openstack的role到底怎么用

openstack_0">openstack权限

role：角色，在Openstack的keystone数据库中定义，表示一个角色。

rule: 规则，在Policy.yaml中定义，表示一个或多个role的集合。比如在nova中，rule用两种用法

定义role为rule,如nova中最常用的管理员定义"context_is_admin": "role:admin"，context_is_admin就变成了一个新的rule
套娃式定义，比如对member类型的定义"project_member_api": "role:member and project_id:%(project_id)s"和"rule:admin_or_owner": "rule:project_member_api"这两条，就是典型的套娃式。

policy: 政策，也在Policy.yaml中定义，如"os_compute_api:os-admin-actions:reset_state": "rule:context_is_admin"，这里面的os_compute_api:os-admin_actions:reset_state就是nova的一个api访问权限控制，即这个policy是可以被管理员进行操作的。即role=admin的角色。

自定义rule/role

现在我们有一个需求，即一些非管理员也需要获取到一些管理员的权限，来查看一些系统的基本数据。

创建role

创建一个新的role(access_admin),并且与我们的非管理员租户（business)中的用户（business_user1)进行关联。


# 创建role 
root@controller01:~# openstack role create access_admin
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description | None                             |
| domain_id   | None                             |
| id          | 2c012da76e0a45929034a70640411ab8 |
| name        | access_admin                     |
| options     | {}                               |
+-------------+----------------------------------+

# 关联role到user(project)中
root@controller01:~# openstack role add  --project business --user business_user1 access_admin 


# 查看role 
root@controller01:~# openstack role list 
+----------------------------------+------------------+
| ID                               | Name             |
+----------------------------------+------------------+
| 0517df1ed58d460289a6dbeae696a023 | heat_stack_owner |
| 2c012da76e0a45929034a70640411ab8 | access_admin     |
| 3b6048bc5dad41a6bde44113de19bc1e | _member_         |
| 6ef8db43497e47caba0f9a25c60b70eb | admin            |
| 8045e17fa24f459dbe46ca283f09c997 | member           |
| d4bb27a44f084b3fbf4d4b65fa26f99a | reader           |
+----------------------------------+------------------+


# 查看user的详细信息

[
  {
    "Role": "2c012da76e0a45929034a70640411ab8",   //access_admin
    "User": "dd921ee91c564e9ab84a7bc603d240c7",
    "Group": "",
    "Project": "e45d946471044d04b9966e295b6c53c9", //
    "Domain": "",
    "System": "",
    "Inherited": false
  },
  {
    "Role": "3b6048bc5dad41a6bde44113de19bc1e",   //_member_
    "User": "dd921ee91c564e9ab84a7bc603d240c7",
    "Group": "",
    "Project": "e45d946471044d04b9966e295b6c53c9",
    "Domain": "",
    "System": "",
    "Inherited": false
  }
]

policy.yaml中添加rule

在nova的Policy.yaml中添加role为rule:access_admin

"access_admin": "role:access_admin"
#"privileges_admin": "rule:context_is_admin or rule:access_admin"  #可以用这种套娃的方式
#"os_compute_api:os-aggregates:index": "rule:privileges_admin"
"os_compute_api:os-aggregates:index": "rule:context_is_admin or rule:access_admin"  //aggregate访问
"os_compute_api:os-services:list": "rule:context_is_admin or rule:access_admin"   //os-service访问
"os_compute_api:os-aggregates:add_host": "rule:context_is_admin or rule:access_admin"   //aggregate添加主机
"os_compute_api:os-aggregates:remove_host": "rule:context_is_admin or rule:access_admin"   //aggregate移出主机

总结

一个user可以关联多个role，并且拥有这个role所拥有的权限，而这个role有什么权限，则是在各个Openstack组件的policy.yaml中定义