11.3. ポリシー構文
Policy.json ファイルは特定のオペレーターをサポートするので、これらの設定のターゲットスコープを制御できます。たとえば、以下の keystone の設定には、ユーザー作成の管理ユーザーだけがルールが含まれます。
"identity:create_user": "rule:admin_required"
:
文字の左側にあるセクションでは、特権について説明し、右側のセクションは、特権を使用できるユーザーを定義します。右側にオペレーターを使用して、スコープをさらに制御することもできます。
-
!
: このアクションを実行するユーザー (admin を含む) はありません。 -
@
および""
: 任意のユーザーがこのアクションを実行できます。 -
not
、and
、or
: 標準の Operator 機能を利用できます。
たとえば、以下の設定は、新規ユーザーを作成するパーミッションを持たないことを意味します。
"identity:create_user": "!"