第 10 章 提高用户访问安全性
您可以在 Red Hat OpenStack Platform 17 中启用安全基于角色的访问控制(SRBAC)。SRBAC 模型有三个用户角色,它基于项目范围内现有的三个角色。
10.1. SRBAC 用户角色
用户角色是角色及其所属范围的组合。部署 Red Hat OpenStack Platform 17 时,您可以从项目范围内分配任何用户角色。
10.1.1. Red Hat OpenStack Platform SRBAC 角色
目前,项目范围内提供了三个不同的角色。
- admin
-
admin
角色包括资源或 API 的所有创建、读取、更新或删除操作。 - 成员
-
允许
member
角色创建、读取、更新和删除属于成员范围的资源。 - 读取器
-
reader
角色用于只读操作,无论它要应用到的范围。此角色可以查看应用它的整个范围的资源。
10.1.2. Red Hat OpenStack Platform SRBAC 范围
范围是执行操作的上下文。Red Hat OpenStack Platform 17 中仅提供 项目范围
。项目
范围是 OpenStack 中隔离自助服务资源的 API 部分。
10.1.3. Red Hat OpenStack Platform SRBAC 用户角色
- Admin
由于项目 admin 用户角色是唯一可用的管理人员,红帽 OpenStack 平台 17 包含修改的策略,为项目管理员授予 最高级别授权。此 persona 包括在项目间创建、读取、更新和删除操作,其中包括添加和删除用户和其他项目。
注意该人员预计会随着未来的开发范围而有所变化。此角色表示授予项目成员和项目读取器的所有权限。
- 项目成员
- 项目成员用户角色适用于被授予在项目范围内消耗资源权限的用户。此用户角色可以在为其分配的项目中创建、列出、更新和删除资源。此用户角色表示授予项目读取器的所有权限。
- 项目读取器
- 项目读取器用于授予查看项目中非敏感资源的权限的用户。在项目中,为需要检查或查看资源或审核员的用户分配 reader 角色,他们只需要查看单个项目中的特定于项目的资源,以满足审计目的。project-reader 人员不会解决所有审计用例。
基于 system
或 domain
范围的额外人员正在开发中,还不可用。
镜像服务(glance)不支持 metadef API 的 SRBAC 权限。RHOSP 17.1 中用于镜像服务 metadef API 的默认策略仅用于 admin。