Nova 策略¶
以下是 Nova 中所有可用策略的概述。
警告
自 Nova 22.0.0 (Victoria) 起,JSON 格式的策略文件已被弃用。请使用 YAML 格式的文件。使用 oslopolicy-convert-json-to-yaml 工具以向后兼容的方式将现有的 JSON 转换为 YAML 格式的策略文件。
有关示例配置文件,请参阅 示例 Nova 策略文件。
nova¶
context_is_admin- 默认值:
role:admin
确定 ‘is_admin:True’ 检查是否成功的必要条件。
admin_or_owner- 默认值:
is_admin:True 或 project_id:%(project_id)s
大多数非管理员 API 的默认规则。
admin_api- 默认值:
is_admin:True
大多数管理员 API 的默认规则。
project_manager_api- 默认值:
role:manager and project_id:%(project_id)s
项目级别管理 API 的默认规则。
project_member_api- 默认值:
role:member 且 project_id:%(project_id)s
项目级别非管理员 API 的默认规则。
project_reader_api- 默认值:
role:reader 且 project_id:%(project_id)s
项目级别只读 API 的默认规则。
service_api- 默认值:
role:service
服务到服务 API 的默认规则。
project_manager_or_admin- 默认值:
rule:project_manager_api or rule:context_is_admin
项目经理或管理员 API 的默认规则。
project_member_or_admin- 默认值:
rule:project_member_api or rule:context_is_admin
项目成员或管理员 API 的默认规则。
project_reader_or_admin- 默认值:
rule:project_reader_api or rule:context_is_admin
项目读取器或管理员 API 的默认规则。
service_or_admin- 默认值:
rule:service_api or rule:context_is_admin
服务或管理员 API 的默认规则。
os_compute_api:os-admin-actions:reset_state- 默认值:
rule:context_is_admin- 操作:
POST
/servers/{server_id}/action (os-resetState)
- 作用域类型:
project
重置给定服务器的状态
os_compute_api:os-admin-actions:inject_network_info- 默认值:
rule:context_is_admin- 操作:
POST
/servers/{server_id}/action (injectNetworkInfo)
- 作用域类型:
project
将网络信息注入服务器
os_compute_api:os-admin-password- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (changePassword)
- 作用域类型:
project
更改服务器的管理员密码
os_compute_api:os-aggregates:set_metadata- 默认值:
rule:context_is_admin- 操作:
POST
/os-aggregates/{aggregate_id}/action (set_metadata)
- 作用域类型:
project
创建或替换聚合的元数据
os_compute_api:os-aggregates:add_host- 默认值:
rule:context_is_admin- 操作:
POST
/os-aggregates/{aggregate_id}/action (add_host)
- 作用域类型:
project
将主机添加到聚合
os_compute_api:os-aggregates:create- 默认值:
rule:context_is_admin- 操作:
POST
/os-aggregates
- 作用域类型:
project
创建聚合
os_compute_api:os-aggregates:remove_host- 默认值:
rule:context_is_admin- 操作:
POST
/os-aggregates/{aggregate_id}/action (remove_host)
- 作用域类型:
project
从聚合中删除主机
os_compute_api:os-aggregates:update- 默认值:
rule:context_is_admin- 操作:
PUT
/os-aggregates/{aggregate_id}
- 作用域类型:
project
更新聚合的名称和/或可用区
os_compute_api:os-aggregates:index- 默认值:
rule:context_is_admin- 操作:
GET
/os-aggregates
- 作用域类型:
project
列出所有聚合
os_compute_api:os-aggregates:delete- 默认值:
rule:context_is_admin- 操作:
DELETE
/os-aggregates/{aggregate_id}
- 作用域类型:
project
删除聚合
os_compute_api:os-aggregates:show- 默认值:
rule:context_is_admin- 操作:
GET
/os-aggregates/{aggregate_id}
- 作用域类型:
project
显示聚合的详细信息
compute:aggregates:images- 默认值:
rule:context_is_admin- 操作:
POST
/os-aggregates/{aggregate_id}/images
- 作用域类型:
project
请求为聚合缓存镜像
os_compute_api:os-assisted-volume-snapshots:create- 默认值:
rule:service_or_admin- 操作:
POST
/os-assisted-volume-snapshots
- 作用域类型:
project
创建辅助卷快照
os_compute_api:os-assisted-volume-snapshots:delete- 默认值:
rule:service_or_admin- 操作:
DELETE
/os-assisted-volume-snapshots/{snapshot_id}
- 作用域类型:
project
删除辅助卷快照
os_compute_api:os-attach-interfaces:list- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/{server_id}/os-interface
- 作用域类型:
project
列出附加到服务器的端口接口
os_compute_api:os-attach-interfaces:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/{server_id}/os-interface/{port_id}
- 作用域类型:
project
显示附加到服务器的端口接口的详细信息
os_compute_api:os-attach-interfaces:create- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/os-interface
- 作用域类型:
project
将接口附加到服务器
os_compute_api:os-attach-interfaces:delete- 默认值:
rule:project_member_or_admin- 操作:
DELETE
/servers/{server_id}/os-interface/{port_id}
- 作用域类型:
project
从服务器分离接口
os_compute_api:os-availability-zone:list- 默认值:
@- 操作:
GET
/os-availability-zone
- 作用域类型:
project
列出不含主机信息的可用区信息
os_compute_api:os-availability-zone:detail- 默认值:
rule:context_is_admin- 操作:
GET
/os-availability-zone/detail
- 作用域类型:
project
列出包含主机信息的详细可用区信息
os_compute_api:os-baremetal-nodes:list- 默认值:
rule:context_is_admin- 操作:
GET
/os-baremetal-nodes
- 作用域类型:
project
列出并显示裸机节点详细信息。
这些 API 是对 Ironic 服务的代理调用,已被弃用。
os_compute_api:os-baremetal-nodes:show- 默认值:
rule:context_is_admin- 操作:
GET
/os-baremetal-nodes/{node_id}
