云计算资源的访问方法、装置、业务线服务和网关

摘要

本公开涉及一种云计算资源的访问方法、装置、业务线服务和网关，通过第一业务线服务获取租户授权的第一角色对应的临时AK和临时SK，并以第一角色的身份，向网关发送API访问请求，API访问请求中包含临时AK和临时SK，网关根据临时AK和临时SK控制第一业务线服务访问第二业务线服务的该租户的云计算资源，由于临时AK和临时SK的有效期较短，通常为15分钟到1个小时，因此，可以提高云服务访问的安全性。

说明书

技术领域

本公开涉及计算机技术领域，尤其涉及一种云计算资源的访问方法、装置、业务线服务和网关。

背景技术

随着计算机技术的飞速发展，云服务也得到了广泛的应用，租户通过购买云服务访问云服务提供的云计算资源，云服务的种类很多，不同种类的云服务可以提供不同的服务，例如：负载均衡服务用于提供负载均衡相关的服务，对象存储服务用于提供存储相关的服务，因此，租户常常可能会同时购买不同的业务线的云服务。

在实际使用过程中，租户的不同业务线的云服务之间可能也需要相互访问，例如：租户的业务线服务A的负载均衡服务要把租户在负载均衡服务产生的日志文件投递到业务线服务B的对象存储服务的存储桶内进行永久存储。现有技术中，业务线服务A获取租户的访问密钥标识(AccessKey ID，AK)和秘密访问密钥(Secret Access Key，SK)，使用租户的AK和SK直接调用业务线服务B的接口访问租户在业务线B的对象存储的资源。

然而，采用现有技术的方法，云服务的使用存在安全风险。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种云计算资源的访问方法、装置、业务线服务和网关。

本公开第一方面提供一种云计算资源的访问方法，包括：

第一业务线服务获取租户授权的第一角色对应的临时访问密钥标识AK和临时秘密访问密钥SK，所述第一角色对应的权限策略包括：访问第二业务线服务的所述租户的云计算资源；

所述第一业务线服务以所述第一角色的身份，向网关发送应用程序接口API访问请求，所述API访问请求用于请求访问所述第二业务线服务的所述租户的云计算资源，所述API访问请求中包含所述临时AK和所述临时SK，以使所述网关根据所述临时AK和所述临时SK控制所述第一业务线服务访问所述第二业务线服务的所述租户的云计算资源。

可选的，所述第一业务线服务获取租户授权的第一角色对应的临时AK和临时SK，包括：

所述第一业务线服务以租户授权的第一角色的身份，从安全令牌服务获取所述第一角色对应的临时AK和临时SK。

可选的，所述第一业务线服务以租户授权的第一角色的身份，从安全令牌服务获取所述第一角色对应的临时AK和临时SK之前，还包括：

所述第一业务线服务确定所述租户已授权所述第一角色。

可选的，所述方法还包括：

所述第一业务线服务确定所述租户未授权所述第一角色，则跳转至业务线管理平台的授权界面，其中，所述授权界面包括至少一个可选的角色模板，所述可选的角色模板中包含所述第一角色；

所述第一业务线服务获取授权指令，所述授权指令是根据所述租户从所述角色模板中选择的第一角色生成的，用于指示所述租户的第一角色的授信业务线包括所述第一业务线服务。

可选的，所述业务线管理平台预先创建有至少一个可选的角色模板，其中，每个所述角色模板包括：角色名称、角色描述和角色对应的权限策略。

可选的，所述第一业务线服务确定所述租户未授权所述第一角色，跳转至业务线管理平台的授权界面，包括：

所述第一业务线服务确定所述租户未授权所述第一角色；

所述第一业务线服务触发跳转指令，则跳转至业务线管理平台的授权界面，所述授权界面包括所述第一业务线服务可选的角色模板。

可选的，所述第一业务线服务为负载均衡服务，所述第二业务线服务为对象存储服务。

本公开的第二方面提供一种云计算资源的访问方法，包括：

网关接收第一业务线服务以租户的第一角色的身份发送的应用程序接口API访问请求，其中，所述API访问请求用于请求访问第二业务线服务的所述租户的云计算资源，所述API访问请求中包含临时访问密钥标识AK和临时秘密访问密钥SK，所述租户的第一角色对应的权限策略包括：访问第二业务线服务的所述租户的云计算资源；

