OpenStack Keystone (2): 角色权限管理
2018-03-27 07:21
483 查看
Keystone中角色(role上)的存在就是为了控制不同的用户所拥有的权限,例如是否可以创建volume,是否能够创建computer等等。
在OpenStack中不同角色权限的控制在文件/etc/SERVICE_NAME/policy.json中设置,例如文件/etc/nova/policy.json中指定不同角色对计算服务的访问策略和权限,文件/etc/glance/policy.json中指定不同角色对镜像服务的访问策略和权限,同样文件/etc/keystone/policy.json中指定不同角色对身份认证服务的访问策略和权限。
例如,在文件/etc/cinder/policy.json中,下面的配置并没有限制哪一个用户可以创建volume"volume:create": "",任何在相应project中的用户都可以在project中创建volume。
如果我们想要限制只能是某种角色的用户才可以创建volume,可以这样做:"volume:create": "role:engineer",如上的配置就限制了只有engineer角色的用户才可以创建volume。注意,所有的限制都是在特定的project中执行。
其实policy.json文件就是配置了不同角色对于给定的API的访问控制权限,
参考资料:
Identity concepts
Identity API protection with role-based access control (RBAC)
在OpenStack中不同角色权限的控制在文件/etc/SERVICE_NAME/policy.json中设置,例如文件/etc/nova/policy.json中指定不同角色对计算服务的访问策略和权限,文件/etc/glance/policy.json中指定不同角色对镜像服务的访问策略和权限,同样文件/etc/keystone/policy.json中指定不同角色对身份认证服务的访问策略和权限。
例如,在文件/etc/cinder/policy.json中,下面的配置并没有限制哪一个用户可以创建volume"volume:create": "",任何在相应project中的用户都可以在project中创建volume。
如果我们想要限制只能是某种角色的用户才可以创建volume,可以这样做:"volume:create": "role:engineer",如上的配置就限制了只有engineer角色的用户才可以创建volume。注意,所有的限制都是在特定的project中执行。
其实policy.json文件就是配置了不同角色对于给定的API的访问控制权限,
参考资料:
Identity concepts
Identity API protection with role-based access control (RBAC)
相关文章推荐
- openstack-keystone中的权限管理理解
- 权限管理:RBAC(基于角色的访问控制)SpringMVC实现
- 权限管理之添加用户同时设置角色
- 基于角色管理(RBAC)的权限系统
- 有关角色权限管理以及自动附加数据库的程序源代码
- ASP.NET MVC:窗体身份验证及角色权限管理示例
- 学习MVC之租房网站(五)-权限、角色、用户管理
- 权限管理——基于角色的访问
- Oracle用户、权限、角色管理
- 权限管理(给予角色)
- ASP.NET MVC4.0+EF+LINQ+bui+bootstrap+网站+角色权限管理系统(2)
- Oracle用户、权限、角色管理
- 创建数据库动态管理用户、角色、权限和资源服务
- ASP.NET MVC+EF框架+EasyUI实现权限管理系列(21)-用户角色权限基本的实现说明
- 从零开始——基于角色的权限管理01
- oracle 用户 角色 权限管理 新手村攻略
- sql server2005安全管理之用户、角色、架构 与 权限
- Oracle12c多租户管理用户、角色、权限
- Oracle用户,权限,角色以及登录管理
- Oracle用户、权限、角色管理