之效率。
本發明中具拆帳功能之資源權限管控系統包括:一用戶管理模組,其建立主帳號之一或多個子帳號,且用戶管理模組對子帳號進行認證,在子帳號經認證成功時,使子帳號登入一具有資源之雲端系統;一權限管理模組,其依據主帳號或子帳號申請、異動或退租雲端系統之資源之行為,同步建立、修改或刪除用於子帳號之權限管理之資源規則,以依據資源規則產生雲端系統之資源之存取權限;以及一具有權限群組與帳務群組之群組管理模組,其關聯或連結子帳號及相應資源之存取權限,將子帳號加入權限群組以綁定子帳號及相應資源之存取權限,進而依據帳務群組中之子帳號對雲端系統之資源之使用情形分拆出子帳號之帳務。
本發明中具拆帳功能之資源權限管控方法包括:建立主帳號之一或多個子帳號,對子帳號進行認證,以在子帳號經認證成功時,使子帳號登入一具有資源之雲端系統;依據主帳號或子帳號申請、異動或退租雲端系統之資源之行為,同步建立、修改或刪除用於子帳號之權限管理之資源規則,進而依據資源規則產生資源之存取權限;以及關聯或連結子帳號及相應資源之存取權限,將子帳號加入權限群組以綁定子帳號及相應資源之存取權限,進而依據帳務群組中之子帳號對雲端系統之資源之使用情形分拆出子 帳號之帳務。
為讓本發明之上述特徵與優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明。在以下描述內容中將部分闡述本發明之額外特徵及優點,且此等特徵及優點將部分自所述描述內容顯而易見,或可藉由對本發明之實踐習得。本發明之特徵及優點借助於在申請專利範圍中特別指出的元件及組合來認識到並達到。應理解,前文一般描述與以下詳細描述兩者均僅為例示性及解釋性的,且不欲約束本發明所主張之範圍。
1‧‧‧具拆帳功能之資源權限管控系統
10‧‧‧用戶管理模組
20‧‧‧權限管理模組
21‧‧‧權限管理單元
30‧‧‧群組管理模組
40‧‧‧雲端系統
50‧‧‧應用程式介面(API)
A‧‧‧主帳號
B‧‧‧子帳號
C‧‧‧存取權限
D1‧‧‧權限群組
D2‧‧‧帳務群組
E1‧‧‧功能規則
E2‧‧‧資源規則
F‧‧‧資源
P1、P2、P2'‧‧‧程序
S11至S12、S21至S24‧‧‧步驟
S31至S35、S41至S43‧‧‧步驟
第1圖係繪示本發明具拆帳功能之資源權限管控系統中有關帳號權限設定方式之示意圖;第2圖係繪示本發明具拆帳功能之資源權限管控系統中有關帳號權限管控方式之示意圖;第3圖係繪示本發明具拆帳功能之資源權限管控系統中有關子帳號查詢虛擬機之權限過濾方式之示意圖;第4圖係繪示本發明具拆帳功能之資源權限管控系統中有關存取權限之權限規則之示意圖;第5圖係繪示本發明具拆帳功能之資源權限管控系統中有關群組管理模組之示意圖;第6A圖至第6C圖係分別繪示本發明具拆帳功能之資源權限管控方法中有關建立、啟用及刪除資源規則之流程示意圖;以及第7圖係繪示本發明具拆帳功能之資源權限管控方法 之流程示意圖。
以下藉由特定的具體實施形態說明本發明之實施方式,熟悉此技術之人士可由本說明書所揭示之內容輕易地了解本發明之其他優點與功效,亦可藉由其他不同的具體實施形態加以施行或應用。
本發明可加強雲端系統(雲端服務)中主帳號與子帳號之權限管控機制,並對雲端系統之資源之權限及帳務費用加以管理,讓主帳號可進行更嚴格的子帳號之權限分割。
本發明可將雲端系統之服務功能與資源納入主帳號與子帳號之權限管控機制,藉由權限管理模組實行雙重權限之過濾機制,讓具備相同服務功能權限之子帳號可存取不同的資源,雲端系統也不會暴露其他子帳號的資源,還能滿足權限設定的彈性及個人資料隱私。
本發明可提供費用分拆至資源使用的子帳號功能,針對多人共用的資源,經系統設定對應出帳之子帳號後,讓主帳號能掌握各子帳號的資源使用情形並收取費用。