所述网关根据所述临时AK、所述临时SK和所述第一角色对应的权限策略，控制所述第一业务线服务访问所述第二业务线服务的所述租户的云计算资源。

可选的，所述网关根据所述临时AK、所述临时SK和所述第一角色对应的权限策略，控制所述第一业务线服务访问所述第二业务线服务的所述租户的云计算资源，包括：

所述网关根据所述API访问请求中的临时AK、临时SK进行签名验证，根据所述第一角色对应的权限策略进行鉴权；

所述签名验证通过，且所述鉴权通过，所述网关转发所述API访问请求到第二业务线服务，以使所述第一业务线服务访问所述第二业务线服务的所述租户的云计算资源。

可选的，所述网关根据所述API访问请求中的临时AK、临时SK进行签名验证，根据所述第一角色对应的权限策略进行鉴权之前，还包括：

所述网关确定所述第一角色的授信业务线包括所述第一业务线服务。

本公开的第三方面提供一种云计算资源的访问装置，包括：

第一获取模块，用于获取租户授权的第一角色对应的临时访问密钥标识AK和临时秘密访问密钥SK，所述第一角色对应的权限策略包括：访问第二业务线服务的所述租户的云计算资源；

第一发送模块，用于以所述第一角色的身份，向网关发送应用程序接口API访问请求，所述API访问请求用于请求访问所述第二业务线服务的所述租户的云计算资源，所述API访问请求中包含所述临时AK和所述临时SK；以使所述网关根据所述临时AK和所述临时SK控制第一业务线服务访问所述第二业务线服务的所述租户的云计算资源。

可选的，所述第一获取模块具体用于以租户授权的第一角色的身份，从安全令牌服务获取所述第一角色对应的临时AK和临时SK。

可选的，还包括：

第一处理模块，用于确定所述租户已授权所述第一角色。

可选的，所述第一处理模块还用于确定所述租户未授权所述第一角色，则跳转至业务线管理平台的授权界面，其中，所述授权界面包括至少一个可选的角色模板，所述可选的角色模板中包含所述第一角色；获取授权指令，所述授权指令是根据所述租户从所述角色模板中选择的第一角色生成的，用于指示所述租户的第一角色的授信业务线为所述第一业务线服务。

可选的，所述业务线管理平台预先创建有至少一个可选的角色模板，其中，每个所述角色模板包括：角色名称、角色描述和角色对应的权限策略。

可选的，所述第一处理模块具体用于确定所述租户未授权所述第一角色；触发跳转指令，跳转至业务线管理平台的授权界面，所述授权界面包括所述第一业务线服务可选的角色模板。

本公开第四方面提供一种云计算资源的访问装置，包括：

第二接收模块，用于接收第一业务线服务以租户的第一角色的身份发送的应用程序接口API访问请求，其中，所述API访问请求用于请求访问第二业务线服务的所述租户的云计算资源，所述API访问请求中包含临时访问密钥标识AK和临时秘密访问密钥SK，所述租户的第一角色对应的权限策略包括：访问第二业务线服务的所述租户的云计算资源；

第二处理模块，用于根据所述临时AK、所述临时SK和所述第一角色对应的权限策略，控制所述第一业务线服务访问所述第二业务线服务的所述租户的云计算资源。

可选的，所述第二处理模块具体用于根据所述API访问请求中的临时AK、临时SK进行签名验证，根据所述第一角色对应的权限策略进行鉴权；所述签名验证通过，且所述鉴权通过，所述发送模块，用于转发所述API访问请求到第二业务线服务，以使所述第一业务线服务访问所述第二业务线服务的所述租户的云计算资源。

