Red Hat Summit3.4. 암시적 역할
ID 서비스(keystone)는 액세스 제어를 시행하여 사용자가 특정 역할에 할당되었는지 확인합니다. ID 서비스는 암시된 역할 할당을 사용합니다. 사용자를 역할에 명시적으로 할당하면 사용자를 암시적으로 추가 역할에 할당할 수도 있습니다. Red Hat OpenStack Platform에서 암시된 기본 역할을 볼 수 있습니다.
$ openstack implied role list
+----------------------------------+-----------------+----------------------------------+-------------------+
| Prior Role ID | Prior Role Name | Implied Role ID | Implied Role Name |
+----------------------------------+-----------------+----------------------------------+-------------------+
| 54454217f38247e5a2131c8a47138d32 | admin | b59703369e194123b5c77dad60d11a25 | member |
| b59703369e194123b5c77dad60d11a25 | member | 382761de4a9c4414b6f8950f8580897c | reader |
+----------------------------------+-----------------+----------------------------------+-------------------+
ID 서비스(keystone)도 역할 목록에 표시될 reader 역할도 추가되었습니다. 다른 OpenStack 서비스에 통합되지 않았으므로 reader 역할을 사용하지 마십시오. 서비스 간에 일관되지 않은 권한을 제공합니다.
권한이 더 높은 역할은 권한이 적은 역할과 연관된 권한을 나타냅니다. 위의 기본 암시적 역할에서 admin은 member을 의미하며 멤버는 reader를 의미합니다. 암시적 역할을 사용하면 사용자의 역할 할당이 누적 처리되므로 사용자가 하위 역할을 상속합니다.
3.4.1. 암시적 역할 생성
사용자 지정 역할을 사용하는 경우 암시적 연결을 생성할 수 있습니다.
새 역할을 생성하면 기본적으로 member 역할과 동일한 액세스 정책이 적용됩니다. 사용자 지정 역할에 대한 고유 정책 생성에 대한 자세한 내용은 액세스 제어를 위한 정책 파일 사용을 참조하십시오.
절차
다음 명령을 사용하여 다른 역할을 나타내는 역할을 지정합니다.
$ openstack implied role create manager --implied-role poweruser +------------+----------------------------------+ | Field | Value | +------------+----------------------------------+ | implies | ab0b966e0e5e411f8d8b0cc6c26fefd1 | | prior_role | 880761f64bff4e4a8923efda73923b7a | +------------+----------------------------------+
검증
암시적 역할을 모두 나열합니다.
$ openstack implied role list +----------------------------------+-----------------+----------------------------------+-------------------+ | Prior Role ID | Prior Role Name | Implied Role ID | Implied Role Name | +----------------------------------+-----------------+----------------------------------+-------------------+ | 54454217f38247e5a2131c8a47138d32 | admin | b59703369e194123b5c77dad60d11a25 | member | | 880761f64bff4e4a8923efda73923b7a | manager | ab0b966e0e5e411f8d8b0cc6c26fefd1 | poweruser | | b59703369e194123b5c77dad60d11a25 | member | 382761de4a9c4414b6f8950f8580897c | reader | +----------------------------------+-----------------+----------------------------------+-------------------+
암시적 연관이 오류가 발생하면 변경 사항을 취소할 수 있습니다.
openstack implied role delete manager --implied-role poweruser
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}