11.8. 审计 API 访问


您可以审核给定角色的 API 调用可以访问。为每个角色重复此过程将导致全面报告每个角色的可访问 API。

先决条件

  • 作为目标角色中的用户提供的身份验证文件。
  • JSON 格式的访问令牌。
  • 您希望审核的每个服务的 API 的策略文件。

流程

  1. 首先,在所需角色中提供用户的身份验证文件。
  2. 捕获 Keystone 生成的令牌并将其保存到文件中。您可以通过运行任何 openstack-cli 命令并使用 --debug 选项进行此操作,该选项会将提供的令牌输出到 stdout。您可以复制此令牌并将其保存到访问文件中。使用以下命令作为单一步骤进行此操作:

    openstack token issue --debug 2>&1 | egrep ^'{\"token\":' > access.file.json
  3. 创建策略文件。这可以在托管所感兴趣的容器化服务的 overcloud 节点上完成。以下示例为 cinder 服务创建一个策略文件:

    ssh tripleo-admin@CONTROLLER-1 sudo podman exec cinder_api \
    oslopolicy-policy-generator \
    --config-file /etc/cinder/cinder.conf \
    --namespace cinder > cinderpolicy.json
  4. 使用这些文件,您现在可以审核对 cinder API 的访问问题的角色:

    oslopolicy-checker --policy cinderpolicy.json --access access.file.json
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.