可选的，所述第二处理模块还用于确定所述第一角色的授信业务线包括所述第一业务线服务。

本公开第五方面提供一种业务线服务，包括：第一处理器，所述第一处理器用于执行存储于第一本地存储器或者第一云端存储器的计算机程序，所述计算机程序被第一处理器执行时实现第一方面的方法的步骤。

本公开第六方面提供一种网关，包括：第二处理器，所述第二处理器用于执行存储于第二本地存储器或者第二云端存储器的计算机程序，所述计算机程序被第二处理器执行时实现第二方面所述的方法的步骤。

本公开第七方面提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第一方面所述的方法的步骤。

本公开第八方面提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现第二方面所述的方法的步骤。

本公开第九方面提供一种云计算资源的访问系统，包括：

如第三方面所述的云计算资源的访问装置、如第四方面所述的云计算资源的访问装置、第二业务线服务和安全令牌服务。

本公开实施例提供的技术方案与现有技术相比具有如下优点：

通过第一业务线服务获取租户授权的第一角色对应的临时AK和临时SK，并以第一角色的身份，向网关发送API访问请求，API访问请求中包含临时AK和临时SK，网关根据临时AK和临时SK控制第一业务线服务访问第二业务线服务的该租户的云计算资源，由于临时AK和临时SK的有效期较短，通常为15分钟到1个小时，因此，可以提高云服务访问的安全性。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

为了说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。

图1为本公开提供的一种云计算资源的访问方法的流程示意图；

图2为本公开提供的另一种云计算资源的访问方法的流程示意图；

图3为本公开提供的再一种云计算资源的访问方法的流程示意图；

图4为本公开提供的又一种云计算资源的访问方法的流程示意图；

图5为本公开提供的一种云计算资源的访问装置的结构示意图；

图6为本公开提供的另一种云计算资源的访问装置的结构示意图；

图7为本公开提供的一种业务线服务的结构示意图；

图8为本公开提供的另一种业务线服务的结构示意图；

图9为本公开提供的一种网关的结构示意图；

图10为本公开提供的另一种网关的结构示意图；

图11为本公开提供的云计算资源的访问系统的结构示意图。

具体实施方式

为了能够更清楚地理解本公开的上述目的、特征和优点，下面将对本公开的方案进行进一步描述。需要说明的是，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本公开，但本公开还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本公开的一部分实施例，而不是全部的实施例。

业务线服务包括但不限于负载均衡服务、对象存储服务、云主机服务、虚拟机服务、内容分发网络服务、文件存储服务等，本公开的应用场景，主要针对跨业务线服务访问的场景：租户常常会购买不同业务线的不同的云服务，以享受不同云服务提供的服务，有些云服务提供的服务可能需要访问其他的云服务才可以完成，例如，负载均衡服务可以将负载均衡服务产生的日志存储到租户的对象存储服务的存储桶内，因此，需要租户授权负载均衡服务访问对象存储服务。

本公开通过第一业务线服务扮演租户授权的角色，获取临时AK和临时SK，采用临时AK和临时SK访问第二业务线服务，由于临时AK和临时SK的有效期较短，通常为15分钟到1个小时，因此，可以提高云服务访问的安全性。

本公开通过提供统一的授权界面，各业务线可以登陆同一授权界面进行授权操作，无需各业务线独立开发自己的授权界面，降低了维护成本，并且，租户只需学习统一的授权界面的使用，无需再单独学习各个业务线的授权界面的使用，降低了学习成本，提高了用户体验。