- 作用域类型:
project
显示服务器的操作详细信息。
os_compute_api:os-console-auth-tokens- 默认值:
rule:context_is_admin- 操作:
GET
/os-console-auth-tokens/{console_token}
- 作用域类型:
project
显示给定控制台身份验证令牌的控制台连接信息
os_compute_api:os-console-output- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (os-getConsoleOutput)
- 作用域类型:
project
显示服务器的控制台输出
os_compute_api:os-create-backup- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (createBackup)
- 作用域类型:
project
创建服务器的备份
os_compute_api:os-deferred-delete:restore- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (restore)
- 作用域类型:
project
恢复软删除的服务器
os_compute_api:os-deferred-delete:force- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (forceDelete)
- 作用域类型:
project
在延迟清理之前强制删除服务器
os_compute_api:os-evacuate- 默认值:
rule:context_is_admin- 操作:
POST
/servers/{server_id}/action (evacuate)
- 作用域类型:
project
将服务器从故障主机迁移到新主机
os_compute_api:os-extended-server-attributes- 默认值:
rule:context_is_admin- 操作:
GET
/servers/{id}GET
/servers/detailPUT
/servers/{server_id}POST
/servers/{server_id}/action (rebuild)
- 作用域类型:
project
返回服务器的扩展属性。
此规则将控制一组服务器属性的可见性
OS-EXT-SRV-ATTR:hostOS-EXT-SRV-ATTR:instance_nameOS-EXT-SRV-ATTR:reservation_id(自 microversion 2.3 起)OS-EXT-SRV-ATTR:launch_index(自 microversion 2.3 起)OS-EXT-SRV-ATTR:hostname(自 microversion 2.3 起)OS-EXT-SRV-ATTR:kernel_id(自 microversion 2.3 起)OS-EXT-SRV-ATTR:ramdisk_id(自 microversion 2.3 起)OS-EXT-SRV-ATTR:root_device_name(自 microversion 2.3 起)OS-EXT-SRV-ATTR:user_data(自 microversion 2.3 起)
Microvision 2.75 在
PUT /servers/{server_id}和POST /servers/{server_id}/action (rebuild)API 响应中添加了上述属性,这些属性也受此策略规则控制,就像GET /servers*API 一样。Microversion 2.90 使
OS-EXT-SRV-ATTR:hostname属性对所有用户可用,因此此策略对 microversion 2.90 及更高版本中的该字段没有影响。因此,控制所有 microversion 的此属性的可见性已被弃用,并在未来的版本中删除。os_compute_api:extensions- 默认值:
@- 操作:
GET
/extensionsGET
/extensions/{alias}
- 作用域类型:
project
列出可用的扩展程序,并按别名显示扩展程序信息
os_compute_api:os-flavor-access:add_tenant_access- 默认值:
rule:context_is_admin- 操作:
POST
/flavors/{flavor_id}/action (addTenantAccess)
- 作用域类型:
project
将风味访问权限添加到租户
os_compute_api:os-flavor-access:remove_tenant_access- 默认值:
rule:context_is_admin- 操作:
POST
/flavors/{flavor_id}/action (removeTenantAccess)
- 作用域类型:
project
从租户中删除风味访问权限
os_compute_api:os-flavor-access- 默认值:
rule:context_is_admin- 操作:
GET
/flavors/{flavor_id}/os-flavor-access
- 作用域类型:
project
列出风味访问信息
允许通过 os-flavor-access API 访问具有对风味访问权限的完整租户列表。
os_compute_api:os-flavor-extra-specs:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/flavors/{flavor_id}/os-extra_specs/{flavor_extra_spec_key}
- 作用域类型:
project
显示风味的额外规格
os_compute_api:os-flavor-extra-specs:create- 默认值:
rule:context_is_admin- 操作:
POST
/flavors/{flavor_id}/os-extra_specs/
- 作用域类型:
project
为风味创建额外规格
os_compute_api:os-flavor-extra-specs:update- 默认值:
rule:context_is_admin- 操作:
PUT
/flavors/{flavor_id}/os-extra_specs/{flavor_extra_spec_key}
- 作用域类型:
project
更新风味的额外规格
os_compute_api:os-flavor-extra-specs:delete- 默认值:
rule:context_is_admin- 操作:
DELETE
/flavors/{flavor_id}/os-extra_specs/{flavor_extra_spec_key}
- 作用域类型:
project
删除风味的额外规格
os_compute_api:os-flavor-extra-specs:index- 默认值:
rule:project_reader_or_admin- 操作:
GET
/flavors/{flavor_id}/os-extra_specs/POST
/flavorsGET
/flavors/detailGET
/flavors/{flavor_id}PUT
/flavors/{flavor_id}
- 作用域类型:
project
列出风味的额外规格。从 microversion 2.61 开始,额外规格可能在风味资源的响应中返回。
os_compute_api:os-flavor-manage:create- 默认值:
rule:context_is_admin- 操作:
POST
/flavors
- 作用域类型:
project
Create a flavor
os_compute_api:os-flavor-manage:update- 默认值:
rule:context_is_admin- 操作:
PUT
/flavors/{flavor_id}
- 作用域类型:
project
更新风味
os_compute_api:os-flavor-manage:delete- 默认值:
rule:context_is_admin- 操作:
DELETE
/flavors/{flavor_id}
- 作用域类型:
project
Delete a flavor
os_compute_api:os-floating-ip-pools- 默认值:
@- 操作:
GET
/os-floating-ip-pools
- 作用域类型:
project
列出浮动 IP 池。此 API 已弃用。
os_compute_api:os-floating-ips:add- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (addFloatingIp)
- 作用域类型:
project
将浮动 IP 关联到服务器。此 API 已弃用。
os_compute_api:os-floating-ips:remove- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (removeFloatingIp)
- 作用域类型:
project
从服务器分离浮动 IP。此 API 已弃用。
os_compute_api:os-floating-ips:list- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-floating-ips
