openstack-keystone中的权限管理理解

1）endpoint即提供服务的地址，服务(service)是个抽象的概念,endpoint需要绑定在service上;

2）权限即是否被允许访问openstack中某些服务；

3）角色代表一系列的权限；

4）用户需要绑定在相应的角色上，才能拥有这个角色的权限；

5）用户可以属于一个或者多个租户，用户在同一个租户中可以有一个或者多个角色；

以下摘自网络资源：

Keystone基本概念介绍

1. User
User即用户，他们代表可以通过keystone进行访问的人或程序。Users通过认证信息（credentials，如密码、APIKeys等）进行验证。
2. Tenant
Tenant即租户，它是各个服务中的一些可以访问的资源集合。例如，在Nova中一个tenant可以是一些机器，在Swift和Glance中一个tenant可以是一些镜像存储，在Quantum中一个tenant可以是一些网络资源。Users默认的总是绑定到某些tenant上。
3. Role
Role即角色，Roles代表一组用户可以访问的资源权限，例如Nova中的虚拟机、Glance中的镜像。Users可以被添加到任意一个全局的或租户内的角色中。在全局的role中，用户的role权限作用于所有的租户，即可以对所有的租户执行role规定的权限；在租户内的role中，用户仅能在当前租户内执行role规定的权限。
4. Service
Service即服务，如Nova、Glance、Swift。根据前三个概念（User，Tenant和Role）一个服务可以确认当前用户是否具有访问其资源的权限。但是当一个user尝试着访问其租户内的service时，他必须知道这个service是否存在以及如何访问这个service，这里通常使用一些不同的名称表示不同的服务。在上文中谈到的Role，实际上也是可以绑定到某个service的。例如，当swift需要一个管理员权限的访问进行对象创建时，对于相同的role我们并不一定也需要对nova进行管理员权限的访问。为了实现这个目标，我们应该创建两个独立的管理员role，一个绑定到swift，另一个绑定到nova，从而实现对swift进行管理员权限访问不会影响到Nova或其他服务。
5. Endpoint
Endpoint，翻译为“端点”，我们可以理解它是一个服务暴露出来的访问点，如果需要访问一个服务，则必须知道他的endpoint。因此，在keystone中包含一个endpoint模板（endpointtemplate，在安装keystone的时候我们可以在conf文件夹下看到这个文件），这个模板提供了所有存在的服务endpoints信息。一个endpointtemplate包含一个URLs列表，列表中的每个URL都对应一个服务实例的访问地址，并且具有public、private和admin这三种权限。publicurl可以被全局访问（如http://compute.example.com），privateurl只能被局域网访问（如http://compute.example.local），adminurl被从常规的访问中分离。