配置选项¶
oslo.policy 使用 oslo.config 来定义和管理配置选项,这些选项允许部署者控制策略文件所在的位置、要应用的默认规则等。
oslo_policy¶
- enforce_scope¶
- 类型:
布尔值
- 默认值:
True
此选项控制在评估策略时是否强制执行范围。如果为
True,则将请求中使用的令牌的范围与正在强制执行的策略的scope_types进行比较。如果范围不匹配,将引发InvalidScope异常。如果为False,将记录一条消息,告知操作员策略正在使用不匹配的范围调用。警告
此选项已弃用,将来可能会被静默忽略。
- 原因:
此配置是临时添加的,旨在促进顺利过渡到新的 RBAC。OpenStack 将始终强制执行范围检查。此配置选项已被弃用,将在 2025.2 版本周期中删除。
- enforce_new_defaults¶
- 类型:
布尔值
- 默认值:
True
此选项控制在评估策略时是否使用旧的弃用默认值。如果为
True,则不会评估旧的弃用默认值。这意味着,如果任何现有的令牌允许使用旧的默认值,但对于新的默认值不允许,则将被禁止。鼓励启用此标志以及enforce_scope标志,以便同时获得新默认值和scope_type的好处。如果为False,则逻辑上将弃用策略检查字符串与新的策略检查字符串进行 OR 运算,从而允许在具有新策略的发布版本之间实现平滑的升级体验,这是默认行为。
- policy_file¶
- 类型:
字符串
- 默认值:
policy.yaml
将角色映射到给定服务权限的文件的相对或绝对路径。相对路径必须相对于设置此选项的配置文件指定。
- policy_default_rule¶
- 类型:
字符串
- 默认值:
default
默认规则。在找不到请求的规则时强制执行。
- policy_dirs¶
- 类型:
多值
- 默认值:
policy.d
存储策略配置文件目录。它们可以相对于 config_dir 选项定义的搜索路径中的任何目录,也可以是绝对路径。要搜索这些目录,必须存在 policy_file 中定义的的文件。忽略丢失或空的目录。
- remote_content_type¶
- 类型:
字符串
- 默认值:
application/x-www-form-urlencoded- 有效值:
application/x-www-form-urlencoded, application/json
用于基于 REST 的策略检查发送和接收数据的 Content Type
- remote_ssl_verify_server_crt¶
- 类型:
布尔值
- 默认值:
False
基于 REST 的策略检查的服务器身份验证
- remote_ssl_ca_crt_file¶
- 类型:
字符串
- 默认值:
<None>
基于 REST 的策略检查的 ca 证书文件的绝对路径
- remote_ssl_client_crt_file¶
- 类型:
字符串
- 默认值:
<None>
基于 REST 的策略检查的客户端证书的绝对路径
- remote_ssl_client_key_file¶
- 类型:
字符串
- 默认值:
<None>
基于 REST 的策略检查的客户端密钥文件的绝对路径
- remote_timeout¶
- 类型:
浮点数
- 默认值:
60- 最小值:
0
基于 REST 的策略检查的超时时间(秒)
