OpenStack J版本 policy.json限制用户action权限

最新推荐文章于 2022-06-23 10:29:48 发布
最新推荐文章于 2022-06-23 10:29:48 发布
阅读量3.5k 收藏 1
点赞数
分类专栏: OpenStack 文章标签: openstack policy.json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfqiannian/article/details/49306691
版权
OpenStack J版本 policy.json限制用户action权限

首先,我们知道在keystone中有User(用户)、Project(租户)、role(角色)三个概念。
keystone命令与模型的对应关系:
1.创建租户


2.创建用户



3.创建角色


4.将角色给用户和租户


其中actor_id表示用户id,target_id表示租户id


只是这样,权限并没有限制住。。。。


其实在OpenStack中,真正限制用户action操作的是policy.json文件,每一个模块都有这样一个文件,在/ect/模块名/下
打开/etc/nova下的policy.json来看:


左侧代表左右域和域内的action,右侧代表一个策略,只有当用户通过这个策略之后,才具有左侧action的操作权限
这个策略目前包含三种:role型、rule型、generic型。
role型如:"role:admin";
rule型如:"admin_or_owner"
generic型如:"is_admin:True or project_id:%(project_id)s"


下面以创建虚拟机为例,看policy流程:
开始在/usr/lib/python2.7/site-packages/nova/compute/api.pi中







进入/usr/lib/python2.7/site-packages/nova/policy.py的






/usr/lib/python2.7/site-packages/nova/openstack/common下的policy.py下的enforce方法

接下来加载规则,找policy地址,检测policy.json是否修改过,是否重新读取policy.json文件并解析
此py中还包含Rules类以及各种Check类

实验将/etc/nova/policy.json中的"compute:create": "",改为"compute:create": "role:admin",
source demo-openrc.sh
用nova命令创建虚拟机

无法创建:权限不够

或者使用dashboard来验证
使用demo用户登录

湛岚
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Openstack修改policy.json后出现问题解决
yzg2010a的专栏
09-19 2091
为了能够自定义制定权限管理,
openstack_rpm.tar.gz
04-09
openstack二进制tar包
openstack policy机制
wuyongpeng的专栏
08-11 2155
一、什么是policy policy策略,是OpenStack用来约束不同等级用户的操作权限,用于自定义权限管理的一种机制。 二、为什么要用policy 1、基于keystone理解policy Keystone中有User(用户)、Project(租户)、role(角色)三个概念,使用基本流程为: 1)创建租户 2)创建用户 3)创建角色 4)给用户和租户赋予角色 赋予角色之后,角色还只是一个空的概念定义,没有实际意义。真正限制用户角色执行具体action操作的,是policy.json.
openstack policy 鉴权过程分析
wenwenxiong的专栏
05-30 1646
openstack 鉴权简单介绍 众所周知,openstack通过keystone用来完成authenticate(认证),真正的鉴权(authorize)是在各个模块分别做的,具体实现为每个模块都有一个policy文件,叫policy.json,里面定义了鉴权用的rules。 以nova为例,policy文件的位置在:/etc/nova/policy.json,下面先来看几条rules,了解其
openstack nova 基础知识——policy
热门推荐
成长的足迹
11-30 1万+
终于到了可以总结的时候了,policy本身的实现机制并不难,对我来说,难就难在python语法上,policy用到了很多高级的语法,逻辑性比较复杂,要理清其中的关系,还是要费一番功夫的。为此,还总结了另一篇blog,介绍了一下policy中用到的较为经典的语法。 1. 首先还是先来了解一下什么是policy,它是用来做什么的 在openstack用户管理中,有三个概念:Users
Keystone policy文件介绍
实践求真知
03-18 984
policy.json文件截图二 文件内容该文件描述的是执行某一个命令需要的权限。[root@controller0 ~]# cat /etc/keystone/policy.json { "admin_required": "role:admin or is_admin:1", "service_role": "role:service", "service_or_a...
openstack API创建用户.txt
11-28
调用openstack api接口创建用户
OpenStack-R版本.pdf
01-13
OpenStack是一个开源的云计算管理平台项目,OpenStack支持几乎所有类型的云环境,项目目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。OpenStack通过各种互补的服务提供了基础设施即服务(IaaS...
openstack_rocky.tar.gz
10-21
"OpenStack_Rocky"是OpenStack的第18个版本,发布于2018年,它带来了许多新特性和改进,旨在提升性能、稳定性和用户体验。 在OpenStack_Rocky版本中,包含了以下关键组件: 1. **Nova**:Nova是OpenStack的核心...
Openstack用户使用手册.docx
02-14
OpenStack 是一个开源的云计算平台,它提供了基础设施即服务(IaaS)的功能,让用户能够创建、管理和调度虚拟机和其他计算资源。Horizon 是 OpenStack 的一个关键组件,它是一个基于 Web 的用户界面,用于交互式地...
openstack-policy-editor:适用于OpenStack的Casbin策略编辑器
05-22
新闻:请参阅我们称为Casdoor的最新Casbin仪表板: : Casbin Web UI 用于Casbin的门户和RESTful API: ://cloud.casbin.org/ 原料药 GET /tenants :获取所有租户,每个租户都有一个ID和一个名称。 GET /tenants/<TENANT> :获取租户<TENANT>的metadata.json 。 GET /tenants/<TENANT>/policies/<POLICY> :获取租户<TENANT>的xxx.csv策略。 POST /tenants/<TENANT> :为租户<TENANT>设置metadata.json 。 POST /tenants/<TENANT>/policies/<POLICY> :
openstack】Nova中的policy
代码改变世界
11-10 304
  Nova中的policy 本博客欢迎转发,但请保留原作者(@孔令贤HW)信息!内容系本人学习、研究和总结,如有雷同,实属荣幸!任何对外暴露接口的系统,都必须有分权分域以及认证鉴权的功能。在openstack中,keystone组件用来对用户进行认证,说白了就是看用户是否是系统的合法用户,而policy机制则主要看用户的操作是否满足特定的条件,比如一些接口是特权接口(仅限管理员使用),...
openstack-policy鉴权
weixin_33863087的博客
08-18 175
2019独角兽企业重金招聘Python工程师标准>>> ...
OpenStack公共组件(一)oslo_policy policy
cuibin1991的专栏
07-02 384
通用策略引擎实现 策略表示为一个目标和一个关联的规则: "<target>": <rule> 目标特定于执行策略实施的服务。通常,目标引用一个API调用。 策略部分,参见策略规则表达式。 1.策略规则表达式 策略规则可以用两种形式之一表示:用新策略语言编写的字符串或列表。字符串格式是首选的,因为它对大多数人来说更容易理解。 在策略语言中,每个检查被指定为一个简单的“a:b”对,它匹配到执行该检查的正确类: 类型 语法 用户角色 role:admin
OpenStack学习笔记(一)
m0_51734025的博客
06-23 1041
基于OpenStack设计与实现书籍内容笔记:了解最原始的初始化虚拟化技术:允许多个用户远程共享同一高性能计算设备的时间了解了虚拟化技术的初衷:使昂贵的大型资源得到尽可能的充分利用云计算的三种模式:公有云、私有云和混合云扩展了解:1、公有云:面向大众提供资源的服务;用户通过互联网来获取这些资源的使用;优势:成本低,扩展性非常好缺点:对于云端的资源缺乏控制、保密数据的安全性、网络性能和匹配性问题2、私有云:“私有”更多是指此类平台属于非共享资源,而非指其安全优势。私有云是为了一个客户单独使用而构建的,所以这些

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值