本發明可提供一種支援帳務拆帳並兼具功能與資源兩大面向的彈性資源權限管控機制,以滿足分工精細的大企業、服務代理商及服務通路商的需求。
本發明具拆帳功能之資源權限管控系統可包括:一用戶管理模組,其提供用戶建立主帳號之一或多個子帳號,且用戶管理模組對子帳號進行認證,在子帳號經認證成功時,使子帳號登入一具有資源之雲端系統;一權限管理模 組,其依據主帳號或子帳號申請、異動或退租雲端系統之資源之行為,同步建立、修改或刪除用於子帳號之權限管理之資源規則,以依據資源規則產生雲端系統之資源之存取權限;以及一具有權限群組與帳務群組之群組管理模組,其關聯或連結子帳號及相應資源之存取權限,將子帳號加入權限群組以綁定子帳號及相應資源之存取權限,進而依據帳務群組中之子帳號對雲端系統之資源之使用情形分拆出子帳號之帳務。在本發明中,上述雲端系統之資源為雲端系統所提供之所有可申請之服務。
第1圖係繪示本發明具拆帳功能之資源權限管控系統1中有關帳號權限設定方式之示意圖。如圖所示,雲端共用帳號之權限管控機制可分為兩大面向,包括帳號權限設定方式及帳號權限管控方式。
在帳號權限設定方式上,用戶之主帳號A可先透過用戶管理模組10建立主帳號A之一或多個(如二個以上)子帳號B,並透過權限管理模組20建立該些子帳號B之存取權限C,以設定該些子帳號B對雲端系統40之資源之存取權限或各種行為的操作權限。然後,透過群組管理模組30建立該些子帳號B之權限群組D1,並關聯或連結該些子帳號B及其存取權限C,再將該些子帳號B加入權限群組D1以完成該些子帳號B及其存取權限C的綁定,使該些子帳號B具有主帳號A之一部或全部存取權限C以存取對應之雲端服務(雲端系統40之資源)。
第2圖係繪示本發明具拆帳功能之資源權限管控系統 1中有關帳號權限管控方式之示意圖,其中部分元件之符號參見第1圖之說明。
如第2圖所示,子帳號B可透過用戶管理模組10進行認證。若認證失敗,則子帳號B無法登入具有資源之雲端系統40。反之,若認證成功,則子帳號B可以登入具有資源之雲端系統40。當子帳號B經認證成功時,子帳號B在雲端系統40之操作可經由例如Spring AOP(Aspect-Oriented Programming;面向導向程式設計)機制進行存取權限C(見第1圖)之管控。雲端系統40之資源可為雲端系統40所提供之虛擬機(VM)或儲存空間,但不以此為限。
當雲端系統40呼叫受管控之應用程式介面(Application Programming Interface;API)50時,應用程式介面(API)50可通知權限管理模組20(權限管理單元21),以由權限管理模組20(權限管理單元21)透過群組管理模組30取得子帳號B之存取權限C,並使用正規表示式將子帳號B與雲端系統40所呼叫之應用程式介面(API)50及資源之辨識碼進行第一輪的規則比對。
如第2圖之程序P1所示,若第一輪的規則比對之比對結果為「拒絕」,則權限管理模組20(權限管理單元21)將拒絕呼叫(拒絕執行)應用程式介面(API)50或該應用程式介面(API)50指定之資源,並透過應用程式介面(API)50回傳訊息「拒絕呼叫」或「拒絕執行」予雲端系統40,俾由雲端系統40回應子帳號B無存取權限C來存取應用程式介面(API)50。反之,若第一輪的規則比對之比對結果為 「允許」,則開始執行應用程式介面(API)50。
如第2圖之程序P2所示,當應用程式介面(API)50執行完畢時,權限管理模組20(權限管理單元21)可依據應用程式介面(API)50之類型判斷是否再次進行(即第二輪)規則比對。若應用程式介面(API)50有明確指定資源,例如異動、刪除或查詢指定之虛擬機(Virtual Machine;VM),則應用程式介面(API)50執行完畢會直接回傳執行結果予雲端系統40。