本公开通过在业务线管理平台建立角色模板，便于各租户授权不同的角色，提高了角色授权的效率。

下面以几个具体的实施例对本公开提供的技术方案进行描述。

图1为本公开提供的一种云计算资源的访问方法的流程示意图，如图1所示，本实施例的方法包括：

S101：第一业务线服务获取租户授权的第一角色对应的临时AK和临时SK。

可选的，第一业务线可以以租户授权的第一角色的身份，从安全令牌服务获取所述第一角色对应的临时AK和临时SK，例如：可以通过调用“STS API Assume Role”扮演第一角色的身份，从安全令牌服务获取所述第一角色对应的临时AK和临时SK。

其中，第一角色对应的权限策略包括：访问第二业务线服务的所述租户的云计算资源。

租户可以授权多个角色，不同的角色可以对应不同的权限策略，不同的角色也可以授权给不同的授信业务线服务，例如：第一角色对应的权限策略包括：访问第二业务线服务的租户的云计算资源，可以将第一角色的授信业务线配为第一业务线服务，这样，第一业务线服务就可以扮演第一角色的身份，从安全令牌服务获取第一角色对应的临时AK和临时SK。其中，临时AK和临时SK的有效期比较短暂，例如：有效期为15分钟到1小时。

可选的，安全令牌服务可以将第一角色对应的权限策略放在安全令牌中发送给第一业务线服务，也可以将第一角色对应的权限策略存储到数据库中，对此，本公开不做限制。

S201：第一业务线服务通过临时AK和临时SK访问第二业务线服务的所述租户的云计算资源。

第一业务线服务扮演第一角色的身份，获取到临时AK和临时SK之后，向网关发送应用程序接口(Application Programming Interface，API)访问请求，API访问请求用于请求访问第二业务线服务的该租户的云计算资源，API访问请求中携带临时AK和临时SK，网关接收到API访问请求之后，会进行签名验证和鉴权。可选的，还会验证第一角色的授信列表是否包括第一业务线服务，如果包括，则允许第一业务线服务访问租户在第二业务线服务的云计算资源，如果否，则拒绝访问。

本实施例，通过第一业务线服务获取租户授权的第一角色对应的临时AK和临时SK，并以第一角色的身份，向网关发送API访问请求，API访问请求中包含临时AK和临时SK，网关根据临时AK和临时SK控制第一业务线服务访问第二业务线服务该租户的云计算资源，由于临时AK和SK的有效期较短，通常为15分钟到1个小时，因此，可以提高云服务访问的安全性。

图2为本公开提供的另一种云计算资源的访问方法的流程示意图，图2是在图1所示实施例的基础上，进一步地，S201的一种可能的实现方式的描述：

S2011：第一业务线服务以第一角色的身份，向网关发送API访问请求。

其中，API访问请求用于请求访问所述第二业务线服务的所述租户的云计算资源，所述API访问请求中包含所述临时AK和所述临时SK。

可选的，如果第一业务线服务从安全令牌服务获取到第一角色对应的权限策略，则还可以在API访问请求中携带权限策略，以便于网关在进行鉴权时直接使用API访问请求中的权限策略进行鉴权。

如果第一业务线服务未从安全令牌服务获取到第一角色对应的权限策略，则可以在API访问请求中不携带权限策略。网关在进行鉴权时根据数据库中存储的第一角色对应的权限策略进行鉴权。

在API访问请求中携带临时AK、临时SK和权限策略的方式，本公开不做限制。例如：API访问请求中可以包括明文的临时AK、安全令牌和签名，其中，安全令牌根据临时SK、权限策略和加密算法得到，签名根据临时AK、临时SK和请求签名算法得到。

S2012：网关确定第一角色的授信业务线包括第一业务线服务。

S2013：网关根据API访问请求中的临时AK、临时SK进行签名验证，根据第一角色对应的权限策略进行鉴权。

可选的，网关可以从API访问请求中获取临时AK，通过安全令牌和加密算法对应的解密算法得到临时SK，根据临时AK和临时SK，进行签名验证。

如果API访问请求中未携带权限策略，网关从数据库中获取第一角色对应的权限策略，进行鉴权。

如果API访问请求中携带了权限策略，网关从API访问请求中获取权限策略，进行鉴权。由于网关从API访问请求中获取权限策略比从数据库中获取权限策略的效率更高，因此，可以提高鉴权的效率。

