在分布式计算环境中提供虚拟机实例的细粒度访问远程命令执行制造技术

接收包括命令和参数的文档的选择，并且致使用户与授予执行所述文档的许可的策略相关联。从请求者接收请求以执行所述文档，所述请求包括参数值，并且所述请求者被确定为与所述策略相关联的所述用户。所述用户被验证有权访问由所述参数值指示的资源，并且致使所述命令针对所述资源执行。

Fine-grained access remote command execution for virtual machine instances in distributed computing environment

The selection of documents including commands and parameters is received, and the user is associated with a strategy for granting permission to execute the document. A request is received from the requester to execute the document, and the request includes a parameter value, and the requester is determined to be the user associated with the policy. The user is verified to have access to the resources indicated by the parameter values and causes the command to execute against the resources.

【技术实现步骤摘要】
【国外来华专利技术】在分布式计算环境中提供虚拟机实例的细粒度访问远程命令执行相关申请的交叉引用本申请要求2015年12月18日提交的标题为“PROVIDINGFINE-GRAINEDACCESSREMOTECOMMANDEXECUTIONFORVIRTUALMACHINEINSTANCESINADISTRIBUTEDCOMPUTINGENVIRONMENT”的申请号为14/975,376的美国专利申请以及2015年10月26日提交的标题为“PROVIDINGFINE-GRAINEDACCESSREMOTECOMMANDEXECUTIONFORVIRTUALMACHINEINSTANCESINADISTRIBUTEDCOMPUTINGENVIRONMENT”的申请号为62/246,537的美国临时申请的优先权，所述申请中每一者的内容均以引用方式整体并入本文。
技术介绍
寻求减少与维护其自己的计算资源相关联的费用和开销的公司和个人已转而购买由计算资源服务提供商向客户提供的远程计算服务，诸如对多个虚拟机实例的远程程序执行和远程数据存储。这种远程计算服务通常是可配置的和可扩展的以满足计算资源服务提供商的客户的各种计算需求。然而，此类客户可能会对他们的虚拟机实例进行频繁的更改和更新，且特别是对于运行大量虚拟机实例且信息技术人员有限的企业而言，客户在每个服务器实例上发布更改和运行一次性命令可能是很有挑战性的。此外，难以对虚拟机实例的各种用户能够执行的操作施加细粒度控制。附图说明将参考附图对各种技术进行描述，在附图中：图1是根据实施方案的运行命令服务的示例；图2示出根据实施方案的运行命令服务架构的示例；图3示出根据实施方案的控制台实例列表的示例；图4示出根据实施方案的填写域加入字段的示例；图5示出根据实施方案的执行远程命令的示例；图6示出根据实施方案的指示一部分实例不处于接受命令的状态的显示的示例；图7示出根据实施方案的改变滤波器的示例；图8示出根据实施方案的插件输出的示例；图9示出根据实施方案的文档描述命令的结果的示例；图10示出根据实施方案的具有扩展属性参数选项的文档描述命令的结果的示例；图11示出根据实施方案的查看用于启用Windows自动更新的命令状态的示例；图12示出根据实施方案的使用命令文档使虚拟机配置降级为较旧版本的示例；图13示出根据实施方案的命令响应的示例；图14是示出根据实施方案的向选定用户分配策略的示例的框图；图15是示出根据实施方案的访问验证的示例的流程图；以及图16是示出根据实施方案的命令文档执行的示例的流程图；以及图17示出可以实现各种实施方案的环境。