申言之,在程序P2中,若權限管理模組20(權限管理單元21)判斷應用程式介面(API)50是查詢資源列表類(如查詢所有虛擬機),則將查詢所得的資源產生資源列表(如虛擬機列表),並將子帳號B進行第二輪的規則比對,包括將查詢所得的資源與子帳號B的存取權限C進行規則比對,再依據資源列表之比對結果,將不允許存取之資源予以過濾或剔除,進而回傳過濾後之資源列表予雲端系統40。反之,若權限管理模組20(權限管理單元21)判斷應用程式介面(API)50並非查詢資源列表類,則將應用程式介面(API)50之執行結果回傳予雲端系統40。
因此,透過上述第一輪與第二輪之雙重過濾或管控機制,可以確保子帳號B僅能依據其存取權限C之範圍來操作雲端系統40之服務及資源,且雲端系統40亦不會顯露出未授權子帳號B進行存取的資源。
第3圖係繪示本發明具拆帳功能之資源權限管控系統1及方法中有關子帳號查詢虛擬機之權限過濾方式之示意 圖,其中部分元件之符號參見第4圖之說明。
如第3圖所示,當子帳號B(如帳號為AAA)查詢所有虛擬機(VM)時,由雲端系統40呼叫受管控之應用程式介面(如listVM)50,並由權限管理模組20(權限管理單元21)依據子帳號B(如AAA)自群組管理模組30中查詢出此子帳號B關聯的存取權限C(包含第4圖之功能規則E1及資源規則E2)。
接著,權限管理模組20(權限管理單元21)確認子帳號B有無權限執行應用程式介面(如listVM)50,並先將應用程式介面(如listVM)50與拒絕存取的功能規則E1進行比對以取得子帳號B被拒絕存取的功能規則E1,之後將應用程式介面(如listVM)50與允許存取的功能規則E1進行比對以取得子帳號B被允許存取的功能規則E1。另外,在本實施例中,假設應用程式介面(如listVM)50之參數無指定資源,故不需比對資源規則E2。反之,若應用程式介面(如listVM)50之參數有指定資源,則需比對資源規則E2。
當功能規則E1之比對結果為允許存取時,雲端系統40便開始執行應用程式介面(如listVM)50之工作。應用程式介面(如listVM)50執行完畢後,將依據執行結果回傳一份虛擬機列表。此時,需依據應用程式介面(如listVM)50之類型判斷是否進行第二輪的規則比對。因listVM屬於查詢資源列表類的應用程式介面(API)50且未指定資源,而查詢所得的虛擬機列表可能含有子帳號B(如AAA)不具備權限存取的虛擬機的資源,故虛擬機列表與子帳號B(如 AAA)的存取權限C將進行第二輪的規則比對(見程序P2')。
因資源列表的權限比對方式並非一次性,故需取出虛擬機列表中每個虛擬機的資源辨識碼與存取權限C進行規則比對。若規則比對之結果為符合,則將此虛擬機保留於虛擬機列表;反之,若規則比對之結果為不符合,則將此虛擬機自虛擬機列表中過濾掉或移除。然後,權限管理單元21可得到一份過濾後之虛擬機(VM)列表,並將過濾後之虛擬機(VM)列表透過雲端系統40呈現或顯示於子帳號B(如AAA)之使用畫面上。
第4圖係繪示本發明具拆帳功能之資源權限管控系統1中有關存取權限之權限規則之示意圖,其中部分元件之符號參見第1圖與第2圖之說明。
如第4圖所示,為了提升權限設定之彈性以達到精確的權限分割,將存取權限C之權限規則分為兩種類型,包括功能規則E1與資源規則E2。
