17.10. 策略(policy)
共享文件系统服务 API 使用基于角色的访问控制策略进行授权。这些策略决定了哪些用户可以以某种方式访问某些 API,并在服务的 policy.json
文件中定义。
配置文件 policy.json
可以在任何位置放置。默认情况下,预期为 /var/lib/config-data/puppet-generated/manila/etc/manila/policy.json
路径。
每当向 manila 发出 API 调用时,策略引擎使用适当的策略定义来确定是否可以接受调用。策略规则决定允许 API 调用的情况。/var/lib/config-data/puppet-generated/manila/etc/manila/policy.json
文件的规则始终被允许,当规则是空字符串: ""
时,基于用户角色或规则的规则;带有布尔值表达式的规则。以下是 manila 的 policy.json
文件的片段。预计可以在 OpenStack 版本之间有所变化。
{ "context_is_admin": "role:admin", "admin_or_owner": "is_admin:True or project_id:%(project_id)s", "default": "rule:admin_or_owner", "share_extension:quotas:show": "", "share_extension:quotas:update": "rule:admin_api", "share_extension:quotas:delete": "rule:admin_api", "share_extension:quota_classes": "", }
用户必须分配给您在您的策略中引用的组和角色。在使用用户管理命令时,该服务会自动执行此操作。
对 /var/lib/config-data/puppet-generated/manila/etc/manila/policy.json
的任何更改都会立即生效,允许在 manila 运行时实施新策略。手动修改策略可能会具有意外的副作用,我们不建议这样做。Manila 不提供默认策略文件;所有默认策略都在代码库中。您可以执行: oslopolicy-sample-generator --config-file=var/lib/config-data/puppet-generated/manila/etc/manila/manila-policy-generator.conf
从 manila 代码生成默认策略