oslopolicy-checker¶
概要¶
oslopolicy-checker [-h] [--access ACCESS] [--config-dir DIR]
[--config-file PATH]
[--enforcer_config ENFORCER_CONFIG] [--is_admin]
[--nois_admin] [--policy POLICY] [--rule RULE]
[--target TARGET]
描述¶
该 oslopolicy-checker 命令可用于根据 OpenStack Identity API 访问信息检查策略。访问信息是来自 keystone 的 身份验证 API 的 keystone token 响应。
选项¶
- -h, --help¶
显示帮助信息并退出。
- --config-dir DIR¶
从目录中提取
*.conf文件的路径。此文件集按排序方式排列,以便在单个选项被覆盖时提供可预测的解析顺序。该集合在通过之前的--config-file参数指定的文件之后进行解析,因此目录中的覆盖选项优先。必须从命令行设置此选项。
- --config-file PATH¶
要使用的配置文件路径。可以指定多个配置文件,后面的文件的值优先。默认值为 None。此选项必须从命令行设置。
- --access ACCESS¶
指向包含 OpenStack Identity API token 响应体的 JSON 格式文件的路径。
- --enforcer_config ENFORCER_CONFIG¶
oslopolicy-checker 强制执行器的配置文件
- --is_admin¶
将用于评估的凭据上的
is_admin=True设置为。
- --nois_admin¶
--is_admin的反向选项
- --policy POLICY¶
指向策略文件的路径。
- --rule RULE¶
要测试的规则。
- --target TARGET¶
指向包含 JSON 格式的自定义目标信息的文件的路径。这将用于评估策略。
示例¶
使用管理员 token 测试 Nova 的所有策略
oslopolicy-checker \
--policy /opt/stack/nova/etc/nova/policy.json
--access sample_data/auth_v3_token_admin.json
使用管理员成员 token 和将 is_admin 设置为 True 测试 Nova 策略中的 compute_extension:flavorextraspecs:index 规则
oslopolicy-checker \
--policy /opt/stack/nova/etc/nova/policy.json \
--access sample_data/auth_v3_token_admin.json \
--is_admin=true --rule compute_extension:flavorextraspecs:index
使用普通成员 token 测试 Nova 策略中的 compute_extension:flavorextraspecs:index 规则
oslopolicy-checker \
--policy /opt/stack/nova/etc/nova/policy.json \
--access sample_data/auth_v3_token_member.json \
--rule compute_extension:flavorextraspecs:index
参见¶
oslopolicy-sample-generator, oslopolicy-policy-generator, oslopolicy-list-redundant, oslopolicy-validator
