RBAC（Role-Based Access Control）

1.是什么

基于角色的访问控制：根据角色分配权限

2.NIST标准包含的4级RBAC模型

2.1 RBAC0（Core RBAC）：基本模型有三个元素：用户、角色和权限。

模型设计基于“多对多”原则，即多个用户可以具有相同的角色，一个用户可以具有多个角色。同样，您可以将同一权限分配给多个角色，也可以将同一角色分配给多个权限。

2.2 RBAC1（Hierarchical RBAC）：添加了第四个组件-层次结构，它定义了不同角色之间的资历关系。

通过允许高级角色自动获取下级角色的权限，可以消除冗余，例如在角色重叠时必须指定某些权限。
分层RBAC支持几种类型的层次结构：
树：自底向上的层次结构，树底部的元素将权限授予更高的元素。例如，底部是一个具有常规权限的部门角色，所有权限比较小，上面的节点除了继承底部节点的权限，还可以添加自有的权限，这可以满足不同部门拥有不用的权限也有相同的权限的需求。
倒树：自上而下的层次结构，其中高级角色将其部分权限继承给下级角色。这种结构中层节点的权限均继承于底部节点，所以同层节点不存在共享权限。
网格：自下而上和自上而下的组合，其中每个角色都可以从其下方和上方的节点继承权限。此种结构相对比较灵活，既可以有共享权限，也可以有自有权限，且顶级节点拥有最大的权限。

2.3 RBAC2（Static separation of duty (SSD) relations）：为了在存在利益冲突策略的情况下提供帮助，将根据用户分配添加角色之间的关系。例如，作为一个角色的成员的用户将无法被指派为具有利益冲突的角色的成员。

2.4 RBAC3（Dynamic separation of duty (DSD) relations）：与SSD一样，DSD限制了可用的用户权限，但基于不同的上下文。例如，根据会话期间执行的任务，用户可能需要不同级别的访问，DSD限制会话期间激活的权限。

3.其他策略

基于属性的访问控制（ABAC）
访问控制列表（ACL）
基于策略的访问控制（PBAC）
身份和访问管理（IAM）