- 作用域类型:
project
列出浮动 IP。此 API 已弃用。
os_compute_api:os-floating-ips:create- 默认值:
rule:project_member_or_admin- 操作:
POST
/os-floating-ips
- 作用域类型:
project
创建浮动 IP。此 API 已弃用。
os_compute_api:os-floating-ips:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-floating-ips/{floating_ip_id}
- 作用域类型:
project
显示浮动 IP。此 API 已弃用。
os_compute_api:os-floating-ips:delete- 默认值:
rule:project_member_or_admin- 操作:
DELETE
/os-floating-ips/{floating_ip_id}
- 作用域类型:
project
删除浮动 IP。此 API 已弃用。
os_compute_api:os-hosts:list- 默认值:
rule:context_is_admin- 操作:
GET
/os-hosts
- 作用域类型:
project
列出物理主机。
此 API 已被 os-hypervisors 和 os-services 取代。
os_compute_api:os-hosts:show- 默认值:
rule:context_is_admin- 操作:
GET
/os-hosts/{host_name}
- 作用域类型:
project
显示物理主机。
此 API 已被 os-hypervisors 和 os-services 取代。
os_compute_api:os-hosts:update- 默认值:
rule:context_is_admin- 操作:
PUT
/os-hosts/{host_name}
- 作用域类型:
project
更新物理主机。
此 API 已被 os-hypervisors 和 os-services 取代。
os_compute_api:os-hosts:reboot- 默认值:
rule:context_is_admin- 操作:
GET
/os-hosts/{host_name}/reboot
- 作用域类型:
project
重新启动物理主机。
此 API 已被 os-hypervisors 和 os-services 取代。
os_compute_api:os-hosts:shutdown- 默认值:
rule:context_is_admin- 操作:
GET
/os-hosts/{host_name}/shutdown
- 作用域类型:
project
关闭物理主机。
此 API 已被 os-hypervisors 和 os-services 取代。
os_compute_api:os-hosts:start- 默认值:
rule:context_is_admin- 操作:
GET
/os-hosts/{host_name}/startup
- 作用域类型:
project
启动物理主机。
此 API 已被 os-hypervisors 和 os-services 取代。
os_compute_api:os-hypervisors:list- 默认值:
rule:context_is_admin- 操作:
GET
/os-hypervisors
- 作用域类型:
project
列出所有 hypervisor。
os_compute_api:os-hypervisors:list-detail- 默认值:
rule:context_is_admin- 操作:
GET
/os-hypervisors/details
- 作用域类型:
project
列出包含详细信息的全部 hypervisor
os_compute_api:os-hypervisors:statistics- 默认值:
rule:context_is_admin- 操作:
GET
/os-hypervisors/statistics
- 作用域类型:
project
显示所有计算节点上所有 hypervisor 的摘要统计信息。
os_compute_api:os-hypervisors:show- 默认值:
rule:context_is_admin- 操作:
GET
/os-hypervisors/{hypervisor_id}
- 作用域类型:
project
显示超visor的详细信息。
os_compute_api:os-hypervisors:uptime- 默认值:
rule:context_is_admin- 操作:
GET
/os-hypervisors/{hypervisor_id}/uptime
- 作用域类型:
project
显示超visor的运行时间。
os_compute_api:os-hypervisors:search- 默认值:
rule:context_is_admin- 操作:
GET
/os-hypervisors/{hypervisor_hostname_pattern}/search
- 作用域类型:
project
按超visor主机名模式搜索超visor。
os_compute_api:os-hypervisors:servers- 默认值:
rule:context_is_admin- 操作:
GET
/os-hypervisors/{hypervisor_hostname_pattern}/servers
- 作用域类型:
project
列出与提供的超visor主机名模式匹配的超visor上的所有服务器。
os_compute_api:os-instance-actions:events:details- 默认值:
rule:context_is_admin- 操作:
GET
/servers/{server_id}/os-instance-actions/{request_id}
- 作用域类型:
project
为服务器的操作事件添加“details”键。
只有在通过检查 os_compute_api:os-instance-actions:show 之后才会执行此检查。从 Microversion 2.84 开始,通过 API 暴露了新的字段‘details’,该字段可以包含有关事件失败的更多详细信息。该字段由默认情况下为系统读取器的此策略控制。将‘details’字段对非管理员用户可见有助于了解问题性质(例如,是否可以重试该操作),但另一方面,它可能会泄露有关部署的信息(例如,超visor的类型)。
os_compute_api:os-instance-actions:events- 默认值:
rule:context_is_admin- 操作:
GET
/servers/{server_id}/os-instance-actions/{request_id}
- 作用域类型:
project
为服务器的操作详细信息添加事件详细信息。此检查仅在通过检查 os_compute_api:os-instance-actions:show 之后执行。从 Microversion 2.51 开始,始终包含事件详细信息;如果策略执行通过,则为每个事件提供回溯信息。从 Microversion 2.62 开始,每个事件都包含哈希的主机标识符,如果策略执行通过,则包含主机名称。
os_compute_api:os-instance-actions:list- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/{server_id}/os-instance-actions
- 作用域类型:
project
列出服务器的操作。
os_compute_api:os-instance-actions:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/{server_id}/os-instance-actions/{request_id}
- 作用域类型:
project
显示服务器的操作详细信息。
os_compute_api:os-instance-usage-audit-log:list- 默认值:
rule:context_is_admin- 操作:
GET
/os-instance_usage_audit_log
- 作用域类型:
project
列出所有使用审计。
os_compute_api:os-instance-usage-audit-log:show- 默认值:
rule:context_is_admin- 操作:
GET
/os-instance_usage_audit_log/{before_timestamp}
- 作用域类型:
project
列出在指定时间之前发生的所有服务器上所有计算主机上的使用审计,其中配置了使用审计
os_compute_api:ips:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/{server_id}/ips/{network_label}
- 作用域类型:
project
显示服务器的网络标签的 IP 地址详细信息
os_compute_api:ips:index- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/{server_id}/ips
- 作用域类型:
project
列出分配给服务器的 IP 地址
os_compute_api:os-keypairs:index- 默认值:
(rule:context_is_admin) 或 user_id:%(user_id)s- 操作:
GET
/os-keypairs
- 作用域类型:
project
列出所有密钥对
os_compute_api:os-keypairs:create- 默认值:
(rule:context_is_admin) 或 user_id:%(user_id)s- 操作:
POST
/os-keypairs
- 作用域类型:
project
创建密钥对
os_compute_api:os-keypairs:delete- 默认值:
(rule:context_is_admin) 或 user_id:%(user_id)s- 操作:
DELETE
/os-keypairs/{keypair_name}
- 作用域类型:
project
删除密钥对
os_compute_api:os-keypairs:show- 默认值:
(rule:context_is_admin) 或 user_id:%(user_id)s- 操作:
GET
/os-keypairs/{keypair_name}
- 作用域类型:
project
显示密钥对的详细信息
os_compute_api:limits- 默认值:
@- 操作:
GET
/limits
- 作用域类型:
project
显示当前用户项目的速率和绝对限制
os_compute_api:limits:other_project- 默认值:
rule:context_is_admin- 操作:
GET
/limits
- 作用域类型:
project
显示其他项目的速率和绝对限制。
只有在通过检查 os_compute_api:limits 之后才会执行此策略检查。
os_compute_api:os-lock-server:lock- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (lock)
- 作用域类型:
project
锁定服务器
os_compute_api:os-lock-server:unlock- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (unlock)
- 作用域类型:
project
解锁服务器
os_compute_api:os-lock-server:unlock:unlock_override- 默认值:
rule:context_is_admin- 操作:
POST
/servers/{server_id}/action (unlock)
- 作用域类型:
project
解锁服务器,无论谁锁定了服务器。
只有在通过检查 os_compute_api:os-lock-server:unlock 之后才会执行此检查
os_compute_api:os-migrate-server:migrate- 默认值:
rule:project_manager_or_admin- 操作:
POST
/servers/{server_id}/action (migrate)
- 作用域类型:
project
不指定主机的情况下冷迁移服务器
os_compute_api:os-migrate-server:migrate:host- 默认值:
rule:context_is_admin- 操作:
POST
/servers/{server_id}/action (migrate)
- 作用域类型:
project
将服务器冷迁移到指定的宿主机
os_compute_api:os-migrate-server:migrate_live- 默认值:
rule:project_manager_or_admin- 操作:
POST
/servers/{server_id}/action (os-migrateLive)
- 作用域类型:
project
不重启的情况下将服务器实时迁移到新的宿主机。
os_compute_api:os-migrate-server:migrate_live:host- 默认值:
rule:context_is_admin- 操作:
POST
/servers/{server_id}/action (os-migrateLive)
- 作用域类型:
project
不重启的情况下将服务器实时迁移到指定的宿主机。
os_compute_api:os-migrations:index- 默认值:
rule:project_manager_or_admin- 操作:
GET
/os-migrations
- 作用域类型:
project
列出不包含主机信息的迁移
os_compute_api:os-migrations:index:all_projects- 默认值:
rule:context_is_admin- 操作:
GET
/os-migrations
- 作用域类型:
project
列出所有项目或跨项目的迁移
os_compute_api:os-migrations:index:host- 默认值:
rule:context_is_admin- 操作:
GET
/os-migrations
- 作用域类型:
project
列出包含主机信息的迁移
os_compute_api:os-multinic:add- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (addFixedIp)
- 作用域类型:
project
将固定 IP 地址添加到服务器。
此 API 是对网络服务的代理调用。此 API 已弃用。
os_compute_api:os-multinic:remove- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (removeFixedIp)
- 作用域类型:
project
从服务器中删除固定 IP 地址。
此 API 是对网络服务的代理调用。此 API 已弃用。
os_compute_api:os-networks:list- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-networks
- 作用域类型:
project
列出项目的网络。
此 API 是对网络服务的代理调用。此 API 已弃用。
os_compute_api:os-networks:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-networks/{network_id}
- 作用域类型:
project
显示网络详细信息。
此 API 是对网络服务的代理调用。此 API 已弃用。
os_compute_api:os-pause-server:pause- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (pause)
- 作用域类型:
project
暂停服务器
os_compute_api:os-pause-server:unpause- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (unpause)
- 作用域类型:
project
取消暂停已暂停的服务器
os_compute_api:os-quota-class-sets:show- 默认值:
rule:context_is_admin- 操作:
GET
/os-quota-class-sets/{quota_class}
- 作用域类型:
project
列出特定配额类别的配额
os_compute_api:os-quota-class-sets:update- 默认值:
rule:context_is_admin- 操作:
PUT
/os-quota-class-sets/{quota_class}
- 作用域类型:
project
更新特定配额类别的配额
os_compute_api:os-quota-sets:update- 默认值:
rule:context_is_admin- 操作:
PUT
/os-quota-sets/{tenant_id}
- 作用域类型:
project
更新配额
os_compute_api:os-quota-sets:defaults- 默认值:
@- 操作:
GET
/os-quota-sets/{tenant_id}/defaults
- 作用域类型:
project
列出默认配额
os_compute_api:os-quota-sets:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-quota-sets/{tenant_id}
- 作用域类型:
project
显示配额
os_compute_api:os-quota-sets:delete- 默认值:
rule:context_is_admin- 操作:
DELETE
/os-quota-sets/{tenant_id}
- 作用域类型:
project
将配额恢复为默认值
os_compute_api:os-quota-sets:detail- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-quota-sets/{tenant_id}/detail
- 作用域类型:
project
显示配额的详细信息
