Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

1.4. 查看密钥管理器策略

barbican 使用策略来决定允许哪些用户对 secret 执行操作,如添加或删除密钥。为实现这些控制,S keystone 项目角色(如您之前创建的 创建者 )映射到 barbican 内部权限。因此,分配给这些项目角色的用户会收到对应的 barbican 权限。

默认策略在代码中定义,通常不需要任何修改。如果没有进行策略更改,您可以使用环境中的现有容器查看默认策略。如果更改了默认策略,并且您希望查看默认值,请首先使用单独的系统拉取 openstack-barbican-api 容器。

前提条件

  • OpenStack Key Manager 已部署并运行

流程

  1. 使用您的红帽凭证登录到 podman: 

    podman login
username: ********
password: ********
    Copy to Clipboard Toggle word wrap

  2. 拉取 openstack-barbican-api 容器: 

    podman pull \
registry.redhat.io/rhosp-rhel8/openstack-barbican-api:16.2
    Copy to Clipboard Toggle word wrap

  3. 在当前工作目录中生成策略文件: 

    podman run -it \
registry.redhat.io/rhosp-rhel8/openstack-barbican-api:16.2 \
oslopolicy-policy-generator \
--namespace barbican > barbican-policy.yaml
    Copy to Clipboard Toggle word wrap

验证

查看 barbican-policy.yaml 文件,以检查 barbican 使用的策略。策略由四个不同的角色来实施,用于定义用户如何与机密和机密元数据交互。用户通过分配给特定角色接收这些权限:

admin
admin 角色可以在所有项目间读取、创建、编辑和删除 secret。
创建者
creator 角色可以读取、创建、编辑和删除位于创建者范围的项目中的 secret。
Observer
observer 角色只能读取 secret。
audit
audit 角色只能读取元数据。audit 角色无法读取 secret。

例如,以下条目列出了每个项目的 管理观察 器和 创建 keystone 角色。请注意,请注意它们被分配了 role:adminrole:observerrole:creator 权限: 

#
#"admin": "role:admin"

#
#"observer": "role:observer"

#
#"creator": "role:creator"
Copy to Clipboard Toggle word wrap

这些角色也可以通过 barbican 分组在一起。例如,指定 admin_or_creator 的规则可应用到 rule:adminrule:creator 的成员。

在文件的下面,有 secret:putsecret:delete 操作。请注意,注意哪些角色有执行这些操作的权限。在以下示例中,secret:delete 表示只有 admin创建者 角色成员才能删除机密条目。此外,该规则指出该项目的 admin创建者 角色中的用户可以删除该项目中的机密。项目匹配由 secret_project_match 规则定义,该规则也会在策略中定义。 

secret:delete": "rule:admin_or_creator and rule:secret_project_match"
Copy to Clipboard Toggle word wrap
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat