【課題】クラウドコンピューティングを提供する計算機システム、アクセス制御を効率よく管理する。
【解決手段】クラウドコンピューティングを提供する複数の計算機と、前記複数の計算機が所定のリソースにアクセスするアクセス制御情報を管理するアクセス制御管理サーバとが通信線を介して接続されてなる計算機システムのアクセス制御情報管理方法であって、前記アクセス制御管理サーバは、前記アクセス制御情報の一部が共通する計算機を同一のドメインに分類し、前記ドメインに分類された計算機の内、前記アクセス制御情報の他の一部が共通するアクセス制御情報を有する計算機をサブドメインに分類し、前記複数の計算機を階層的に管理する。

【発明の詳細な説明】
【技術分野】
【０００１】
本発明は、アクセス制御情報管理方法、計算機システム及びプログラムに係り、特に、クラウドコンピューティングを提供する計算機システムを構成する複数の計算機のアクセス制御情報管理方法、計算機システム及びプログラムに関する。
【背景技術】
【０００２】
クラウドコンピューティングは、通常複数の物理計算機をネットワークで接続した計算機システムから提供される。近年では、サーバ仮想化技術の進展により、１台の物理計算機上で複数の論理計算機を構築することができ、より大規模なクラウドコンピューティングを提供することができるようになってきている。
【０００３】
従来から大規模計算機システムをより柔軟に運用するために、各計算機が所定のリソースにアクセスする為のアクセス制御情報を管理する手法が知られている。例えば、ネットワークを介して各計算機とアクセス制御管理サーバを接続し、このアクセス制御管理サーバが、直接的に各計算機のアクセス制御を実行する技術等である。
【０００４】
特許文献１には、このようなアクセス制御情報を管理する技術として、複数のアクセス制御規則が設定された計算機システムにおいて、所定のアクセス制御を条件付で設定可能とする技術が開示されている。この技術では、アクセス制御の値として、「０：許可」と「１：不許可」以外に、連続した値を設定可能とし、一部アクセス可能という中間的なアクセスを可能にしている。
【０００５】
一方、クラウドコンピューティングでは、セキュリティの向上が要求されている。このセキュリティを確保することを目的として、アクセス制御の管理を利用することができる。例えば、アプリケーションプログラム、ＯＳ及びＶＭ(仮想マシン)に、それぞれリソースへのアクセス権限を設定し、セキュリティを向上させる手法等がある。
【０００６】
例えば、非特許文献２には、仮想化技術を実現するハイパーバイザといった仮想化ソフトのセキュリティレベルを課題として、アイデンティティ管理やサービスにおけるアクセス制御をクラウドサービスとして提供する技術が開示されている。
【先行技術文献】
【特許文献】
【０００７】
【特許文献１】特願２００７−３１１７２６号公報
【非特許文献】
【０００８】
【非特許文献１】浦本直彦，「特集クラウドコンピューティング ８．クラウドコンピューティングにおけるセキュリティとコンプライアンス」，情報処理(２００９年１１月号)，Ｖｏｌ．５０，Ｎｏ．１１，社団法人情報処理学会，ｐ.１０９９−１１０５
【発明の概要】
【発明が解決しようとする課題】
【０００９】
ところで、上述のように、クラウドコンピューティングは、多数の計算機から構成されるため、従来のアクセス制御の設定方法のように、１台のアクセス制御管理サーバが他の全てのサーバの管理が困難であり、アクセス制御を効率よく設定できないという問題がある。特に、このような問題は、一つの物理計算機上に論理計算機を複数構築することのできる仮想化技術を適用した計算機システムでは、より顕著な問題となる。更に、クラウドコンピューティングでは、計算機の追加・削除、システム構成の変更が比較的頻繁に行われるという事情もある。この問題は、物理計算機を始め、論理計算機を利用するクラウドコンピューティングでは、ノードの追加、削除等がより頻繁に行われ、顕著となる。
本発明は、クラウドコンピューティングにおいて、アクセス制御を効率よく管理することを目的とする。
【課題を解決するための手段】
【００１０】
上述の課題を解決するに、本発明の一側面は、クラウドコンピューティングを提供する複数の計算機と、前記複数の計算機が所定のリソースにアクセスするアクセス制御情報を管理するアクセス制御管理サーバとが通信線を介して接続されてなる計算機システムのアクセス制御情報管理方法であって、前記アクセス制御管理サーバは、前記アクセス制御情報の一部が共通する計算機を同一のドメインに分類し、前記ドメインに分類された計算機の内、前記アクセス制御情報の他の一部が共通するアクセス制御情報を有する計算機をサブドメインに分類し、前記複数の計算機を階層的に管理する
更に、本発明の他の側面は、前記アクセス制御管理サーバは、更に、前記ドメインと前記サブドメインとの夫々に、該ドメイン或いはサブドメインに属する計算機のアクセス制御情報を管理する主計算機を指定し、前記ドメインの主計算機と、該ドメインの下位に属するサブドメインの主計算機と、前記アクセス制御管理サーバとを接続して、アクセス制御情報を通信可能とする制御ネットワークを構築する。
【発明の効果】
【００１１】
本発明によれば、複数の計算機から構成されるクラウドコンピューティング構成において、共通のアクセス制御情報に基づいて階層的に管理することにより、アクセス制御を効率よく管理できるという効果を奏する。
【図面の簡単な説明】
【００１２】
【図１】本発明の実施形態におけるクラウドコンピューティングを提供する計算機システムの構成図である。
【図２】本発明の実施形態における物理計算機の構成図である。
【図３】本発明の実施形態におけるクラウドコンピューティングシステムを階層的に示した模式図である。
【図４】図４ａは、本発明の実施形態における第２レイヤのアクセス制御用のネットワークの構成図である。図４ｂは、本発明の実施形態における第３レイヤのアクセス制御用のネットワークの構成図である。
【図５】本発明の実施形態における各論理計算機のアクセス種別を示す図である。
【図６】本発明の実施形態における各論理計算機とそれらの初期設定の値を示す図である。
【図７】本発明の実施形態におけるアクセス制御の初期設定の処理手順を示す図である。
【図８】本発明の実施形態における論理計算機の初期設定の設定結果を示す図である。
【図９】本発明の実施形態における追加する論理計算機のアクセス制御情報を示す図である。
【図１０】本発明の実施形態における論理計算機の追加処理手順を示す図である。
【図１１】本発明の実施形態における論理計算機を追加した結果を示す図である。
【図１２】本発明の実施形態における論理計算機の削除処理手順を示す図である。
【図１３】本発明の実施形態における論理計算機を削除した結果を示す図である。
【図１４】本発明の実施形態におけるアクセス制御のチェック機能の処理手順を示す図である。
【発明を実施するための形態】
【００１３】
以下に、図を用いて、本発明を実施するための形態を詳細に説明する。
図１に、本発明を適用した一実施の形態であるクラウドコンピューティングを提供する計算機システムの構成を示す。計算機システムは、アクセス制御管理サーバ１、ディスク装置Ａ３、ディスク装置Ｂ４、ディスク装置Ｃ５及び複数の物理計算機１１〜１５がネットワーク２と通信可能に接続されてなる。このような計算機システムに、複数のクライアント２０ａ〜ｃがアクセスし、クラウドコンピューティングを提供する。
アクセス制御管理サーバ1は、リソースへのアクセスを制御するアクセス制御情報を管理する。本実施形態では、計算機システムを構成する物理計算機及び論理計算機がリソースにアクセスするためのアクセス制御情報（アクセスパスやそのリソースに対するリード／ライト処理といったアクセス種別を含む。）に基づいて、計算機を階層的に分類し、アクセスを管理するように構成されている。
物理計算機１１〜１５の夫々は、例えば、ハイパーバイザ等の仮想化ソフトウェアを利用したサーバ仮想化機構を有しており、内部に複数の論理計算機を構築することができように構成されている。図１の物理計算機１１を代表して説明すると、論理計算機１１ａ、１１ｂ及び１１ｃという３つの仮想計算機が構築されている。なお、システムを構成する物理計算機の数及び１つの物理計算機に構築することのできる論理計算機の数は、システム要件、物理計算機の性能及び各種設定により適宜変更可能である。また、物理計算機のハードウェア及びソフトウェアの構成も適宜変更可能であるが、説明の便宜上、本実施形態では同じであるものとして説明をする。
ディスク装置Ａ３〜Ｃ５は、論理計算機１１〜１５上で稼動するアプリケーションソフトウェアで利用する各種のデータをディレクトリ単位で格納するＨＤＤやＳＳＤ等の各種記録媒体を適用可能なストレージ装置である。本実施形態では、ディスク装置３〜５は、論理計算機からアクセスされるリソースの例として説明する。
【００１４】
図２は、物理計算機１１〜１５の構成図である。本実施形態の物理計算機１１〜１５は、機能面で同等の構成を有する。以下、物理計算機１１を代表してそのハードウェア構成及びソフトウェア構成を説明する。物理計算機は、汎用のサーバ装置等であり、そのハードウェア構成として、ＣＰＵ７００、メモリ７０１、ＩＯＰ(Input Output Processor)７０２、ＮＩＣ７０３、ディスクコントローラ７０４及びディスク装置７０５ａ並びに７０５ｂから構成される。ディスク装置７０５ａ及び７０５ｂは、図１で説明したディスク装置Ａ３〜Ｃ５のように、物理計算機や論理計算機上で稼動するアプリケーションソフトウェアで利用する各種データを格納することもできるが、本実施の形態では、そのようなアプリケーションソフトウェアや各種の構成情報を格納するシステムディスクとしての機能も有するものとする。
【００１５】
物理計算機１１のソフトウェア構成は、メモリ５０１上に、仮想化ソフト６００、複数のＯＳ６０１ａ、６０１ｂ並びに６０１ｃ、ポリシーファイル６０２ａ、６０２ｂ並びに６０２ｃ及びアプリケーションプログラム（以下、「ＡＰ」という。）６０３ａ、６０３ｂ並びに６０４ｃを展開し、ＣＰＵ５００との協働により各種処理を行うように構成される。
【００１６】
仮想化ソフト６００は、例えば、ハイパーバイザ等からなり、物理計算機１１に複数のＯＳを展開することで、論理計算機１１ａ、１１ｂ及び１１ｃに分割して運用することができるようになっている。
【００１７】
ポリシーファイル６０２ａ、６０２ｂ並びに６０２ｃは、論理計算機１１ａ等のシステム管理に関する種々のポリシー情報を保持するものである。システム管理に関する情報としては、システムに含まれるディスク装置３等のリソースに関するアクセスや、そのようなアクセス情報を管理する後述する論理計算機の階層化に関する情報といったアクセス情報が含まれる。
【００１８】
また、ＡＰ６０３ａ、６０３ｂ及び６０４ｃは、種々の業務を提供するソフトウェアが適用され、ネットワーク２を介して、クライアント２０ａ〜２０ｃ等からの処理要求等に応じて所定の業務を提供する。
【００１９】
次いで、図３と図４を用いて、計算機システムのアクセス制御を実現する階層構造の構成について説明する。
図３は、クラウドコンピューティングを提供する計算機システムを、階層化した構成図である。本実施形態の計算機システムでは、システム全体としてのクラウドコンピューティングをドメイン及びサブドメインに分割し、それらを階層化して管理するようになっている。クラウドコンピューティング全体を第１レイヤ３０と、ドメインを第２レイヤ３１と、サブドメインを第３レイヤ３２とする。
【００２０】
即ちクラウドコンピューティング全体を、ドメインＡに同一のアクセス制御が属するように又ドメインＢに同一のアクセス制御が属するように分割する。同様に、ドメインＡは、サブドメインＡＡに同一のアクセス制御が属するように又サブドメインＡＢに同一のアクセス制御が属するように分割する。即ち計算機システムは、クラウドコンピューティング全体を階層化して、共通のアクセス制御というアクセス制御情報をまとめて管理するようになっている。
【００２１】
また、各階層を構成するドメインとサブドメインには、１台の主の論理計算機と１台以上の副の論理計算機を設定し、階層毎のアクセス制御を管理する論理計算機を冗長させる構成となっている。
なお、主の論理計算機と副の論理計算機以外の論理計算機を一般論理計算機という。
【００２２】
図４は、アクセス制御用のネットワーク(以下、「制御ネットワーク」）の構成を示す図である。このアクセス制御ネットワークは、自身のレイヤの主と副の論理計算機、上位レイヤの主と副の論理計算機および下位レイヤの主と副の論理計算機から構成される。
【００２３】
図４(ａ)は、第２レイヤのアクセス制御ネットワークを示すものであり、上位階層であるクラウドコンピューティングと、下位階層であるドメインＡとの関係を表す。制御ネットワークとして、上位と下位のレイヤの主の論理計算機と副の論理計算機を接続する。アクセス制御管理サーバ１では、ドメイン、サブドメインを経由しながら、アクセス制御情報をレイヤ毎に設定する。同一階層内とその上位と下位の主と副の論理計算機、制御ネットワークを構成する。本例では、クラウドの主と副の論理計算機、ドメインＡの主と副の論理計算機、ドメインＢの主と副の論理計算機から構成される。
【００２４】
図４(ｂ)は、第３レイヤのアクセス制御ネットワークを示すものであり、上位階層のドメインＡと、下位階層のサブドメインＡＡとの関係を表す。ドメインＡの場合、ドメインＡの主の論理計算機並びに副の論理計算機、サブドメインＡＡの主の論理計算機並びに副の論理計算機及びドメインＡＢの主の論理計算機並びに副の論理計算機から構成される。この制御ネットワークを介して、アクセス制御情報が送受信されるようになっている。
【００２５】
図５は、各論理計算機のアクセス種別を示す図である。同図に示すように、計算機システムを構成する各論理計算機がアクセスするリソース１及び２の具体的位置（又は名称）及びそのリソースに対するアクセスの種別を対応付けて管理するようになっている。例えば、ディスクＡの中に、ディレクトリＡＡと、ディレクトリＡＢとを設け、それぞれ別々のアクセス制御を設定する。即ち論理計算機１１ａでは、ＡＰ６０３ａが実行されるが、この時のリソースに対するアクセス種別は、ディスクＡにはリード／ライト（ｒｗ）可能であり、ディレクトリＡＡに対してもリード／ライト（ｒｗ）可能となっている。同様に、図５では、論理計算機１１ｂから論理計算機１４ｃのアクセス種別を示している。
【００２６】
アクセス制御管理サーバ１は、図５に示すアクセス種別に基づいて、共通のアクセス制御を探す。例えば、リソース1のアクセス種別として、ディスクＡ（ｒｗ)と、ディスクＢ(ｒｗ)とに分類する。リソース２のアクセス種別として、ディスクＡ(ｒｗ)は、ディレクトリＡＡ(ｒｗ)と、ディレクトリＡＢ(ｒ)に分類する。
