8.8. 策略（policy）

共享文件系统服务 API 使用基于角色的访问控制策略。这些策略决定了哪些用户可以以特定方式访问某些 API，并在服务的 policy.json 文件中定义。

注意

配置文件 policy.json 可能会在任何位置放置。默认预期路径 /var/lib/config-data/puppet-generated/manila/manila/policy.json。

每当向 manila 发出 API 调用时，策略引擎会使用适当的策略定义来确定是否可以接受调用。策略规则决定了在哪些情况下允许 API 调用。当规则是一个空字符串： "" 时，则 /var/lib/config-data/puppet-generated/manila/manila/policy.json 文件具有始终允许某一规则的规则，则规则基于用户角色或规则；规则是布尔表达式的规则。以下是 manila 的 policy.json 文件的片段。预计可以在 OpenStack 版本之间更改。

   {
       "context_is_admin": "role:admin",
       "admin_or_owner": "is_admin:True or project_id:%(project_id)s",
       "default": "rule:admin_or_owner",
       "share_extension:quotas:show": "",
       "share_extension:quotas:update": "rule:admin_api",
       "share_extension:quotas:delete": "rule:admin_api",
       "share_extension:quota_classes": "",
   }

   {
       "context_is_admin": "role:admin",
       "admin_or_owner": "is_admin:True or project_id:%(project_id)s",
       "default": "rule:admin_or_owner",
       "share_extension:quotas:show": "",
       "share_extension:quotas:update": "rule:admin_api",
       "share_extension:quotas:delete": "rule:admin_api",
       "share_extension:quota_classes": "",
   }

Copy to Clipboard

Toggle word wrap

用户必须分配给您在策略中引用的组和主机。使用用户管理命令时，服务会自动完成此操作。

注意

对 /var/lib/config-data/puppet-generated/manila/manila/policy.json 的任何更改都会立即生效，这允许在 manila 运行期间实施新策略。对策略进行手动修改可能会具有意外的副作用，因此不建议进行。Manila 不提供默认策略文件，所有默认策略都位于代码库中。您可以通过执行： oslopolicy-sample-generator --config-file=var/lib/config-data/puppet-generated/manila/manila/manila-policy-generator.conf 从 manila代码生成默认策略

返回顶部

8.8. 策略（policy）

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links