功能規則E1對應至服務呼叫的應用程式介面(API)50(見第2圖),包含雲端系統40上的所有服務。為了方便用戶(見第1圖之主帳號A或子帳號B)設定,依據用戶(主帳號A或子帳號B)之操作行為整合成申請、異動、刪除及查詢四大類,且一筆功能規則E1可包含多個應用程式介面(API)50之名稱,例如,「查詢虛擬機」使用到的應用程式介面(API)50有表列所有虛擬機(listVM)與查詢單一虛擬機(getVMbyId)。
資源規則E2對應至主帳號A使用中的資源,雲端系 統40可依據用戶申請或刪除資源來自動建立或刪除對應的資源規則E2,且資源規則E2與資源為一對一的關係。
主帳號A可透過權限管理模組20選取允許及拒絕的權限規則(功能規則E1與資源規則E2),而未被選取的權限規則(功能規則E1與資源規則E2)將被視為拒絕。被選取的權限規則(功能規則E1與資源規則E2)可組成一份存取權限C,並分別存放在存取權限C之「允許」與「拒絕」兩大區塊。當權限管理模組20(權限管理單元21)進行規則比對時,才能有效率地先從「拒絕」的規則開始比對,再比對「允許」的規則。完成設定的存取權限C可成為權限模板,之後主帳號A可用來套用權限模板到各個子帳號B或權限群組D1,以節省用戶(主帳號A)設定大量子帳號B或權限群組D1之存取權限C的時間。
第5圖係繪示本發明具拆帳功能之資源權限管控系統1中有關群組管理模組30之示意圖,其中部分元件之符號參見第1圖與第2圖之說明。
如第5圖所示,對於雲端系統40(見第2圖)而言,一或多個子帳號B皆隸屬於主帳號A(見第1圖)之下,故帳務(帳單)之費用會集中於主帳號A,但對於主帳號A而言,要掌握其下資源F被子帳號B的使用情形變得較為困難。因此,群組管理模組30可具有或支援帳務群組D2與權限群組D1。
帳務群組D2可用於建立或管理資源F之子帳號B的出帳,在建立帳務群組D2後,可設定一個子帳號B為帳 務群組D2之負責人,並加入負責人需支付費用之資源F。同時,為了避免費用之重複計算,資源F與帳務群組D2為一對一的關係。
由於資源F可能被多個子帳號B共享,故帳務群組D2可只綁定一個子帳號B,且資源F之費用統一掛勾在此子帳號B上。當雲端系統40收到主帳號A之帳務(帳單)之費用時,便可依據資源F所屬的帳務群組D2,將費用計算到對應的子帳號B。此外,亦可依據各子帳號B的實際使用時間以透過雲端系統40計算而獲得個別的費用。
權限群組D1用於連結子帳號B與存取權限C,建立權限群組D1可關聯存取權限C,此後加入權限群組D1的存取權限C,亦可加入個人的特殊權限,或者將存取權限C直接綁定在子帳號B上,子帳號B之權限可為權限群組D1的權限及個人的存取權限C的聯集。子帳號B、權限群組D1與存取權限C皆屬於多對多的關係,以滿足權限設定的彈性與便利性。
此外,帳務群組D2針對之情境可分為兩種模式,例如二房東模式及部門預算管理模式。
舉例而言,二房東模式係主帳號A代理雲端系統40之業務,針對主帳號A之用戶各自開設一或多個子帳號B以供使用。因各個子帳號B為不同的獨立用戶,故不會發生資源共用的情形,主帳號A之帳務(帳單)之費用分拆只須判斷資源所屬之子帳號B,便可進行主帳號A與子帳號B之費用分拆。
再者,部門預算管理模式係主帳號A為公司代表帳號,子帳號B為公司內各部門之帳號,且各部門可存取的資源依工作內容而異。但有時會有各部門互相合作的情形,故同一份資源可能同時供多個部門使用,資源之費用無法單純依據主帳號A所屬之子帳號B進行分拆。因此,採用帳務群組D2之負責人的設計避免費用重複計算。
在上述兩種模式中,為了費用分拆的準確性,群組管理模組30需記錄各個子帳號B授權為此資源所屬帳務群組D2之負責人的時間區間,費用結算時可依據資源允許存取的時間區間的比例來分拆帳務之費用。如子帳號B為帳務群組D2之負責人,主帳號A於當月10日調整帳務群組D2之負責人為另一子帳號B,月底費用分拆時將由前任負責人負擔1/3費用,後任負責人負擔2/3費用。