【００２７】
[初期設定処理]
まず、図６から図８を用いて、アクセス制御情報の初期設定の処理を説明する。
図６は、各論理計算機とそれらの初期設定の値を示す図である。ここでは、アクセス制御の値、リソース１とリソース２の値及びそれをベースとしたドメインとサブドメインを指定する。
【００２８】
論理計算機１１ａは、第１レイヤのクラウドでは主の論理計算機、第２レイヤはドメインＡ、第３レイヤはサブドメインＡＡと指定する。更に、アクセス種別として、リソース１は、ディスクＡ(ｒｗ)、リソース２は、ディレクトリＡＡ(ｒｗ)と指定する。以下、同様にして、論理計算機１１ｂから論理計算機１４ｃのアクセス種別及び各レイヤの主と副の論理計算機を指定する。
【００２９】
図７は、アクセス制御の初期設定の処理手順を示す図である。ここでは、サブドメインＡＡへのアクセス制御情報の設定を例にして、説明する。サブドメインＡＡへのアクセス制御は、ディレクトリＡＡへのリード／ライトが可能である。このアクセス制御情報を、論理計算機１１ａ、論理計算機１１ｃ、論理計算機１２ａ、論理計算機１３ａ及び論理計算機１４ｂの５台の論理計算機に設定するものとして説明する。
【００３０】
まず、アクセス制御管理サーバ１は、論理計算機１１ａに、これら５台分の論理計算機のアクセス制御情報を送信し、論理計算機１１ａは５台分のアクセス制御情報を受信し(ステップＳ１００)、解析する(ステップＳ１０１)。
【００３１】
次いで、論理計算機１１ａは、受信したアクセス制御情報に、該当するドメインがあるか否かを判断する(ステップＳ１０２)。該当するドメインがない場合（ステップＳ１１０：ＮＯ）には、ドメインを作成する。本例では、ドメインＡを生成する(ステップＳ１１１)。逆に、該当するドメインがある場合（ステップＳ１１０：Ｙｅｓ）は、ステップＳ１１５の処理に進む。
【００３２】
論理計算機１１ａは、該当するサブドメインがあるか否かを判断する(ステップＳ１１５)。該当するサブドメインがない場合（ステップＳ１１５：ＮＯ）には、サブドメインを作成する（ステップＳ１１６）。本例では、サブドメインＡＡを生成する（ステップＳ１１６）。逆に、該当するサブドメインがある場合（ステップＳ１１５：Ｙｅｓ）は、ステップＳ１１７の処理に進む。その後、論理計算機１１ａは、論理計算機にアクセス制御情報を設定する(ステップＳ１１７)。
【００３３】
論理計算機１１ａは、ステップＳ１００で受信したアクセス制御情報に示された全ての論理計算機に対して、アクセス制御情報の設定が完了したか否かを判断し（ステップＳ１２０）、完了したと判断する場合（Ｓ１２０：Ｙｅｓ）、制御ネットワークの生成処理（Ｓ１２１）に進み。完了していないと判断する場合（Ｓ１２０：Ｎｏ）、Ｓ１０１に戻る。
Ｓ１２１で、論理計算機１１ａは、制御ネットワークを構築する。本例では、ドメインＡとサブドメインＡＡの制御ネットワークを構築する。
【００３４】
図８は、論理計算機の初期設定の設定結果を示す図である。
このようにして、各レイヤで主と副の論理計算機を指定しながら、各論理計算機のアクセス制御情報を設定する。その際、同一のアクセス制御は、同一のドメインあるいはサブドメインに指定すし、また、制御ネットワークを構築する。
この結果、第２レイヤ３１では、共通のアクセス制御がディスクＢへのリード／ライトであるドメインＢを、第３レイヤ３２では、ディレクトリＡＡへのリード／ライトであるサブドメインＡＡ及びディレクトリＡＢへのリードであるサブドメインＡＢを階層化することになる。
以上が初期設定に関する説明である。
【００３５】
[アクセス制御情報の追加処理]
次に、図９から図１１までを用いて、計算機システムに新たに物理計算機１５を追加する場合のアクセス制御情報の設定処理について説明する。ここでは、３つの論理計算機１５ａ、１５ｂ及び１５ｃが構築された１台の物理計算機１５が追加され、それらに対してアクセス制御情報を設定する場合を例として説明する。
【００３６】
図９に、追加する物理計算機１５及びそれに構築されている３つの論理計算機１５ａ等のアクセス制御情報を示す。ここで、論理計算機１５ａは、ディスクＡに対してリード／ライト可能であり、ディレクトリＡＡに対してもリード／ライト可能である。また、論理計算機１５ｂは、ディスクＣに対してリード／ライト可能であり、論理計算機１５ｃは、ディスクＣに対してリード／ライト可能であり、何れもリソース２のアクセス制御は有していない。
【００３７】
