ROLE-BASED PERMISSION DELEGATION IN A PROVIDER NETWORK

Techniques for role-based permission delegation in a provider network. The techniques include an assuming service in the provider network sending a request to a temporary credential service in the provider network to assume a delegation role. The assuming service, acting in the delegation role, sending a request to the temporary credential service to assume the customer role in accordance with a down scoping policy. The assuming service, acting in the customer role, performing an action in a strict subset of actions on a customer resource. The techniques improve the operation of the provider network by allowing a permission to perform an action on the customer resource that is granted by the customer to a delegating service in the provider network to be delegated to the assuming service while complying with the access control principle of least privilege. L'invention concerne des techniques de délégation d'autorisation à base de rôle dans un réseau de fournisseur. Les techniques font appel à un service de prise en charge dans le réseau de fournisseur envoyant une demande à un service de justificatif d'identité temporaire dans le réseau de fournisseur pour prendre en charge un rôle de délégation. Le service de prise en charge, agissant dans le rôle de délégation, envoie une demande au service de justificatif d'identité temporaire pour prendre en charge le rôle de client conformément à une politique de délimitation plus étroite. Le service de prise en charge, agissant dans le rôle de client, effectue une action dans un sous-ensemble strict d'actions sur une ressource de client. Les techniques améliorent le fonctionnement du réseau de fournisseur en permettant une autorisation d'effectuer une action sur la ressource de client qui est accordée par le client à un service de délégation dans le réseau de fournisseur qu'il convient de déléguer au service de prise en charge tout en respectant le principe de privilège minimal de contrôle d'accès.