机制介绍:
glance提供了一种机制,可以对镜像的自定义属性的读写等操作进行自定义的权限控制。
对于一个自定义属性,glance定义了4种操作:增删改查,对于每个属性的每一种操作,用户都可以定义不同的权限范围。
对于属性的定义,glance支持正则表达式匹配。
对于属性操作,glance定义了4种:增删改查。
对于操作权限的定义,有两种方式可以让用户配置:roles和policies。
roles方式可以定义一个操作所限定的角色列表。
policies方式可以定义一个操作所限定的policy,这个policy是定义在policy.json中的。这种方式的灵活性更大,可以定义role,tenant等。(以下以roles为例)。当然复杂性更高。
----用户接口:
配置项:
property_protection_file property_protection配置文件,如果不为空,则glance即启用属性保护机制;为空则省略属性保护机制。
property_protection_rule_format 可取值为:roles,policies。
roles类型的配置文件格式:
[^x_.*]
create = admin,member
read = admin,member
update = admin,member
delete = admin,member
[.*]
create = admin
read = admin
u