第6A圖至第6C圖係分別繪示本發明具拆帳功能之資源權限管控方法中有關建立、啟用及刪除資源規則之流程示意圖,其中元件之符號參見第1圖、第2圖與第5圖之說明。
如第6A圖所示,在步驟S11中,由主帳號A或子帳號B(見第1圖)申請資源F(見第5圖)。在步驟S12中,依據主帳號A或子帳號B所申請之資源F建立一筆對應的資源規則E2,並記錄申請者為主帳號A或子帳號B。此時,因資源F尚未供裝完成,故不開放資源F為子帳號B可存取的對象,且資源規則E2的狀態為不可用。再者,因資源F尚未納入權限管控之範圍,故僅不受權限管控之主帳 號A與申請資源F之子帳號B能看見雲端系統40(見第2圖)顯示資源F正在供裝中。
如第6B圖所示,在步驟S21中,將資源F供裝完成。在步驟S22中,由雲端系統40啟用資源規則E2,亦即將資源規則E2之狀態改為可用,代表資源F已納入權限管控之範圍。在步驟S23中,因存取資源F需具有對應的權限,故需判斷申請者為主帳號A或子帳號B之身份,若申請者為主帳號A,則直接結束。在步驟S24中,若申請者為子帳號B,則需透過子帳號B所屬的權限群組D1取得存取權限C,並將子帳號B之存取權限C加入資源規則E2,以便子帳號B能存取資源F。
如第6C圖所示,在步驟S31中,當雲端系統40之資源F被刪除時,雲端系統40不能只刪除對應的資源規則E2,因資源規則E2可能存在多個子帳號B之存取權限C,但若不進行刪除,則過多或無用的資源規則E2將影響規則比對之效能。因此,在步驟S32中,可撈取資源F所屬的主帳號A下所有存取權限C,並在步驟S33中判斷存取權限C之規則列表中有無此資源規則E2。若無此資源規則E2,則進入步驟S35,刪除此資源規則E2;若有此資源規則E2,則進入步驟S34,自存取權限C之規則列表中移出此資源規則E2。亦即,當所有存取權限C都不存在此資源規則E2時,才會刪除資源規則E2。
第7圖係繪示本發明具拆帳功能之資源權限管控方法之流程示意圖,其主要技術內容如下,其餘技術內容如同 上述第1圖至第6圖所載,於此不再重覆敘述。
在第7圖之步驟S41中,建立用戶之主帳號之一或多個子帳號,對子帳號進行認證,以在子帳號經認證成功時,使子帳號登入一具有資源之雲端系統。
在第7圖之步驟S42中,依據主帳號或子帳號申請、異動或退租雲端系統之資源之行為,同步建立、修改或刪除用於子帳號之權限管理之資源規則,以依據資源規則產生雲端系統之資源之存取權限。
在第7圖之步驟S43中,關聯或連結子帳號及相應資源之存取權限,將子帳號加入權限群組以綁定子帳號及相應資源之存取權限,進而依據帳務群組中之子帳號對雲端系統之資源之使用情形分拆出子帳號之帳務。
由上可知,本發明具拆帳功能之資源權限管控系統及方法中,其可同時提供資源權限管控及拆帳功能,並至少具有下列優點或技術功效。
一、本發明於雲端系統(雲端服務)中,針對主帳號之子帳號之權限管控機制加入資源權限,可針對資源面向進行權限及帳務管理。
二、本發明提供有效率且嚴謹之子帳號的資源權限管控機制,經由應用程式介面之呼叫與資源之過濾,能確保子帳號僅能存取權限之範圍內的服務功能及資源,但無法存取權限之範圍外的服務功能及資源。
三、本發明提供共享雲端系統之資源的帳務群組機制,可自動分拆帳務(帳單)之費用,以提供主帳號依據分 拆帳務(帳單)向各子帳號收取費用。
上述實施形態僅例示性說明本發明之原理、特點及其功效,並非用以限制本發明之可實施範疇,任何熟習此項技藝之人士均可在不違背本發明之精神及範疇下,對上述實施形態進行修飾與改變。任何運用本發明所揭示內容而完成之等效改變及修飾,均仍應為申請專利範圍所涵蓋。因此,本發明之權利保護範圍,應如申請專利範圍所列。