S2014：签名验证通过，且所述鉴权通过，网关转发所述API访问请求到第二业务线服务。

签名验证和鉴权都通过之后，网关转发API访问请求到第二业务线服务，所述第一业务线服务即可访问所述第二业务线服务的所述租户的云计算资源。

其中，S2012为可选的步骤，通过S2012可以进一步的确定第一业务线服务访问第二业务线服务的合法性，从而，可以进一步的提高云服务访问的安全性。

本实施例，通过第一业务线服务以租户授权的第一角色的身份，向网关发送API访问请求，网关根据API访问请求中的临时AK、临时SK进行签名验证，根据第一角色对应的权限策略进行鉴权，签名验证通过，且所述鉴权通过，网关转发所述API访问请求到第二业务线服务，由于临时AK和SK的有效期较短，通常为15分钟到1个小时，因此，可以提高云服务访问的安全性，进一步地，在进行鉴权之前，还可以通过确定第一角色的授信业务线包括第一业务线服务，进一步地提高云服务访问的安全性。

图3为本公开提供的再一种云计算资源的访问方法的流程示意图，图3是在图1或图2所示实施例的基础上，进一步地，S101之前还包括：

S100：第一业务线服务确定租户是否已经授权第一角色，若否，执行S1001，若是，执行S101。

各业务线可以查询租户已授权的角色，例如，第一业务线服务可以在授权界面输入租户名称查询租户已授权的角色。从而确定某个角色是否被租户授权。

S1001：跳转至业务线管理平台的授权界面。

其中，业务线管理平台的授权界面包括至少一个可选的角色模板，角色模板中包含所述第一角色。授权界面可以直接显示至少一个可选的角色模板，可以在一页或者多页内显示，用户可以通过上划或下划的方式查看显示的角色模板，也可以通过左划或右划的方式查看显示的角色模板；授权界面也可以显示一个角色选择列表，通过点击下拉框等方式查看角色模板。

其中，每个角色模板包括但不限于如下信息：

角色名称、角色描述和角色对应的权限策略。

其中，角色名称可以是中文名称、外文名称或者不规则名称，对此，本公开不做限制。

角色描述主要用于描述角色的功能，以便于用户在授权时参考，例如：跨业务线访问等。

角色对应的权限策略主要用于描述角色具有哪些权限，可以访问哪些资源等。

可选的，角色模板中角色对应的权限策略可以修改。一种情况为：如果角色模板中角色对应的权限策略被修改之后，已经创建了的该角色的对应的权限策略也同步更新为修改之后的权限策略，之后创建的角色，角色对应的权限策略也为修改之后的权限策略。另一种情况为：如果角色模板中角色对应的权限策略被修改之后，已经创建了的该角色的对应的权限策略不变，之后创建的角色，角色对应的权限策略也为修改之后的权限策略。对此，可以基于实际应用场景确定，本公开不做限制。

