Openstack любой участник проекта может удалить что-либо с панели управления?

Question

Openstack любой участник проекта может удалить что-либо с панели управления?

Только что установил Openstack Victoria. Использовал предыдущую версию. По какой-то причине у меня возникли некоторые проблемы с поиском в Интернете этого вопроса.

По существу: пользователи, имеющие роль «участников» проекта, могут удалять все в этом проекте, включая элементы, добавленные ролью администратора (например, маршрутизаторы, сети, изображения просмотра).

Подробнее: я создаю проект «myproject» и пользователя «myuser». Я добавляю «myuser» к роли «участники» и вхожу в панель управления Horizon. Этот пользователь может запускать экземпляры, все в порядке. Однако позже я случайно понял, что этот пользователь может удалять маршрутизаторы, сети, изображения просмотра и вообще все, что есть в проекте. Это не то поведение, которого я желаю.

Я не уверен, что это было поведение по умолчанию для предыдущей установки openstack, но как мне предотвратить такое поведение сейчас (например, я хочу добавлять пользователей в проект и дать им возможность запускать экземпляры, но НЕ иметь возможности удалить изображения взгляда, сети, маршрутизаторы и т. д.). По какой-то причине мне трудно найти это в Интернете.

Примечание. Я только что нашел эту старую запись , в которой описывается, как запретить пользователю 1 удалять экземпляр пользователя 2. Но это только примеры.

0

openstack openstack-keystone

Источник

number9 21 фев '21 в 20:45

1 ответ

Другие вопросы по тегам openstack openstack-keystone

number9 22 фев '21 в 12:01 2021-02-22 12:01 · Answer 1 · 2021-02-22 12:01

Этот ответ на самом деле является благодарностью Берндбаушу, который указал мне правильное направление:

В комментариях Берндбауш сослался на руководство по настройке Nova . Как и большинство документов Openstack, он на самом деле устарел, о чем свидетельствует предупреждение вверху. На этой странице есть короткий раздел политики, который также приведет вас на страницу концепций политики (я изменил оба URL-адреса, чтобы они указывали на Victoria, поскольку по умолчанию в URL-адресе openstack указано «последний», который НЕ указывает на последний релиз).

Страница с концепциями политики находится по ссылке .

По сути, решение состоит в том, что вы все равно можете писать файлы политики, как указывает Берндбауш, и у nova есть файл политики по умолчанию, создаваемый при установке, который находится здесь . Обратите внимание, что в верхней части этой страницы политика также доступна в формате JSON.

Политику можно изменить в этом файле или, прочитав страницу концепций, на которую я ссылался выше, можно фактически использовать некоторые встроенные роли чтения системы и чтения участников, но я не уверен на 100%, как переключаться между ролями на лету, однако , изменение политики приведет меня туда, куда я хочу.