17.8. 共享访问控制

用户可以指定哪些特定客户端有权访问其创建的共享。由于 keystone 服务，单个用户创建的共享仅对同一项目中自己和其他用户可见。Manila 允许用户创建"公共"可见的共享。这些共享在属于其他 OpenStack 项目的用户仪表板中可见，如果所有者授予了访问权限，他们甚至可以挂载这些共享，即使在网络上可以访问这些共享。

在创建共享时，使用 key-public 使其他项目的共享公开，以便在共享列表中看到它，并查看其详细信息。

根据 policy.json 文件，管理员和用户作为共享所有者可以通过创建访问规则来管理对共享的访问。使用 manila access-allow、manila access-deny 和 manila access-list 命令，您可以相应地授予、拒绝和列出对指定共享的访问权限。

刚刚创建共享时，没有与其关联的默认访问规则以及挂载它的权限。这在挂载使用中的导出协议配置中可以看到。例如，存储上有一个 NFS 命令 exportfs 或 /etc/exports 文件，它们控制每个远程共享并定义可以访问它的主机。如果 nobody 可以挂载共享，则它为空。对于远程 CIFS 服务器，有 net conf list 命令可显示配置。hosts deny 参数应由共享驱动程序设置为 0.0.0.0/0，这意味着任何主机都会被拒绝来挂载共享。

使用 manila，您可以通过指定这些支持的共享访问级别之一来授予或拒绝对共享的访问：

您还必须指定这些支持的身份验证方法之一：

要验证是否为共享正确配置了访问规则(ACL)，您可以列出其权限。