Neutron API 策略和支持的角色¶
作为 一致 且 安全 的 默认 RBAC 社区目标 [1] Neutron 在 Neutron 代码中定义的所有 API 策略中实现了对各种范围和角色的支持。
默认 Neutron API 策略支持的角色¶
默认 Neutron API 策略支持的角色如下:
PROJECT_READER - 此角色旨在对项目拥有的资源具有只读访问权限。
PROJECT_MEMBER - 此角色继承 PROJECT_READER 角色的所有权限,并且还可以访问
创建、更新和删除项目拥有的资源。PROJECT_MANAGER - 此角色继承 PROJECT_MEMBER 角色的所有权限,并且还可以对项目拥有的资源执行更多操作。
ADMIN - 此角色与“旧”默认策略中的角色相同。授予 ADMIN 角色的用户可以对所有资源进行几乎所有可能的修改,甚至包括属于不同项目的资源。
SERVICE - 这是一个特殊角色,设计用于仅用于服务之间的通信,例如 Nova 和 Neutron 之间。它不从任何其他上述角色继承任何权限。
Neutron 中定义的默认 API 策略¶
默认情况下,所有现有的 API 策略只能与 项目 范围的令牌一起使用。服务 范围的令牌不被 Neutron 代码中定义的任何策略支持。
默认 API 策略¶
Neutron 代码中定义的默认 API 策略可以在 策略参考 文档中找到。