其中，授权界面可以支持不同的语言，可以提供中文和外文，外文例如英文，根据用户选择的语言，显示相应语言的授权界面。

在一种可能的实现方式中：如果第一业务线服务需要扮演的第一角色租户没有授权，第一业务线服务则引导租户到统一的授权界面进行授权，跳转到业务线管理平台的授权界面。

具体地，第一业务线服务触发跳转指令，跳转至业务线管理平台的授权界面，所述授权界面包括所述第一业务线服务可选的角色模板。

各业务线可以从同一授权界面进入，在授权界面传入业务线名称，例如：某个业务线触发跳转指令，跳转指令中携带该业务线的名称，自动匹配并显示该业务线可选的角色模板。

S1002：第一业务线服务获取授权指令。

其中，授权指令是根据租户从角色模板中选择的第一角色生成的，用于指示租户的第一角色的授信业务线为第一业务线服务。

租户从角色模板中选择第一角色进行授权，授权的授信业务线为所述第一业务线服务。

授权界面显示多个角色模板，用户从角色模板中选择要授权的角色，例如，用户要授权的角色为第一角色，用户可以通过点击的方式选择要授权的第一角色，实现在租户下创建该第一角色，根据角色模板中的第一角色对应的权限策略为租户授权的该第一角色绑定对应的权限策略，并将该第一角色授信给对应的第一业务线服务，从而，建立业第一业务线服务和第一角色的授权关系。

建立了第一业务线服务和第一角色的授权关系之后，该第一业务线服务即可扮演租户的该第一角色，使用第一角色对应的权限策略访问云计算资源，例如：第一业务线服务为负载均衡服务，所述第二业务线服务为对象存储服务。负载均衡服务在租户下创建了角色1，角色1的权限策略是访问租户在对象存储服务的云计算资源，角色1的授信列表是负载均衡服务，因此，建立了负载均衡服务和角色1的授信关系。从而，负载均衡服务可以通过扮演角色1访问租户在对象存储服务的云计算资源。

本实施例，通过第一业务线服务确定租户是否已经授权第一角色，如果未授权，则跳转至业务线管理平台的授权界面，授权界面显示至少一个可选的角色模板，租户从角色模板中选择第一角色进行授权，授权的授信业务线为所述第一业务线服务。从而，完成角色的授权，在此过程中，授权界面为统一的授权界面，各业务线可以登陆同一授权界面进行授权操作，无需各业务线独立自己的授权界面，降低了维护成本，并且，租户只需需要统一的授权界面的使用，无需学习各个业务线的授权界面的使用，降低了学习成本，提高了用户体验。

图4为本公开提供的又一种云计算资源的访问方法的流程示意图，图4是在图3所示实施例的基础上，进一步地，S1001之前还包括：

S1000：在业务线管理平台创建至少一个可选的角色模板。

业务线管理平台是各个业务线的统一管理平台，可用于管理各个业务线。

在业务线管理平台，建立不同的角色模板，一个业务线可以对应一个或者多个角色模板，同一个角色模板也可以对应一个或者多个业务线。

其中，每个所述角色模板包括：角色名称、角色描述和角色对应的权限策略。

可以通过API注册中心创建至少一个可选的角色模板。

角色模板的其他描述可以参见S1001中的描述，此处不再赘述。

本实施例，通过在业务线管理平台创建至少一个可选的角色模板，便于各租户授权不同的角色，提高了角色授权的效率。

图5为本公开提供的一种云计算资源的访问装置的结构示意图，如图5所示，本实施例的装置部署于第一业务线服务中，本实施例的装置包括：第一获取模块501和第一发送模块502，其中，第一获取模块501用于获取租户授权的第一角色对应的临时访问密钥标识AK和临时秘密访问密钥SK，所述第一角色对应的权限策略包括：访问第二业务线服务的所述租户的云计算资源；第一发送模块502用于以所述第一角色的身份，向网关发送应用程序接口API访问请求，所述API访问请求用于请求访问所述第二业务线服务的所述租户的云计算资源，所述API访问请求中包含所述临时AK和所述临时SK；以使所述网关根据所述临时AK和所述临时SK控制所述第一业务线服务访问所述第二业务线服务的所述租户的云计算资源。

可选的，所述第一获取模块501具体用于以租户授权的第一角色的身份，从安全令牌服务获取所述第一角色对应的临时AK和临时SK。

可选的，还包括：

第一处理模块503用于确定所述租户已授权所述第一角色。

可选的，所述第一处理模块503还用于确定所述租户未授权所述第一角色，跳转至业务线管理平台的授权界面，其中，所述授权界面包括至少一个可选的角色模板，所述可选的角色模板中包含所述第一角色；获取授权指令，所述授权指令是根据所述租户从所述角色模板中选择的第一角色生成的，用于指示所述租户的第一角色的授信业务线为所述第一业务线服务。