Claims (15)

  1. 一種具拆帳功能之資源權限管控系統,包括:一用戶管理模組,其建立主帳號之一或多個子帳號,令該用戶管理模組對該子帳號進行認證,以在該子帳號經認證成功時,使該子帳號登入一具有資源之雲端系統;一權限管理模組,其依據該主帳號或該子帳號申請、異動或退租該雲端系統之資源之行為,同步建立、修改或刪除用於該子帳號之權限管理之資源規則,以依據該資源規則產生該雲端系統之資源之存取權限;以及一具有權限群組與帳務群組之群組管理模組,其關聯或連結該子帳號及相應資源之存取權限,將該子帳號加入該權限群組以綁定該子帳號及相應資源之存取權限,進而令該群組管理模組依據該帳務群組中之該子帳號對該雲端系統之資源之使用情形分拆出該子帳號之帳務,其中,該帳務群組係用於建立或管理該資源之子帳號的出帳,且該資源與該帳務群組為一對一的關係。
  2. 如申請專利範圍第1項所述之系統,其中,該雲端系統之資源為該雲端系統所提供之所有可申請之服務。
  3. 如申請專利範圍第1項所述之系統,其中,該權限管理模組係依據該子帳號、該雲端系統所呼叫之應用程式介面(API)與該資源之辨識碼進行規則比對,以允許執行或拒絕執行該應用程式介面。
  4. 如申請專利範圍第3項所述之系統,其中,當該應用程式介面是查詢資源列表類時,該權限管理模組將查詢所得的資源產生資源列表,以將查詢所得的資源與該子帳號之存取權限進行另一規則比對,進而依據該另一規則比對之結果將不允許存取之資源予以過濾或剔除。
  5. 如申請專利範圍第1項所述之系統,其中,當該子帳號申請或刪除該資源時,該權限管理模組將該資源規則加入或移出該子帳號之存取權限。
  6. 如申請專利範圍第1項所述之系統,其中,該存取權限之權限規則包括功能規則與該資源規則,該功能規則對應至服務呼叫的應用程式介面,該資源規則對應至該主帳號使用中的資源,且該資源規則與該資源為一對一的關係。
  7. 如申請專利範圍第1項所述之系統,其中,該權限管理模組先將該應用程式介面與拒絕存取的功能規則進行比對以取得該子帳號被拒絕存取的功能規則,之後再將該應用程式介面與允許存取的功能規則進行比對以取得該子帳號被允許存取的功能規則。
  8. 如申請專利範圍第1項所述之系統,其中,該群組管理模組係記錄各該子帳號授權為該資源所屬之該帳務群組之負責人的時間區間,以依據該時間區間的比例分拆該帳務之費用。
  9. 一種具拆帳功能之資源權限管控方法,包括:建立主帳號之一或多個子帳號,對該子帳號進行認證,以在該子帳號經認證成功時,使該子帳號登入一具有資源之雲端系統;依據該主帳號或該子帳號申請、異動或退租該雲端系統之資源之行為,同步建立、修改或刪除用於該子帳號之權限管理之資源規則,以依據該資源規則產生該雲端系統之資源之存取權限;以及將一具有權限群組與帳務群組之群組管理模組關聯或連結該子帳號及相應資源之存取權限,將該子帳號加入該權限群組以綁定該子帳號及相應資源之存取權限,進而令該群組管理模組依據該帳務群組中之該子帳號對該雲端系統之資源之使用情形分拆出該子帳號之帳務,其中,該帳務群組係用於建立或管理該資源之子帳號的出帳,且該資源與該帳務群組為一對一的關係。
  10. 如申請專利範圍第9項所述之方法,更包括依據該子帳號、該雲端系統所呼叫之應用程式介面(API)與該資源之辨識碼進行規則比對,以允許執行或拒絕執行該應用程式介面。
  11. 如申請專利範圍第10項所述之方法,更包括當該應用程式介面是查詢資源列表類時,將查詢所得的資源產生資源列表,以將查詢所得的資源與該子帳號之存取權限進行另一規則比對,進而依據該另一規則比對之結果將不允許存取之資源予以過濾或剔除。
  12. 如申請專利範圍第9項所述之方法,更包括當該子帳號申請或刪除該資源時,將該資源規則加入或移出該子帳號之存取權限。
  13. 如申請專利範圍第9項所述之方法,其中,該存取權限之權限規則包括功能規則與該資源規則,該功能規則對應至該雲端系統所呼叫的應用程式介面,該資源規則對應至該主帳號使用中的資源,且該資源規則與該資源為一對一的關係。
  14. 如申請專利範圍第9項所述之方法,更包括先將該應用程式介面與拒絕存取的功能規則進行比對以取得該子帳號被拒絕存取的功能規則,之後再將該應用程式介面與允許存取的功能規則進行比對以取得該子帳號被允許存取的功能規則。
  15. 如申請專利範圍第9項所述之方法,更包括記錄各該子帳號授權為該資源所屬之該帳務群組之負責人的時間區間,以依據該時間區間的比例分拆該帳務之費用。
TW107103222A 2018-01-30 2018-01-30 具拆帳功能之資源權限管控系統及方法 TWI663556B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW107103222A TWI663556B (zh) 2018-01-30 2018-01-30 具拆帳功能之資源權限管控系統及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW107103222A TWI663556B (zh) 2018-01-30 2018-01-30 具拆帳功能之資源權限管控系統及方法