以上のアクセス制御情報を前提として、物理計算機１５（論理計算機１５ａ等を含む。）を計算機システムに追加する場合、アクセス制御管理サーバ１は、物理計算機１５に構築されている論理計算機１５にａ等に対し、各レイヤで指定（設定）されているレイヤ（クラウド、ドメイン、サブドメイン）に基づいて、追加する論理計算機１５ａ、１５ｂ及び１５ｃのアクセス制御を設定する。例えば、論理計算機１５ａのアクセス制御は、図９に示すように、サブドメイン（ＡＡ）までが指定（設定）されている。従って、論理計算機１５ａは、サブドメインＡＡに属するものとしてアクセス制御情報を設定する。他方、論理計算機１５ｂと１５ｃのアクセス制御は、まだ設定されていない。従って、新たに下位レイヤである第２レイヤに、ドメインＣを設けて、アクセス制御情報を設定することとなる。
【００３８】
以下、図１０を用いて、この追加処理手順について詳細に説明する。
まず、アクセス制御管理サーバ１は、最上位レイヤである第１レイヤ（クラウド）の主の論理計算機１１ａと、副の論理計算機１２ａとのそれぞれに、図９に示す論理計算機１５ａ、１５ｂ及び１５ｃのアクセス制御情報を送信する(ステップＳ２００)。
【００３９】
第１レイヤの主の論理計算機１１ａと副の論理計算機１２ａとは、これらのアクセス制御情報を受信し（ステップＳ２１０、Ｓ２１１)、主の論理計算機１１ａは、受信したアクセス制御情報を解析する(ステップＳ２１２)。なお、副の論理計算機１２ａは、主の論理計算機１１ａが正常に稼動しているため、処理を待機する。
【００４０】
次いで、主の論理計算機１１ａは、各論理計算機について、アクセス制御情報のドメインの指定があるか否かを判断する(ステップＳ２１３)。この判断で、ドメインの指定があると判断する場合（ステップＳ２１３：Ｙｅｓ）、主の論理計算機１１ａは、ステップＳ２１５に進み、指定されたドメインの主の論理計算機１１ｃ及び１４ｂに、制御ネットワークが構築されているか否かを判断する（ステップＳ２１５）。逆に、ステプＳ２１３の判断で、ドメインの指定が無いと判断する場合（ステップＳ２１３：Ｎｏ）、ドメインを作成し、そのドメインでの主の論理計算機及び副の論理計算機を指定し（ステップＳ２１４）、その後、ステップＳ２１５の処理に進む。
【００４１】
主の論理計算機１１ａは、ステップＳ２１５で、制御ネットワークが構築されていると判断する場合（ステップＳ２１５：ＹＥＳ）、主の論理計算機１１ａは、指定されたドメインの主の論理計算機１１ｃ及び１４ｂに、その論理計算機のアクセス制御情報を送信する（ステップＳ２１７）。
逆に、指定されたドメインの主の論理計算機１１ｃ及び１４ｂに、制御ネットワークが構築されていないと判断する場合（ステップＳ２１５：ＮＯ）、指定されたドメインの主の論理計算機１１ｃ及び１４ｂとの制御ネットワークを構築し（ステップＳ２１６）、その後、アクセス制御情報を送信する（ステップＳ２１７）。
【００４２】
さて、ステップＳ２１３において、第１レイヤの主の論理計算機１１ａが、追加する論理計算機について、アクセス制御情報で第２レイヤ（ドメイン）が設定されていないと判断した場合（ステップＳ２１３：ＮＯ）、主の論理計算機１１ａは、新たなドメインＣを生成する処理を行う（ステップＳ２１４）。この処理では、主の論理計算機１１ａは、追加した論理計算機１５ｂを主の論理計算機として指定し、追加した論理計算機１５ｃを副の論理計算機として指定する。
【００４３】
その後、ステップＳ２１５で、主の論理計算機１１ａは、新たに生成したドメインＣの主の論理計算機１５ｂ及び副の論理計算機１５ｃとの制御ネットワークの構築の要否を判断し、必要に応じて制御ネットワークを構築し（ステップＳ２１５：ＮＯ、Ｓ２１６）、アクセス制御情報で第２レイヤが指定されていない追加論理計算機１５ｂ及び１５ｃのアクセス制御情報を、主の論理計算機１５ｂ及び副の論理計算機１５ｃに送信する。
【００４４】
以上の処理を、下位のレイヤ（第２及び第３レイヤ）の主の論理計算機（１１ｃ、１３ａ）が、自階層に対応するアクセス制御情報に応じて順次実行することで、論理計算機を追加する場合のアクセス制御の設定を行うことができる。
【００４５】
例えば、追加した論理計算機が、論理計算機１５ａである場合、アクセス制御情報の第２レイヤには、ドメインＡが指定されている（図９参照）。よって、第１レイヤの論理計算機１１ａは、第２レイヤの主の論理計算機１１ｃと、副の論理計算機１４ｂとに、論理計算機１５ａのアクセス制御情報をまとめて送信することになる。
このアクセス制御情報を受信した、第２レイヤの主の論理計算機１１ｃは、アクセス制御情報でサブドメインＡＡが指定されているため、第３レイヤの主の論理計算機１３ａと、副の論理計算機１２ａに、論理計算機１５ａのアクセス制御情報をまとめて送信する(ステップＳ２２２)。
このアクセス制御情報を受信した、論理計算機１３ｃは（ステップＳ２３０）、その後、一般の計算機１５ａにアクセス制御情報を送信する（ステップＳ２３２）。論理計算機１５ａは、アクセス制御情報を受信し（ステップＳ２３３）、アクセス制御を設定する（ステップＳ２３４）。
【００４６】
