领域管理器用法

以下章节描述了具有领域范围内的 manager 角色的领域管理器用户可用的操作。此角色赋予用户在领域内的自助服务能力,包括用户、项目和组管理以及角色分配。此功能从 Keystone 的 2024.2 版本开始可用。

管理领域内的用户

在领域内创建用户

openstack user create --domain $DOMAIN $USER_NAME

注意

显式领域作用域仅适用于“user create”命令,任何其他以用户为中心命令,如“user set”或“user delete”都不需要“--domain”标志,并且对于领域管理器会自动作用域到该领域。

管理领域内的项目

在领域内创建项目

openstack project create --domain $DOMAIN $PROJECT_NAME

注意

显式领域作用域仅适用于“project create”命令,任何其他以项目为中心命令,如“project set”或“project delete”都不需要“--domain”标志,并且对于领域管理器会自动作用域到该领域。

删除项目

请注意,在删除项目之前,请确保属于该项目的所有云资源(服务器、卷等)已事先删除。否则,这些资源可能会变成孤立且无法访问,需要管理员介入才能解决。

管理领域内的组

在领域内创建组

openstack group create --domain $DOMAIN $GROUP_NAME

注意

显式领域作用域仅适用于“group create”命令,任何其他以组为中心命令,如“group set”或“group delete”都不需要“--domain”标志,并且对于领域管理器会自动作用域到该领域。

管理组成员

将用户添加到组

openstack group add user $GROUP $USER

从组中删除用户

openstack group remove user $GROUP $USER

检查用户是否在组内

openstack group contains user $GROUP $USER

管理领域内的角色分配

警告

领域管理器只能管理可用角色子集。默认情况下,这仅限于 readermembermanager 角色。但是,这可以由云的管理员进行调整。

检查角色分配

可以使用以下命令检查领域内的当前角色分配

openstack role assignment list --names

提示

参数“--names”将显示用户、组、项目、角色和领域的易读名称,而不是 ID。如果对原始 ID 感兴趣,可以省略它。

管理用户角色分配

将角色分配给项目中的用户

openstack role add --project $PROJECT --user $USER $ROLE

将角色分配给域范围内的用户

openstack role add --domain $DOMAIN --user $USER $ROLE

撤销用户在项目级别的角色分配

openstack role remove --project $PROJECT --user $USER $ROLE

撤销用户在域范围内的角色分配

openstack role remove --domain $DOMAIN --user $USER $ROLE

管理组角色分配

将角色分配给项目中的组

openstack role add --project $PROJECT --group $GROUP $ROLE

将角色分配给域范围内的组

openstack role add --domain $DOMAIN --group $GROUP $ROLE

撤销组在项目级别的角色分配

openstack role remove --project $PROJECT --group $GROUP $ROLE

撤销组在域范围内的角色分配

openstack role remove --domain $DOMAIN --group $GROUP $ROLE