os_compute_api:os-remote-consoles- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (os-getSerialConsole)POST
/servers/{server_id}/action (os-getSPICEConsole)POST
/servers/{server_id}/action (os-getVNCConsole)POST
/servers/{server_id}/remote-consoles
- 作用域类型:
project
生成访问远程服务器控制台的 URL。
此策略适用于
POST /remote-consolesAPI 以及以下服务器操作 API 已弃用os-getSerialConsoleos-getSPICEConsoleos-getVNCConsole.
os_compute_api:os-rescue- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (rescue)
- 作用域类型:
project
救援服务器
os_compute_api:os-unrescue- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (unrescue)
- 作用域类型:
project
取消救援服务器
os_compute_api:os-security-groups:get- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-security-groups
- 作用域类型:
project
列出安全组。此 API 已弃用。
os_compute_api:os-security-groups:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-security-groups/{security_group_id}
- 作用域类型:
project
显示安全组。此 API 已弃用。
os_compute_api:os-security-groups:create- 默认值:
rule:project_member_or_admin- 操作:
POST
/os-security-groups
- 作用域类型:
project
创建安全组。此 API 已弃用。
os_compute_api:os-security-groups:update- 默认值:
rule:project_member_or_admin- 操作:
PUT
/os-security-groups/{security_group_id}
- 作用域类型:
project
更新安全组。此 API 已弃用。
os_compute_api:os-security-groups:delete- 默认值:
rule:project_member_or_admin- 操作:
DELETE
/os-security-groups/{security_group_id}
- 作用域类型:
project
删除安全组。此 API 已弃用。
os_compute_api:os-security-groups:rule:create- 默认值:
rule:project_member_or_admin- 操作:
POST
/os-security-group-rules
- 作用域类型:
project
创建安全组规则。此 API 已弃用。
os_compute_api:os-security-groups:rule:delete- 默认值:
rule:project_member_or_admin- 操作:
DELETE
/os-security-group-rules/{security_group_id}
- 作用域类型:
project
删除安全组规则。此 API 已弃用。
os_compute_api:os-security-groups:list- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/{server_id}/os-security-groups
- 作用域类型:
project
列出服务器的安全组。
os_compute_api:os-security-groups:add- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (addSecurityGroup)
- 作用域类型:
project
将安全组添加到服务器。
os_compute_api:os-security-groups:remove- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (removeSecurityGroup)
- 作用域类型:
project
从服务器中删除安全组。
os_compute_api:os-server-diagnostics- 默认值:
rule:context_is_admin- 操作:
GET
/servers/{server_id}/diagnostics
- 作用域类型:
project
显示服务器的使用数据
os_compute_api:os-server-external-events:create- 默认值:
rule:service_or_admin- 操作:
POST
/os-server-external-events
- 作用域类型:
project
创建一个或多个外部事件
os_compute_api:os-server-groups:create- 默认值:
rule:project_member_or_admin- 操作:
POST
/os-server-groups
- 作用域类型:
project
创建一个新的服务器组
os_compute_api:os-server-groups:delete- 默认值:
rule:project_member_or_admin- 操作:
DELETE
/os-server-groups/{server_group_id}
- 作用域类型:
project
删除服务器组
os_compute_api:os-server-groups:index- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-server-groups
- 作用域类型:
project
列出所有服务器组
os_compute_api:os-server-groups:index:all_projects- 默认值:
rule:context_is_admin- 操作:
GET
/os-server-groups
- 作用域类型:
project
列出所有项目的服务器组
os_compute_api:os-server-groups:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-server-groups/{server_group_id}
- 作用域类型:
project
显示服务器组的详细信息
os_compute_api:server-metadata:index- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/{server_id}/metadata
- 作用域类型:
project
列出服务器的所有元数据
os_compute_api:server-metadata:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/{server_id}/metadata/{key}
- 作用域类型:
project
显示服务器的元数据
os_compute_api:server-metadata:create- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/metadata
- 作用域类型:
project
为服务器创建元数据
os_compute_api:server-metadata:update_all- 默认值:
rule:project_member_or_admin- 操作:
PUT
/servers/{server_id}/metadata
- 作用域类型:
project
替换服务器的元数据
os_compute_api:server-metadata:update- 默认值:
rule:project_member_or_admin- 操作:
PUT
/servers/{server_id}/metadata/{key}
- 作用域类型:
project
更新服务器的元数据
os_compute_api:server-metadata:delete- 默认值:
rule:project_member_or_admin- 操作:
DELETE
/servers/{server_id}/metadata/{key}
- 作用域类型:
project
从服务器中删除元数据
os_compute_api:os-server-password:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/{server_id}/os-server-password
- 作用域类型:
project
显示服务器的加密的管理员密码
os_compute_api:os-server-password:clear- 默认值:
rule:project_member_or_admin- 操作:
DELETE
/servers/{server_id}/os-server-password
- 作用域类型:
project
清除服务器的加密的管理员密码
os_compute_api:os-server-shares:index- 默认值:
rule:project_reader_api- 操作:
GET
/servers/{server_id}/shares
- 作用域类型:
project
列出给定服务器的所有共享
os_compute_api:os-server-shares:create- 默认值:
rule:project_member_api- 操作:
POST
/servers/{server_id}/shares
- 作用域类型:
project
将共享附加到指定的服务器
os_compute_api:os-server-shares:show- 默认值:
rule:project_reader_api- 操作:
GET
/servers/{server_id}/shares/{share_id}
- 作用域类型:
project
显示配置为指定服务器的共享
os_compute_api:os-server-shares:delete- 默认值:
rule:project_member_api- 操作:
DELETE
/servers/{server_id}/shares/{share_id}
- 作用域类型:
project
将共享从指定的服务器中分离
os_compute_api:os-server-tags:delete_all- 默认值:
rule:project_member_or_admin- 操作:
DELETE
/servers/{server_id}/tags
- 作用域类型:
project
删除所有服务器标签
os_compute_api:os-server-tags:index- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/{server_id}/tags
- 作用域类型:
project
列出给定服务器的所有标签
os_compute_api:os-server-tags:update_all- 默认值:
rule:project_member_or_admin- 操作:
PUT
/servers/{server_id}/tags
- 作用域类型:
project
使用新的标签集替换指定服务器上的所有标签。
os_compute_api:os-server-tags:delete- 默认值:
rule:project_member_or_admin- 操作:
DELETE
/servers/{server_id}/tags/{tag}
- 作用域类型:
project
从指定的服务器删除单个标签
os_compute_api:os-server-tags:update- 默认值:
rule:project_member_or_admin- 操作:
PUT
/servers/{server_id}/tags/{tag}
- 作用域类型:
project
如果服务器没有指定的标签,则添加单个标签
os_compute_api:os-server-tags:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/{server_id}/tags/{tag}
- 作用域类型:
project
检查服务器上标签是否存在。
compute:server:topology:index- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/{server_id}/topology
- 作用域类型:
project
显示服务器的 NUMA 拓扑数据
compute:server:topology:host:index- 默认值:
rule:context_is_admin- 操作:
GET
/servers/{server_id}/topology
- 作用域类型:
project
显示服务器的 NUMA 拓扑数据,以及主机 NUMA ID 和 CPU pinning 信息
os_compute_api:servers:index- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers
- 作用域类型:
project
列出所有服务器
os_compute_api:servers:detail- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/detail
- 作用域类型:
project
列出所有服务器的详细信息
os_compute_api:servers:index:get_all_tenants- 默认值:
rule:context_is_admin- 操作:
GET
/servers
- 作用域类型:
project
列出所有项目的服务器
os_compute_api:servers:detail:get_all_tenants- 默认值:
rule:context_is_admin- 操作:
GET
/servers/detail
- 作用域类型:
project
列出所有项目的服务器详细信息
os_compute_api:servers:allow_all_filters- 默认值:
rule:context_is_admin- 操作:
GET
/serversGET
/servers/detail
- 作用域类型:
project
在列出服务器时允许所有过滤器
os_compute_api:servers:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/{server_id}
- 作用域类型:
project
显示服务器
os_compute_api:servers:show:flavor-extra-specs- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/detailGET
/servers/{server_id}PUT
/servers/{server_id}POST
/servers/{server_id}/action (rebuild)
- 作用域类型:
project
从 microversion 2.47 开始,在显示服务器详细信息、更新服务器或重建服务器时,服务器使用的 flavor 及其 extra specs 也会在响应中返回。
os_compute_api:servers:show:host_status- 默认值:
rule:context_is_admin- 操作:
GET
/servers/{server_id}GET
/servers/detailPUT
/servers/{server_id}POST
/servers/{server_id}/action (rebuild)
- 作用域类型:
project
显示带有附加主机状态信息的服务器。
这意味着无论状态值如何,都将显示 host_status。如果只想显示 host_status UNKNOWN,请使用
os_compute_api:servers:show:host_status:unknown-only策略规则。Microvision 2.75 在
PUT /servers/{server_id}和POST /servers/{server_id}/action (rebuild)API 响应中添加了host_status属性,该属性也受此策略规则控制,就像GET /servers*APIs 一样。os_compute_api:servers:show:host_status:unknown-only- 默认值:
rule:context_is_admin- 操作:
GET
/servers/{server_id}GET
/servers/detailPUT
/servers/{server_id}POST
/servers/{server_id}/action (rebuild)
- 作用域类型:
project
仅当主机状态为 UNKNOWN 时,显示带有附加主机状态信息的服务器。
只有当
os_compute_api:servers:show:host_status策略规则对请求不通过时,才会强制执行此策略规则。一个示例策略配置可以是os_compute_api:servers:show:host_status规则设置为仅允许管理员,而os_compute_api:servers:show:host_status:unknown-only规则设置为允许所有人。os_compute_api:servers:create- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers
- 作用域类型:
project
创建服务器
os_compute_api:servers:create:forced_host- 默认值:
rule:context_is_admin- 操作:
POST
/servers
- 作用域类型:
project
在指定的宿主机和/或节点上创建服务器。
在这种情况下,服务器将被强制在指定的宿主机和/或节点上启动,绕过调度器过滤器,与
compute:servers:create:requested_destination规则不同。compute:servers:create:requested_destination- 默认值:
rule:context_is_admin- 操作:
POST