他方、論理計算機１５ｂと１５ｃのアクセス制御は、まだ設定されていないので、主の論理計算機１１ａは、新たにドメインＣを設ける。主の論理計算機１１ａは、論理計算機１５ｂと論理計算機１５ｃを夫々主／副の論理計算機に指定し、必要であれば制御ネットワークを構築し、対応するアクセス制御情報を論理計算機１５ｂと、論理計算機１５ｃとに送信する。
【００４７】
アクセス制御情報を受信した論理計算機１５ｂと論理計算機１５ｃは（ステップＳ２４０及びＳ２４５）、アクセス制御情報を設定する(ステップＳ２４１及びＳ２４６)。
【００４８】
図１１は、追加された論理計算機にアクセス制御情報を設定した結果を示す図である。論理計算機１５ａは、サブドメインＡＡに追加され、論理計算機１５ｂと論理計算機１５ｃは、ドメインＣに追加される。
以上が、計算機システムに論理計算機を追加した場合のアクセス制御情報の設定処理手順である。
【００４９】
[アクセス制御情報の削除処理]
次に、図１２と図１３を用いて、計算機システムから物理計算機（或いは論理計算機）に関するアクセス制御情報を削除する場合について説明する。以下の説明では、物理計算機１４からアクセス制御情報を削除するものとして説明を行う。
また、物理計算機１４は、３台の論理計算機(１４ａ、１４ｂ、１４ｃ)から構成されため、これら論理計算機のアクセス制御を削除する必要がある。なお、論理計算機１４ａと論理計算機１４ｃはサブドメインＡＢに属し、論理計算機１４ｂは、サブドメインＡＡに属している。
【００５０】
図１２は、論理計算機の削除処理手順を示す図である。第３レイヤのサブドメインＡＡの論理計算機１４ｂで障害が発生すると、サブドメインＡＡの主の論理計算機１３ａがこの障害を検出し(Ｓ３１０)、これをドメインＡの主の論理計算機１１ｃに通知する(Ｓ３１１)。
【００５１】
同様に、サブドメインＡＢの論理計算機１４ａと論理計算機１４ｃで障害が発生すると、副の論理計算機１３ｂがこれらの障害を検出し(Ｓ３２０)、これをドメインＡの主の論理計算機１１ｃに通知する(Ｓ３２１)。
【００５２】
第２レイヤのドメインＡの主の論理計算機１１ｃは、障害発生を受信する(Ｓ３３０)。ドメインＡの主の論理計算機１１ｃは、サブドメイン自体を削除するか否かの判断を行う(Ｓ３３１)。具体的には、主の論理計算機１１ｃのポリシーファイルに保持したアクセス制御情報を参照し、同一サブドメインに属する論理計算機の全てが障害であるか否かを判断する。同一サブドメインに属する全ての論理計算機が障害である場合、そのサブドメインを削除し（Ｓ３３１）、Ｓ３３２の処理に進む。逆に、同一サブドメインに属する全ての論理計算機が障害でない場合、Ｓ３３３の処理に進む。
【００５３】
第２レイヤの主の論理計算機１１ｃは、障害の通知を受けた論理計算機が、サブドメインにおける主の論理計算機又は副の論理計算機であるかを判断し、障害の通知を受けた論理計算機が、サブドメインにおける主又は副の論理計算機である場合、当該サブドメインにおける主・副論理計算機の再指定を行い（Ｓ３３３）、Ｓ３３４の処理に進む。逆に、主又は副の論理計算機でない場合、そのままＳ３３４の処理に進む。
【００５４】
本例の場合、サブドメインＡＢでは、主の論理計算機１４ａで障害が発生したため、副の論理計算機１３ｂを正の論理計算機とし、一般の論理計算機１４ｃを副の論理計算機に再指定する。
【００５５】
次いで、ドメインＡの主の論理計算機１１ｃは、物理計算機１４の障害発生を第１レイヤの主の論理計算機１１ａと副の論理計算機１２ａに通知する(Ｓ３３４)。
【００５６】
第１レイヤの主の論理計算機１１ａと副の論理計算機１２ａは、障害発生を受信(Ｓ３３９、Ｓ３４０)し、ドメインＡの主の論理計算機１１ａは、ドメインＡを削除するか否かを判断し、必要であれば削除する(Ｓ３４１)。具体的には、ドメインＡ以下に属する全ての論理計算機が障害である場合、ドメインＡを削除してから、Ｓ３４２の処理に進む。逆に、ドメインＡ以下に属する全ての論理計算機が障害でない場合、そのままＳ３４３の処理に進む。
【００５７】
第１レイヤの主の論理計算機１１ａは、障害の通知を受けた論理計算機が、ドメイン又はサブドメインにおける主の論理計算機或いは副の論理計算機であるか否かを判断し、ドメイン又はサブドメインにおける主又は副の論理計算機である場合には、新たな主又は副の論理計算機の再指定を行う（Ｓ３４３）。
【００５８】
なお、本例では、ドメインＡの副の論理計算機１４ｂで障害が発生しているため、ドメインＡの一般の論理計算機１２ｂを副の論理計算機に指定する。
【００５９】
最後に、主の論理計算機１１ａは、物理計算機１２、１４、論理計算機１４ａ、論理計算機１４ｂの障害発生をアクセス制御管理サーバ１に通知する(Ｓ３４４)。アクセス制御管理サーバ１は、Ｓ３４４の処理で受信した障害通知を受信し、アクセス制御管理サーバ１上のアクセス制御情報を更新する（Ｓ３５０）。
【００６０】