具体实施方式在一个示例中，通过计算资源服务提供商的系统来接收命令文档的选择。命令文档可以是用于在指定资源上或对指定资源执行一个或多个操作的一个或多个命令的脚本或集合。命令文档可包括可以被指定的参数集，其中所述参数集中的至少一个参数指示指定的资源。命令文档的选择可以是由具有计算资源服务提供商的账户的管理员或者与账户相关联的其它授权实体做出的对预定义命令文档的选择，或者可以是命令文档本身的内容。命令文档的选择可以对应于授予指定实体(诸如与所述账户相关联的用户)根据指定安全策略执行命令文档的许可的请求。因此，作为接收命令文档的选择以及指定用户的身份的结果，本公开的系统可以将指定的实体与授予执行命令文档的许可的指定安全策略相关联。在另一个示例中，系统可以从请求实体接收执行请求，用于针对一个或多个指定资源执行命令文档。所述请求可包括与所述命令文档的所述参数集对应的一组参数值。作为接收到执行请求的结果，系统可以验证请求实体是否与授予执行命令文档的许可的第一策略相关联。验证指示请求实体没有足够许可来执行命令文档，执行请求可能会被拒绝。同样，作为接收到执行请求的结果，系统可以验证请求实体是否与第二策略相关联，所述第二策略向请求实体授予针对一个或多个指定资源执行命令文档的一个或多个操作的访问。如果验证指示请求实体没有足够许可来针对一个或多个指定资源执行一个或多个操作，则可以拒绝执行请求。作为成功验证请求实体具有执行命令文档的许可并且请求实体具有针对一个或多个指定资源执行命令文档的一个或多个操作的许可的结果，本公开的系统可以致使针对指定资源执行命令文档的一个或多个命令。在一些实施方案中，系统可以致使通过将一个或多个命令发送到软件代理来执行一个或多个命令，所述软件代理在托管指定资源的计算设备上执行。在前面和后面的描述中，描述了各种技术。出于解释的目的，阐述了具体的配置和细节，以便提供对可能的实现所述技术的方式的透彻理解。然而，还应明了，下面所描述的技术可以在没有具体细节的情况以不同的配置来实践。此外，为了避免使所描述的技术变得模糊，可能会省略或简化众所周知的特征。本公开中描述和建议的技术通过允许系统管理员将定制管理任务委托给负责特定职责的用户(代表)并且由代表审核执行定制管理任务来改进计算领域，尤其是系统管理领域。另外，本公开中描述和建议的技术通过允许针对多个计算设备异步地执行管理任务来提高管理大型计算机群的效率。此外，本公开中描述和建议的技术必须根植于计算机技术中，以克服与用户无意中被授予执行超出用户职责范围的操作的许可的风险相关联的问题以及与管理特殊化基于每个用户的许可相关联的问题。图1示出可以实践实施方案的环境100的方面。如图1所示，环境100可包括可以向策略管理服务106提交命令文档104的管理员102，所述命令文档指定要执行的一个或多个操作或命令文档104的选择。管理员102可使策略110与一个或多个用户108相关联，所述策略授予一个或多个用户108执行命令文档104的许可。一个或多个用户108中的个人用户可向本公开的运行命令服务112发出执行请求以执行命令文档104。如图1所示，在验证了策略110允许履行执行请求之后，运行命令服务112可致使针对一个或多个资源116A-16N执行由命令文档104指定的一个或多个操作。管理员的角色可以提供对账户的所有资源116A-16N的完全访问，并且管理员102可能是拥有管理员角色的帐户的一个或多个用户中的一者。在一些示例中，“帐户”可以指代由提供一个或多个资源116A-16N的计算资源服务提供商管理的多个客户帐户中的客户帐户策略110可以是定义对一个或多个用户108、应用和其它实体的许可和约束以访问一个或多个资源116A-16N的信息，例如可以在访问控制语言(例如，可扩展访问控制标记语言等)文档中定义。策略管理服务106可以是配置为代表所述帐户的管理员102管理例如策略110的策略的系统。策略管理服务106可包括接口，所述接口使管理员102能够提交与策略管理相关的请求。此类请求可以是例如添加、删除或修改用于账户或用于其它管理动作(例如查看现有策略的库存)的策略的请求。一个或多个用户108可以是被授权访问与一个或多个资源116-16N相关联的账户的个人、计算系统、应用、服务、资源或其它实体中的一个或多个。每个用户可以在账户内具有唯一的名称(例如，用户名)，并且可以例如通过输入密码、访问密钥和/或数字签名来呈现或以其它方式证明拥有安全凭证，以获得对账户的计算资源的访问。在一些情况下，仅一个用户可拥有账户(例如，管理员102)本文档来自技高网...