/servers
- 作用域类型:
project
在请求的计算服务主机和/或 hypervisor_hostname 上创建服务器。
在这种情况下,请求的主机和/或 hypervisor_hostname 将被调度器过滤器验证,与
os_compute_api:servers:create:forced_host规则不同。os_compute_api:servers:create:attach_volume- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers
- 作用域类型:
project
创建带有请求的卷附加的服务器
os_compute_api:servers:create:attach_network- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers
- 作用域类型:
project
创建带有请求的网络附加的服务器
os_compute_api:servers:create:trusted_certs- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers
- 作用域类型:
project
使用受信任的镜像证书 ID 创建服务器
os_compute_api:servers:create:zero_disk_flavor- 默认值:
rule:context_is_admin- 操作:
POST
/servers
- 作用域类型:
project
此规则控制计算 API 验证创建具有 0 磁盘的 flavor 的服务器的行为,表明服务器应为 volume-backed。
对于 disk=0 的 flavor,根磁盘将设置为与用于部署实例的镜像完全相同的尺寸。但是,在这种情况下,filter_scheduler 无法基于虚拟镜像大小选择计算主机。因此,0 仅应用于 volume 启动的实例或用于测试目的。
警告:如果用户可以上传自己的镜像,则启用此策略规则可能存在潜在的安全风险,因为重复尝试使用大型镜像创建 disk=0 flavor 实例可能会耗尽计算(或共享存储集群)的本地磁盘。有关详细信息,请参阅 bug https://bugs.launchpad.net/nova/+bug/1739646。
network:attach_external_network- 默认值:
rule:context_is_admin- 操作:
POST
/serversPOST
/servers/{server_id}/os-interface
- 作用域类型:
project
将未共享的外部网络附加到服务器
os_compute_api:servers:delete- 默认值:
rule:project_member_or_admin- 操作:
DELETE
/servers/{server_id}
- 作用域类型:
project
删除服务器
os_compute_api:servers:update- 默认值:
rule:project_member_or_admin- 操作:
PUT
/servers/{server_id}
- 作用域类型:
project
更新服务器
os_compute_api:servers:confirm_resize- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (confirmResize)
- 作用域类型:
project
确认服务器调整大小
os_compute_api:servers:revert_resize- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (revertResize)
- 作用域类型:
project
撤销服务器调整大小
os_compute_api:servers:reboot- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (reboot)
- 作用域类型:
project
重启服务器
os_compute_api:servers:resize- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (resize)
- 作用域类型:
project
调整服务器大小
compute:servers:resize:cross_cell- 默认值:
!- 操作:
POST
/servers/{server_id}/action (resize)
- 作用域类型:
project
跨单元格调整服务器大小。默认情况下,这对于所有用户均被禁用,建议在部署中由管理员用户进行测试,然后再将其开放给非管理员用户。即使启用了此功能,单元格内的调整大小也是默认的首选行为。
os_compute_api:servers:rebuild- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (rebuild)
- 作用域类型:
project
重建服务器
os_compute_api:servers:rebuild:trusted_certs- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (rebuild)
- 作用域类型:
project
使用受信任的镜像证书 ID 重建服务器
os_compute_api:servers:create_image- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (createImage)
- 作用域类型:
project
从服务器创建镜像
os_compute_api:servers:create_image:allow_volume_backed- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (createImage)
- 作用域类型:
project
从 volume-backed 服务器创建镜像
os_compute_api:servers:start- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (os-start)
- 作用域类型:
project
启动服务器
os_compute_api:servers:stop- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (os-stop)
- 作用域类型:
project
停止服务器
os_compute_api:servers:trigger_crash_dump- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (trigger_crash_dump)
- 作用域类型:
project
触发服务器崩溃转储
os_compute_api:servers:migrations:show- 默认值:
rule:context_is_admin- 操作:
GET
/servers/{server_id}/migrations/{migration_id}
- 作用域类型:
project
显示给定服务器的正在进行的实时迁移的详细信息
os_compute_api:servers:migrations:force_complete- 默认值:
rule:project_manager_or_admin- 操作:
POST
/servers/{server_id}/migrations/{migration_id}/action (force_complete)
- 作用域类型:
project
强制给定服务器的正在进行的实时迁移完成
os_compute_api:servers:migrations:delete- 默认值:
rule:project_manager_or_admin- 操作:
DELETE
/servers/{server_id}/migrations/{migration_id}
- 作用域类型:
project
删除(中止)正在进行的实时迁移
os_compute_api:servers:migrations:index- 默认值:
rule:project_manager_or_admin- 操作:
GET
/servers/{server_id}/migrations
- 作用域类型:
project
列出给定服务器的正在进行的实时迁移,不包含主机信息。
os_compute_api:servers:migrations:index:host- 默认值:
rule:context_is_admin- 操作:
GET
/servers/{server_id}/migrations
- 作用域类型:
project
列出给定服务器的正在进行的实时迁移,包含主机信息。
os_compute_api:os-services:list- 默认值:
rule:context_is_admin- 操作:
GET
/os-services
- 作用域类型:
project
列出区域中所有正在运行的计算服务。
os_compute_api:os-services:update- 默认值:
rule:context_is_admin- 操作:
PUT
/os-services/{service_id}
- 作用域类型:
project
更新计算服务。
os_compute_api:os-services:delete- 默认值:
rule:context_is_admin- 操作:
DELETE
/os-services/{service_id}
- 作用域类型:
project
删除计算服务。
os_compute_api:os-shelve:shelve- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (shelve)
- 作用域类型:
project
搁置服务器
os_compute_api:os-shelve:unshelve- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (unshelve)
- 作用域类型:
project
恢复搁置的服务器
os_compute_api:os-shelve:unshelve_to_host- 默认值:
rule:context_is_admin- 操作:
POST
/servers/{server_id}/action (unshelve)
- 作用域类型:
project
将卸载的搁置服务器恢复到特定主机
os_compute_api:os-shelve:shelve_offload- 默认值:
rule:context_is_admin- 操作:
POST
/servers/{server_id}/action (shelveOffload)
- 作用域类型:
project
搁置卸载(删除)服务器
os_compute_api:os-simple-tenant-usage:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-simple-tenant-usage/{tenant_id}
- 作用域类型:
project
显示特定租户的使用统计信息
os_compute_api:os-simple-tenant-usage:list- 默认值:
rule:context_is_admin- 操作:
GET
/os-simple-tenant-usage
- 作用域类型:
project
列出所有租户的每个租户使用统计信息
os_compute_api:os-suspend-server:resume- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (resume)
- 作用域类型:
project
恢复挂起的服务器
os_compute_api:os-suspend-server:suspend- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/action (suspend)
- 作用域类型:
project
挂起服务器
os_compute_api:os-tenant-networks:list- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-tenant-networks
- 作用域类型:
project
列出项目网络。
此 API 是对网络服务的代理调用。此 API 已弃用。
os_compute_api:os-tenant-networks:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-tenant-networks/{network_id}
- 作用域类型:
project
显示项目网络详细信息。
此 API 是对网络服务的代理调用。此 API 已弃用。
os_compute_api:os-volumes:list- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-volumes
- 作用域类型:
project
列出卷。
此 API 是对 Volume 服务的代理调用。它已被弃用。
os_compute_api:os-volumes:create- 默认值:
rule:project_member_or_admin- 操作:
POST
/os-volumes
- 作用域类型:
project
创建卷。
此 API 是对 Volume 服务的代理调用。它已被弃用。
os_compute_api:os-volumes:detail- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-volumes/detail
- 作用域类型:
project
列出卷详细信息。
此 API 是对 Volume 服务的代理调用。它已被弃用。
os_compute_api:os-volumes:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-volumes/{volume_id}
- 作用域类型:
project
显示卷。
此 API 是对 Volume 服务的代理调用。它已被弃用。
os_compute_api:os-volumes:delete- 默认值:
rule:project_member_or_admin- 操作:
DELETE
/os-volumes/{volume_id}
- 作用域类型:
project
删除卷。
此 API 是对 Volume 服务的代理调用。它已被弃用。
os_compute_api:os-volumes-snapshots:list- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-snapshots
- 作用域类型:
project
列出快照。
此 API 是对 Volume 服务的代理调用。它已被弃用。
os_compute_api:os-volumes-snapshots:create- 默认值:
rule:project_member_or_admin- 操作:
POST
/os-snapshots
- 作用域类型:
project
创建快照。
此 API 是对 Volume 服务的代理调用。它已被弃用。
os_compute_api:os-volumes-snapshots:detail- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-snapshots/detail
- 作用域类型:
project
列出快照详细信息。
此 API 是对 Volume 服务的代理调用。它已被弃用。
os_compute_api:os-volumes-snapshots:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/os-snapshots/{snapshot_id}
- 作用域类型:
project
显示快照。
此 API 是对 Volume 服务的代理调用。它已被弃用。
os_compute_api:os-volumes-snapshots:delete- 默认值:
rule:project_member_or_admin- 操作:
DELETE
/os-snapshots/{snapshot_id}
- 作用域类型:
project
删除快照。
此 API 是对 Volume 服务的代理调用。它已被弃用。
os_compute_api:os-volumes-attachments:index- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/{server_id}/os-volume_attachments
- 作用域类型:
project
列出实例的卷附件
os_compute_api:os-volumes-attachments:create- 默认值:
rule:project_member_or_admin- 操作:
POST
/servers/{server_id}/os-volume_attachments
- 作用域类型:
project
将卷附加到实例
os_compute_api:os-volumes-attachments:show- 默认值:
rule:project_reader_or_admin- 操作:
GET
/servers/{server_id}/os-volume_attachments/{volume_id}
- 作用域类型:
project
显示卷附件的详细信息
os_compute_api:os-volumes-attachments:update- 默认值:
rule:project_member_or_admin- 操作:
PUT
/servers/{server_id}/os-volume_attachments/{volume_id}
- 作用域类型:
project
更新卷附件。新的“update”策略关于“swap + update”请求(仅在 >2.85 时可能)仅检查
。我们期望 始终是此策略权限的超集。 os_compute_api:os-volumes-attachments:swap- 默认值:
rule:service_or_admin- 操作:
PUT
/servers/{server_id}/os-volume_attachments/{volume_id}
- 作用域类型:
project
使用不同的 volumeId 更新卷附件
os_compute_api:os-volumes-attachments:delete- 默认值:
rule:project_member_or_admin- 操作:
DELETE
/servers/{server_id}/os-volume_attachments/{volume_id}
- 作用域类型:
project
将卷从实例分离