図１３に、論理計算機の削除処理の結果を示す。本例では、サブドメインＡＢの主の論理計算機１４ａで障害が発生したため、主の論理計算機１４ａが削除されるとともに、副の論理計算機１３ｂをサブドメインＡＢの主の論理計算機とし、一般の論理計算機１４ｃを副の論理計算機とする。また、サブドメインＡＡの一般計算機１４ｂでも障害が発生しているため、サブドメインＡＡから一般計算機１４ｂも削除されている。
【００６１】
[アクセス制御情報のチェック処理]
次いで、図１４を用いて、計算機システムにおけるアクセス制御のチェック機能の処理手順を説明する。この処理は、全ての論理計算機のアクセス制御が正常に動作していることをチェックする機能である。
【００６２】
まず、ドメインＡのアクセス制御のチェック機能について説明する。
アクセス制御管理サーバ１は、一定周期毎或いは管理者等からのチェック要求を受けて、第１レイヤの主の論理計算機１１ａと副の論理計算機１２ａにアクセス制御のチェックを要求する(Ｓ５００、Ｓ５０１)。
主の論理計算機１１ａ（１）は、ドメインＡの主の論理計算機１１ｃ（３）と、副の論理計算機１２ｂ（５）とにアクセス制御のチェックを要求する(Ｓ５１０、Ｓ５１１)。
ドメインＡの主の論理計算機１１ｃ（３）は、ドメインＡに属する論理計算機(１１ａ（１）、１１ｃ（３）、１２ａ（４）、１２ｂ（５）、１３ａ（７）、１３ｂ（８）、１３ｃ（９）)に対して、アクセス制御情報を送信する。
【００６３】
各論理計算機(１１ａ（１）、１１ｃ（３）、１２ａ（４）、１２ｂ（５）、１３ａ（７）、１３ｂ（８）、１３ｃ（９）)は、自己のポリシーファイルに保持したアクセス制御情報と、受信したアクセス制御情報とが一致するか否かを判断し、一致しなければ、改ざん発生と判定する。
【００６４】
同様に、主の論理計算機１１ａ（１）は、ドメインＢの主の論理計算機１１ｂ（２）と副の論理計算機１２ｃ（６）にアクセス制御のチェックを要求する(Ｓ５１２、Ｓ５１３)。ドメインＢに属する各論理計算機は、同様にアクセス制御情報が一致するか否かを判断し、一致しなければ、改ざん発生と判定する。
【００６５】
次いで、主の論理計算機１１ａ（１）は、ドメインＣの主の論理計算機１５ｂ（１４）と副の論理計算機１５ｃ（１５）にアクセス制御のチェックを要求する（Ｓ５１４、Ｓ５１５)。ドメインＣに属する各論理計算機は、同様にアクセス制御情報が一致するか判断し、一致しなければ、改ざん発生と判定する。
【００６６】
サブドメインに属する論理計算機に対しても、ドメインの主の論理計算機１１ｃ（３）からサブドメインの各主の論理計算機等に対して、同様の処理を行うことで、サブドメインにおけるアクセス制御のチェックが行われる（Ｓ５２０、Ｓ５２２、Ｓ５２３、Ｓ５２４）。
【００６７】
このようにして行われたアクセス制御のチェックにおいて、改ざんの発生と判定された場合、上述した削除処理での障害通知と同様に、同一レイヤの主の論理計算機、上位のレイヤの主の論理計算機に改ざんの通知がなされ、最終的に、アクセス制御管理サーバ１に改ざんが通知されることになる。
【００６８】
以上のように、本実施形態によれば、クラウド環境を提供する計算機システムのアクセス制御の管理において、ドメイン等やアクセス種別により階層分けを行い、各階層のアクセス制御情報を管理する主の論理計算機を定め、その主の論理計算機間でアクセス制御情報の管理を伝播させることができる。これにより、アクセス制御管理サーバ１が一括してシステム内のアクセス制御情報を直接管理する場合に発生する負荷を防止することができ、アクセス制御情報の管理が効率的になるという効果がある。
【００６９】
また、アクセス制御情報の設定、容易化 一括してアクセス制御が設定可能になり、効率よく運用できるという効果がある。
【００７０】
更に、アクセス制御管理サーバ１で行う管理機能を、ドメインあるいはサブドメインの主の論理計算機や副の論理計算機に移行することにより、アクセス制御管理サーバの負荷を軽減でき、頻繁に発生する構成変更等に対して、柔軟に対応できるという効果がある。
【００７１】
なお、ここでは、クラウド、ドメインとサブドメインの３階層に分けて説明したが、４階層以上に分割して管理することも当然に可能である。また、本実施形態は、所謂仮想計算機として論理計算機を適用した計算機システムで説明したが、本発明は、これに限定されるものではなく、仮想化ソフトを利用しない物理計算機のみで構成された計算機システムにも適用することができる。
【００７２】
また、アクセス制御は、リソースをディスク装置とした例のみで解説しだが、ネットワークリソースに対しても適用することができる。
【符号の説明】
【００７３】
１ アクセス制御管理サーバ
３、４、５ ディスク装置
１０、１１、１２、１３、１４、１５ 物理計算機
１１ａ、１１ｂ、１１ｃ、１２ａ、１２ｂ、１２ｃ、１３ａ、１３ｂ、１３ｃ、１４ａ、１４ｂ、１４ｃ、１５ａ、１５ｂ、１５ｃ 論理計算機
３０ 第１レイヤ（クラウド）
３１ 第２レイヤ（ドメイン）
３２ 第３レイヤ（サブドメイン）
６００ 仮想化ソフト
６０２ａ、６０２ｂ、６０２ｃ ポリシーファイル