Publications (2)

Publication Number Publication Date
TWI663556B true TWI663556B (zh) 2019-06-21
TW201933201A TW201933201A (zh) 2019-08-16

Family

ID=67764245

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107103222A TWI663556B (zh) 2018-01-30 2018-01-30 具拆帳功能之資源權限管控系統及方法

Country Status (1)

Country Link
TW (1) TWI663556B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110265147A1 (en) * 2010-04-27 2011-10-27 Huan Liu Cloud-based billing, credential, and data sharing management system
US20120116937A1 (en) * 2010-06-15 2012-05-10 Van Biljon Willem Robert Billing Usage in a Virtual Computing Infrastructure
CN104301430A (zh) * 2014-10-29 2015-01-21 北京麓柏科技有限公司 软件定义存储***、方法及其集中控制设备
CN104468136A (zh) * 2014-12-31 2015-03-25 华为技术有限公司 计费方法、分析中心和计费中心
TW201721530A (zh) * 2015-12-01 2017-06-16 Chunghwa Telecom Co Ltd 多元權限身分識別與存取策略管理系統

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110265147A1 (en) * 2010-04-27 2011-10-27 Huan Liu Cloud-based billing, credential, and data sharing management system
US20120116937A1 (en) * 2010-06-15 2012-05-10 Van Biljon Willem Robert Billing Usage in a Virtual Computing Infrastructure
CN104301430A (zh) * 2014-10-29 2015-01-21 北京麓柏科技有限公司 软件定义存储***、方法及其集中控制设备
CN104468136A (zh) * 2014-12-31 2015-03-25 华为技术有限公司 计费方法、分析中心和计费中心
TW201721530A (zh) * 2015-12-01 2017-06-16 Chunghwa Telecom Co Ltd 多元權限身分識別與存取策略管理系統

Also Published As

Publication number Publication date
TW201933201A (zh) 2019-08-16

Similar Documents

Publication Publication Date Title
CN109522735B (zh) 一种基于智能合约的数据权限验证方法及装置
JP5814639B2 (ja) クラウドシステム、クラウドサービスのライセンス管理方法、およびプログラム
CN102724647B (zh) 一种能力访问授权方法及***
US8955041B2 (en) Authentication collaboration system, ID provider device, and program
WO2017143975A1 (zh) 一种访问控制方法及平台
WO2018019364A1 (en) Method for controlling access to a shared resource
US8365298B2 (en) Comprehensive security architecture for dynamic, web service based virtual organizations
CN113364589B (zh) 用于联邦学习安全审计的密钥管理***、方法及存储介质
WO2013138954A1 (zh) 一种计算机账户管理***及其实现方法
US20220083936A1 (en) Access control method
SG193224A1 (en) Authentication collaboration system, id provider device, and program
CN106559389A (zh) 一种服务资源发布、调用方法、装置、***及云服务平台
CN114726554B (zh) 一种基于联盟链和nft的版权认证***及认证方法
CN105760774A (zh) 基于rabc的企业文件协作与访问控制方法及***
WO2019184232A1 (zh) 坐席资质管理方法、装置和存储介质
CN108846755A (zh) 一种基于智能合约的权限管理方法及装置
US11146560B1 (en) Distributed governance of computing resources
TWI663556B (zh) 具拆帳功能之資源權限管控系統及方法
CN110036623B (zh) 按需生成联络中心
TWI622944B (zh) Multi-permission identity identification and access policy management system
CN100417146C (zh) 一种鉴权和计费的方法及外部用户接口网关
CN109726187B (zh) 一种面向Hadoop的自适应权限控制方法及装置
CN109474706B (zh) 一种数据安全集中服务方法和***
US9232078B1 (en) Method and system for data usage accounting across multiple communication networks
CN110708298A (zh) 集中管理动态实例身份和访问的方法及装置