【技术保护点】
1.一种计算机实现的方法，其包括：在执行指令的一个或多个计算机系统的控制下，从由计算资源服务提供商提供的账户的管理员接收命令文档的第一选择，所述第一选择通过第一应用程序设计接口接收，所述命令文档包括：用于对由所述计算资源服务提供商提供的虚拟机实例执行一个或多个操作的命令集；以及参数集，所述参数集包括指定将执行所述一个或多个操作的虚拟机实例的参数；获得授予执行所述命令文档中包括的所述命令集的许可的策略；作为从所述管理员接收将实体与所述策略相关联的请求的结果，致使所述计算资源服务提供商的策略管理服务将所述实体与所述策略相关联；通过第二应用程序设计接口从所述实体接收所述命令文档的第二选择，所述第二选择指定所述参数集的至少一个值，所述至少一个值包括所述虚拟机实例的身份；作为验证所述虚拟机实例能够根据所述策略代表所述实体执行所述命令集的结果，通过将所述命令集提供给在所述虚拟机实例上运行的软件代理来致使所述命令集在所述虚拟机实例处被执行；接收来自所述软件代理的响应，所述响应指示所述命令集的执行状态；以及向所述实体的接口提供所述状态。

【技术特征摘要】
【国外来华专利技术】2015.10.26 US 62/246,537;2015.12.18 US 14/975,3761.一种计算机实现的方法，其包括：在执行指令的一个或多个计算机系统的控制下，从由计算资源服务提供商提供的账户的管理员接收命令文档的第一选择，所述第一选择通过第一应用程序设计接口接收，所述命令文档包括：用于对由所述计算资源服务提供商提供的虚拟机实例执行一个或多个操作的命令集；以及参数集，所述参数集包括指定将执行所述一个或多个操作的虚拟机实例的参数；获得授予执行所述命令文档中包括的所述命令集的许可的策略；作为从所述管理员接收将实体与所述策略相关联的请求的结果，致使所述计算资源服务提供商的策略管理服务将所述实体与所述策略相关联；通过第二应用程序设计接口从所述实体接收所述命令文档的第二选择，所述第二选择指定所述参数集的至少一个值，所述至少一个值包括所述虚拟机实例的身份；作为验证所述虚拟机实例能够根据所述策略代表所述实体执行所述命令集的结果，通过将所述命令集提供给在所述虚拟机实例上运行的软件代理来致使所述命令集在所述虚拟机实例处被执行；接收来自所述软件代理的响应，所述响应指示所述命令集的执行状态；以及向所述实体的接口提供所述状态。2.根据权利要求1所述的计算机实现的方法，其中验证所述虚拟机实例能够根据所述策略代表所述实体执行所述命令集包括：利用所述策略管理服务验证所述实体与所述策略相关联；利用所述策略管理服务验证所述实体有权访问由所述身份指示的所述虚拟机实例；以及验证所述虚拟机实例是响应的。3.根据权利要求1所述的计算机实现的方法，其中：所述计算机实现的方法还包括：作为确定所述虚拟机实例是无响应虚拟机实例的结果，以排队的命令集的形式将所述命令集存储在队列中；验证所述虚拟机实例能够执行所述命令集包括确定所述无响应虚拟机实例已变得响应；以及致使所述命令集被执行包括：从所述队列中获得所述排队的命令集；以及致使所述排队的命令集在所述虚拟机实例处执行。4.根据权利要求1所述的计算机实现的方法，其还包括：至少部分基于所述执行状态来更新所述虚拟机实例在数据库中的执行尝试日志；从所述管理员接收第二请求以查看所述虚拟机实例的所述执行尝试日志；以及响应于所述第二请求，向所述管理员的接口提供所述执行尝试日志，包括所述执行状态和尝试在所述虚拟机实例处执行命令的细节。5.一种系统，其包括：一个或多个处理器；包括指令的存储器，作为由所述一个或多个处理器执行的结果，所述指令致使所述系统：接收命令文档的选择，所述命令文档指定一个或多个操作和参数集，所述参数集指定至少一个资源；将用户与授予所述用户执行所述命令文档的许可的策略相关联；接收来自所述用户的执行请求，所述执行请求指示所述命令文档和与所述参数集相关联的一组参数值；验证所述至少一个资源能够代表所述用户执行所述一个或多个操作；以及致使尝试根据所述参数集对所述至少一个资源执行所述命令文档的所述一个或多个操作。6.根据权利要求5所述的系统，其中所述指令还包括致使所述系统进行以下操作的指令：接收终止请求，其中所述终止请求指定所述命令文档；确定所述一个或多个操作的执行状态是否指示...

【专利技术属性】
技术研发人员：A·侯赛因，M·孙达拉姆，S·V·帕迪森蒂，N·帕布卡斯，A·H·古德曼，
申请(专利权)人：亚马逊科技有限公司，
类型：发明
国别省市：美国,US