11.8. 审计 API 访问
您可以审核给定角色的 API 调用可以访问。为每个角色重复此过程将导致全面报告每个角色的可访问 API。
先决条件
- 作为目标角色中的用户提供的身份验证文件。
- JSON 格式的访问令牌。
- 您希望审核的每个服务的 API 的策略文件。
流程
- 首先,在所需角色中提供用户的身份验证文件。
捕获 Keystone 生成的令牌并将其保存到文件中。您可以通过运行任何 openstack-cli 命令并使用 --debug 选项进行此操作,该选项会将提供的令牌输出到 stdout。您可以复制此令牌并将其保存到访问文件中。使用以下命令作为单一步骤进行此操作:
openstack token issue --debug 2>&1 | egrep ^'{\"token\":' > access.file.json
创建策略文件。这可以在托管所感兴趣的容器化服务的 overcloud 节点上完成。以下示例为 cinder 服务创建一个策略文件:
ssh tripleo-admin@CONTROLLER-1 sudo podman exec cinder_api \ oslopolicy-policy-generator \ --config-file /etc/cinder/cinder.conf \ --namespace cinder > cinderpolicy.json
使用这些文件,您现在可以审核对 cinder API 的访问问题的角色:
oslopolicy-checker --policy cinderpolicy.json --access access.file.json