第 10 章提高用户访问安全性

重要

该功能在此发行版本中作为技术预览提供，因此不享有红帽的全面支持。它只应用于测试，不应部署在生产环境中。有关技术预览功能的更多信息，请参阅覆盖范围详细信息。

您可以在 Red Hat OpenStack Platform 17 中启用安全基于角色的访问控制(SRBAC)。根据项目范围内已存在的三个角色，SRBAC 模型有三个用户角色。

10.1. SRBAC personas
复制链接

personas 是角色与它们所属的范围的组合。部署 Red Hat OpenStack Platform 17 时，您可以从项目范围内分配任何用户角色。

目前，项目范围内提供了三个不同的角色。

范围是执行操作的上下文。只有 项目范围 在 Red Hat OpenStack Platform 17 中提供。项目 范围是 OpenStack 中隔离自助服务资源的 API 子集。

项目管理员: 由于项目 admin 用户角色是唯一可用的管理人员，Red Hat OpenStack Platform 17 包含修改的策略，为项目管理员授予最高级别授权人员。此用户角色包括跨项目资源创建、读取、更新和删除操作，包括添加和删除用户和其他项目。
注意
该用户角色有望在未来的开发范围内更改范围。此角色表示赋予项目成员和项目读取器的所有权限。
项目成员: 项目成员用户角色适用于被授予权限的用户，使其消耗项目范围内的资源。此用户角色可以在分配到的项目中创建、列出、更新和删除资源。此用户角色表示赋予项目读取器的所有权限。
项目读取器: 项目读取器用于授予查看项目中非敏感资源的权限的用户。在项目中，将 reader 角色分配给需要检查或查看资源或审核员的最终用户，他们只需要查看单个项目中的特定于项目的资源，供审计的 Project-reader 用户角色不会解决所有审计用例。

注意

基于 system 或 domain 范围的额外人员正在开发中，还不可用。