openstack的role到底怎么用

已于 2023-09-20 10:51:43 修改
阅读量716 收藏 1
点赞数
文章标签: openstack
于 2023-08-17 17:14:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyachong138/article/details/132345469
版权

openstack权限

role:角色,在Openstack的keystone数据库中定义,表示一个角色。

rule: 规则,在Policy.yaml中定义,表示一个或多个role的集合。比如在nova中,rule用两种用法

  • 定义role为rule,如nova中最常用的管理员定义"context_is_admin": "role:admin",context_is_admin就变成了一个新的rule
  • 套娃式定义, 比如对member类型的定义"project_member_api": "role:member and project_id:%(project_id)s""rule:admin_or_owner": "rule:project_member_api"这两条,就是典型的套娃式。

policy: 政策,也在Policy.yaml中定义, 如"os_compute_api:os-admin-actions:reset_state": "rule:context_is_admin", 这里面的os_compute_api:os-admin_actions:reset_state就是nova的一个api访问权限控制,即这个policy是可以被管理员进行操作的。即role=admin的角色 。

自定义rule/role

现在我们有一个需求,即一些非管理员也需要获取到一些管理员的权限,来查看一些系统的基本数据 。

创建role

创建一个新的role(access_admin),并且与我们的非管理员租户(business)中的用户(business_user1)进行关联。


# 创建role 
root@controller01:~# openstack role create access_admin
+-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description | None                             |
| domain_id   | None                             |
| id          | 2c012da76e0a45929034a70640411ab8 |
| name        | access_admin                     |
| options     | {}                               |
+-------------+----------------------------------+

# 关联role到user(project)中
root@controller01:~# openstack role add  --project business --user business_user1 access_admin 


# 查看role 
root@controller01:~# openstack role list 
+----------------------------------+------------------+
| ID                               | Name             |
+----------------------------------+------------------+
| 0517df1ed58d460289a6dbeae696a023 | heat_stack_owner |
| 2c012da76e0a45929034a70640411ab8 | access_admin     |
| 3b6048bc5dad41a6bde44113de19bc1e | _member_         |
| 6ef8db43497e47caba0f9a25c60b70eb | admin            |
| 8045e17fa24f459dbe46ca283f09c997 | member           |
| d4bb27a44f084b3fbf4d4b65fa26f99a | reader           |
+----------------------------------+------------------+


# 查看user的详细信息
openstack role assignment list  --user business_user1 -f json 
[
  {
    "Role": "2c012da76e0a45929034a70640411ab8",   //access_admin
    "User": "dd921ee91c564e9ab84a7bc603d240c7",
    "Group": "",
    "Project": "e45d946471044d04b9966e295b6c53c9", //
    "Domain": "",
    "System": "",
    "Inherited": false
  },
  {
    "Role": "3b6048bc5dad41a6bde44113de19bc1e",   //_member_
    "User": "dd921ee91c564e9ab84a7bc603d240c7",
    "Group": "",
    "Project": "e45d946471044d04b9966e295b6c53c9",
    "Domain": "",
    "System": "",
    "Inherited": false
  }
]

policy.yaml中添加rule

在nova的Policy.yaml中添加role为rule:access_admin

"access_admin": "role:access_admin"
#"privileges_admin": "rule:context_is_admin or rule:access_admin"  #可以用这种套娃的方式
#"os_compute_api:os-aggregates:index": "rule:privileges_admin"
"os_compute_api:os-aggregates:index": "rule:context_is_admin or rule:access_admin"  //aggregate访问
"os_compute_api:os-services:list": "rule:context_is_admin or rule:access_admin"   //os-service访问
"os_compute_api:os-aggregates:add_host": "rule:context_is_admin or rule:access_admin"   //aggregate添加主机
"os_compute_api:os-aggregates:remove_host": "rule:context_is_admin or rule:access_admin"   //aggregate移出主机

总结

一个user可以关联多个role,并且拥有这个role所拥有的权限,而这个role有什么权限,则是在各个Openstack组件的policy.yaml中定义

openstackrole
JYao
06-03 5481
一、role简介   从《openstack之tenant篇》我们知道,一个用户可以同时属于多个tenant,根据openstack.org里对role的定义,role规定了一个用户能够实现的行为。这个定于似乎稍显神秘,其实从管理用户使用的角度来说,role是和tenant息息相关的,一个用户想要加入另一个tenant,必须借助于role来完成,而由于tenant规定了其成员的行为规范,所以ro
openstack的使用
a_azy_dog的博客
11-24 388
首先启动服务: source /etc/keystone/admin-openrc.sh 创建用户: (并不是一定这个格式密码–password可不写。邮箱–email可不写。域名–domain可不写。) openstack user create --password 000000 --email cod@example.com --domain demo kop 创建项目需要project create用到 : openstack project create --domain demo cko 创建角
openstack
vhkgcf的博客
05-21 544
主机: [root@foundation20 mnt]# cd /var/www/html/ [root@foundation20 html]# ls docker rhel6.5 rhel7.3 [root@foundation20 html]# lftp 172.25.254.250 lftp 172.25.254.250:~> cd pub/ lftp 172.25.254...
openstack Horizon的user/project/role/group
jason的笔记
09-23 1178
Horizon 在 Identity->Users 管理 User 针对每个user的操作如下: Project 用于将 计算、存储和网络等资源进行分组和隔离 Horizon 在 Identity->project 管理 project 针对每个project的操作如下: openstack中的quota 调试对资源的限制,其有一组默认值
openstack keystone role API详解
ztejiagn的专栏
03-15 1020
以下为keystone 角色相关的API详解: ########################################### # version: v1.0.0 # author : Qinglong Meng # date   : 2013-3-4 ########################################### 1. role
OpenStack(2)--项目(租户)、用户、角色
weixin_48878440的博客
06-21 3638
openstack项目、租户、用户、角色之间的关系,openstack新建项目,openstack新建用户,openstack新建角色,openstack用户绑定项目与角色
openstack policy机制
wuyongpeng的专栏
08-11 2490
一、什么是policy policy策略,是OpenStack用来约束不同等级用户的操作权限,用于自定义权限管理的一种机制。 二、为什么要用policy 1、基于keystone理解policy Keystone中有User(用户)、Project(租户)、role(角色)三个概念,使用基本流程为: 1)创建租户 2)创建用户 3)创建角色 4)给用户和租户赋予角色 赋予角色之后,角色还只是一个空的概念定义,没有实际意义。真正限制用户角色执行具体action操作的,是policy.json.
openstack role delete admin 怎么通过openstack加回来
11-28
OpenStack是一个开源的云计算平台,它并不直接提供`role delete admin`这样的命令,因为"admin"通常是管理员角色,在OpenStack中,你管理用户和角色通常会使用Keystone服务,它是身份和访问管理系统。 如果你误删了...
openstack-openstack认证服务-练习
最新发布
11-29
角色的管理则涉及openstack role create命令创建新角色,openstack role list命令列出所有角色,openstack role show命令显示指定角色的详细信息,openstack role add命令将角色分配给用户或项目,openstack role ...
[root@controller ~]# openstack role create user Missing value auth-url required for auth plugin password
10-31
`openstack role create user` 是用于在OpenStack Identity服务(Keystone)中创建用户角色的命令。错误提到 `auth-url required for auth plugin password`,意味着在执行此操作时,需要提供认证URL(通常指`auth_...
项目四 OpenStack身份管理
m0_64148419的博客
06-19 694
策略控制某一个用户权限,规定用户能执行什么操作,不能执行什么操作。服务时,该服务的策略引擎使用合适的策略定义来决定是否接受该调用。在删除用户账户之前,必须从该用户的主项目中删除该用户账户。中创建相应的项目、用户和角色并进行关联,然后创建服务目录。用户、域和项目来说,作用域常常是指实体的所属。当前的项目列表,云管理员可以查看所有的项目。的角色,属于该角色的用户都不被允许创建堆栈。)来确定,指定用户要访问的资源(域或项目)采用别名,别名是复杂或难懂的规则的一个名称。当前的项目列表,该用户可以访问两个项目。
openstack—身份管理】
weixin_45093078的博客
04-21 4177
目录 前言 domain 域 project 项目 user 用户 group 用户组 role 角色 前言 在openstack中身份管理由keystone组件完成。其中涉及域、项目、用户、用户组、角色的相关概念。本文结合openstack的图形化界面来学习相关概念,便于理解。 domain 域 域(domain)是认证边界,通常一个openstack平台不需要创建域,因为keystone本身就有一个默认的域,名为Default。项目、用户、用户组、角色都包含在域中。 ...
openstack 常用命令回顾及总结
流金岁月的专栏
01-31 8964
openstack 常用命令
keystone服务运维
qq_51085767的博客
11-26 700
keystone 服务运维 命令使用之前需要 先运行环境变量 #source /etc/keystone/admin-openrc.sh 二、用户的相关命令(user) (1)显示用户列表 #openstack user list (2)创建用户 openstack user create –password 密码 –email 邮箱 –domain 域 其后跟用户名 #openstack user create --password 000000 --email 123@qq.com --doma
openstack的 oslo_policy的权限验证简单分析
linyonghui1213的专栏
09-05 1743
openstack中,权限校验的是通过oslo_policy的进行权限的校验,本文主要基于 newton版本的olso_policy进行简单的说明。 policy配置文件内容 { "context_is_admin": "role:admin", "admin_or_owner": "is_admin:True or project_id:%(project_id)s",
openstack基本命令小结
Tiko的博客
12-06 4116
openstack命令小结
openstack的用户(user), 租户(tenant), 角色(role)概念区分
热门推荐
abc1235678的博客
07-19 3万+
作者为openstack初学者,本文为自己的学习笔记,不足之处欢迎指出和讨论。   目标读者:openstack初学者 文章先给出定义,再举例说明三者的关系   用户身份管理有三个主要的概念: 用户Users租户Tenants角色Roles 1. 定义 这三个概念的openstack官网定义(点击打开链接) 1.1 用户(User) openstack官网定义User为
openstack详解(八)——Keystone域、项目、用户和角色的创建
永远是少年
06-02 9258
今天继续给大家介绍Linux运维相关知识,本文主要内容是openstack Keystone基本配置。 一、Openstack Keystone配置环境变量 二、Openstack命令帮助 三、域、项目、用户和角色的创建
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值