3.4. 암시적 역할 생성
ID 서비스(keystone)는 사용자가 특정 역할에 할당되었는지 확인하도록 액세스 제어를 적용합니다. ID 서비스는 암시적 역할 할당을 사용합니다. 사용자를 명시적으로 역할에 할당하는 경우 사용자를 암시적으로 추가 역할에 할당할 수도 있습니다. Red Hat OpenStack Platform에서 기본 암시적 역할을 볼 수 있습니다.
$ openstack implied role list +----------------------------------+-----------------+----------------------------------+-------------------+ | Prior Role ID | Prior Role Name | Implied Role ID | Implied Role Name | +----------------------------------+-----------------+----------------------------------+-------------------+ | 54454217f38247e5a2131c8a47138d32 | admin | b59703369e194123b5c77dad60d11a25 | member | | b59703369e194123b5c77dad60d11a25 | member | 382761de4a9c4414b6f8950f8580897c | reader | +----------------------------------+-----------------+----------------------------------+-------------------+
ID 서비스(keystone)도 역할 목록에 표시될 reader
역할을 추가했습니다. Secure RBAC를 활성화한 경우에만 reader
역할을 사용합니다.
권한이 높은 역할은 권한이 적은 역할과 연결된 권한을 의미합니다. 위의 기본 암시적 역할에서 admin은 member를 의미하고, 멤버는 reader를 의미합니다. 암시적 역할을 사용하면 사용자의 역할 할당이 누적 처리되므로 사용자가 하위 역할을 상속합니다.
사용자 지정 역할을 사용하는 경우 암시적 연결을 생성할 수 있습니다.
새 역할을 생성하면 기본적으로 멤버
역할과 동일한 액세스 정책이 적용됩니다. 사용자 지정 역할에 대한 고유한 정책 생성에 대한 자세한 내용은 액세스 제어를 위해 정책 파일 사용을 참조하십시오.
절차
다음 명령을 사용하여 다른 역할을 나타내는 역할을 지정합니다.
$ openstack implied role create manager --implied-role poweruser +------------+----------------------------------+ | Field | Value | +------------+----------------------------------+ | implies | ab0b966e0e5e411f8d8b0cc6c26fefd1 | | prior_role | 880761f64bff4e4a8923efda73923b7a | +------------+----------------------------------+
검증
암시적인 모든 역할을 나열합니다.
$ openstack implied role list +----------------------------------+-----------------+----------------------------------+-------------------+ | Prior Role ID | Prior Role Name | Implied Role ID | Implied Role Name | +----------------------------------+-----------------+----------------------------------+-------------------+ | 54454217f38247e5a2131c8a47138d32 | admin | b59703369e194123b5c77dad60d11a25 | member | | 880761f64bff4e4a8923efda73923b7a | manager | ab0b966e0e5e411f8d8b0cc6c26fefd1 | poweruser | | b59703369e194123b5c77dad60d11a25 | member | 382761de4a9c4414b6f8950f8580897c | reader | +----------------------------------+-----------------+----------------------------------+-------------------+
오류가 발생한 경우 변경 사항을 취소할 수 있습니다.
openstack implied role delete manager --implied-role poweruser