Ограничить область действия пользователя проектом в openstack
У меня есть настройка облака openstack victoria. Я использую политику Keystone по умолчанию и не вносил в эту политику никаких изменений.
Я создал тестовые имена пользователей testuser в openstack. Я назначил ему основной проект в качестве тестового проекта и роль администратора. Но когда я вхожу в систему как testuser, я также могу получить доступ к проекту администратора. Похоже, мои возможности не ограничиваются тестовым проектом.
Согласно документации
https://docs.openstack.org/keystone/latest/admin/service-api-protection.html
Администраторы проекта могут просматривать и изменять данные только в рамках проекта, на который у них есть полномочия. Они могут просматривать информацию о своих проектах и устанавливать теги для своих проектов. Им не разрешено просматривать ресурсы системы или домена, поскольку это нарушит правила назначения их ролей. Поскольку большинство ресурсов в API Keystone зависят от системы и домена, администраторы проектов не имеют особых полномочий.
openstack role assignment list --names --project testproject --role admin
+-------+------------------+-------+---------------------+--------+--
| Role | User | Group | Project | Domain | System | Inherited |
+-------+------------------+-------+---------------------+--------+--
| admin | testuser@Default | | testproject@Default | | | False |
+-------+------------------+-------+---------------------+--------+--
# openstack role assignment list --names --project admin
+-------+---------------+-------+---------------+--------+--------+--
| Role | User | Group | Project | Domain | System | Inherited |
+-------+---------------+-------+---------------+--------+--------+--
| admin | admin@Default | | admin@Default | | | False |
+-------+---------------+-------+---------------+--------+--------+--
Что мне следует сделать, чтобы ограничить пользователя рамками назначенного ему основного проекта?