可选的，所述业务线管理平台预先创建有至少一个可选的角色模板，其中，每个所述角色模板包括：角色名称、角色描述和角色对应的权限策略。

可选的，所述第一处理模块503具体用于确定所述租户未授权所述第一角色；触发跳转指令，跳转至业务线管理平台的授权界面，所述授权界面包括所述第一业务线服务可选的角色模板。

图5所示实施例的装置对应的可用于执行上述各方法实施例中第一业务线服务所执行的步骤，其实现原理和技术效果类似，此处不再赘述。

图6为本公开提供的另一种云计算资源的访问装置的结构示意图，本实施例的装置可以部署于网关中，本实施例的装置包括：第二接收模块601和第二处理模块602，其中，第二接收模块601用于接收第一业务线服务以租户的第一角色的身份发送的应用程序接口API访问请求，其中，所述API访问请求用于请求访问第二业务线服务的所述租户的云计算资源，所述API访问请求中包含临时访问密钥标识AK和临时秘密访问密钥SK，所述租户的第一角色对应的权限策略包括：访问第二业务线服务的所述租户的云计算资源；第二处理模块602用于根据所述临时AK、所述临时SK和所述第一角色对应的权限策略，控制所述第一业务线服务访问所述第二业务线服务的所述租户的云计算资源。

可选的，所述第二处理模块602具体用于根据所述API访问请求中的临时AK、临时SK进行签名验证，根据所述第一角色对应的权限策略进行鉴权；所述签名验证通过，且所述鉴权通过，所述发送模块，用于转发所述API访问请求到第二业务线服务，以使所述第一业务线服务访问所述第二业务线服务的所述租户的云计算资源。

可选的，所述第二处理模块602还用于确定所述第一角色的授信业务线包括所述第一业务线服务。

图6所示实施例的装置对应的可用于执行上述各方法实施例中网关所执行的步骤，其实现原理和技术效果类似，此处不再赘述。

图7为本公开提供的一种业务线服务的结构示意图，如图7所示，本实施例的业务线服务包括第一处理器701和第一本地存储器702，其中，第一处理器701用于执行存储于第一本地存储器702的计算机程序，所述计算机程序被处理器执行时实现上述各方法实施例中第一业务线服务所执行的步骤。

图8为本公开提供的另一种业务线服务的结构示意图，如图8所示，本实施例的业务线服务包括第一处理器701，其中，第一处理器701用于执行存储于第一云端存储器802的计算机程序，所述计算机程序被处理器执行时实现上述各方法实施例中第一业务线服务所执行的步骤。

图9为本公开提供的一种网关的结构示意图，如图9所示，本实施例的网关包括第二处理器901和第二本地存储器902，其中，第二处理器901用于执行存储于第二本地存储器902的计算机程序，所述计算机程序被处理器执行时实现上述各方法实施例中网关所执行的步骤。

图10为本公开提供的另一种网关的结构示意图，如图10所示，本实施例的网关包括第二处理器901，其中，第二处理器901用于执行存储于第二云端存储器1002的计算机程序，所述计算机程序被处理器执行时实现上述各方法实施例中网关所执行的步骤。

本公开还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述各方法实施例中第一业务线服务所执行的步骤。

本公开还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述各方法实施例中网关所执行的步骤。

图11为本公开提供的云计算资源的访问系统的结构示意图，如图11所示，包括：如图5所述的云计算资源的访问装置、如图6所述的云计算资源的访问装置、第二业务线服务1103和安全令牌服务1104。其中，图5所示的云计算资源的访问装置部署于第一业务线服务1101中，图6所示的云计算资源的访问装置部署于网关1102中。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本公开的具体实施方式，使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下，在其它实施例中实现。因此，本公开将不会被限制于本文所述的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。