【特許請求の範囲】
【請求項１】
クラウドコンピューティングを提供する複数の計算機と、前記複数の計算機が所定のリソースにアクセスするアクセス制御情報を管理するアクセス制御管理サーバとが通信線を介して接続されてなる計算機システムのアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、
前記アクセス制御情報の一部が共通する計算機を同一のドメインに分類し、
前記ドメインに分類された計算機の内、前記アクセス制御情報の他の一部が共通するアクセス制御情報を有する計算機をサブドメインに分類し、
前記複数の計算機を階層的に管理する
ことを特徴とするアクセス制御情報管理方法。
【請求項２】
請求項１に記載のアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、更に、
前記ドメインと前記サブドメインとの夫々に、該ドメイン或いはサブドメインに属する計算機のアクセス制御情報を管理する主計算機を指定し、
前記ドメインの主計算機と、該ドメインの下位に属するサブドメインの主計算機と、前記アクセス制御管理サーバとを接続して、アクセス制御情報を通信可能とする制御ネットワークを構築するアクセス制御情報管理方法。
【請求項３】
請求項２に記載のアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、更に、
前記主計算機と同一のドメイン又はサブドメインに属する他の計算機をして、前記主計算機を冗長構成にすることを特徴とするアクセス制御情報管理方法。
【請求項４】
請求項1〜３の何れか一項に記載のアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、
新たな計算機を追加する場合、当該計算機のアクセス制御情報に前記ドメインに対応する情報があるか否かを判定し、
前記ドメインに対応する情報がある場合、当該ドメイン内の計算機として管理し、
前記ドメインに対応する情報がない場合は、新たにドメインを作成し、該新たに作成したドメインに対応する制御ネットワークを構築する
ことを特徴とするアクセス制御情報管理方法。
【請求項５】
請求項１〜４の何れか一項に記載のアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、
所定の計算機に関するアクセス制御情報を削除する際、当該所定の計算機が属するドメイン及びそのサブドメインに属する他の計算機が無い場合、当該ドメインを削除する
ことを特徴とするアクセス制御情報管理方法。
【請求項６】
請求項２〜５のいずれか一項に記載のアクセス制御情報管理方法であって、
前記アクセス制御管理サーバは、
前記計算機が保持するアクセス制御情報の改ざんをチェックする際、前記ドメインの主計算機に、前記アクセス制御管理サーバが保持するアクセス制御情報を送信し、前記ドメインに属する計算機が保持するアクセス制御情報のチェックを要求して、アクセス制御が一致しているかどうかチェックさせることを特徴とするアクセス制御情報管理方法。
【請求項７】
請求項１〜６の何れか一項に記載のアクセス制御情報管理方法であって、
前記計算機には、論理計算機を含むことを特徴とするアクセス制御情報管理方法。
【請求項８】
クラウドコンピューティングを提供する複数の計算機と、前記複数の計算機が所定のリソースにアクセスするアクセス制御情報を管理するアクセス制御管理サーバとが通信線を介して接続されてなる計算機システムであって、
前記アクセス制御管理サーバが、
前記アクセス制御情報の一部が共通する計算機を同一のドメインに分類し、
前記ドメインに分類された計算機の内、前記アクセス制御情報の他の一部が共通するアクセス制御情報を有する計算機をサブドメインに分類し、
前記複数の計算機を階層的に管理する
ことを特徴とする計算機システム。
【請求項９】
クラウドコンピューティングを提供する複数の計算機と、前記複数の計算機が所定のリソースにアクセスするアクセス制御情報を管理するアクセス制御管理サーバとが通信線を介して接続されてなる計算機システムにおいて、
前記アクセス制御管理サーバに、
前記アクセス制御情報の一部が共通する計算機を同一のドメインに分類する機能と、
前記ドメインに分類された計算機の内、前記アクセス制御情報の他の一部が共通するアクセス制御情報を有する計算機をサブドメインに分類する機能と、
前記複数の計算機を階層的に管理する機能と、
を実現させることを特徴とするプログラム。

【図１】

【図２】

【図３】

【図４】

【図５】

【図６】

【図７】

【図８】

【図９】

【図１０】

【図１１】

【図１２】

【図１３】

【図１４】

【公開番号】特開２０１１−２３２８４０（Ｐ２０１１−２３２８４０Ａ）
【公開日】平成２３年１１月１７日（２０１１．１１．１７）
【国際特許分類】
【出願番号】特願２０１０−１００４８３（Ｐ２０１０−１００４８３）
【出願日】平成２２年４月２６日（２０１０．４．２６）
【出願人】（０００００５１０８）株式会社日立製作所 (27,607)
【Ｆターム（参考）】