11.6. 使用 heat 修改策略
红帽不支持自定义角色或策略。语法错误或应用错误授权可能会对安全或可用性造成负面影响。如果在生产环境中需要自定义角色或策略,请联系红帽支持例外。
您可以使用 heat 为 overcloud 中的某些服务配置访问策略。使用以下参数在相应服务上设置策略:
参数 | 描述 |
---|---|
KeystonePolicies | 为 OpenStack Identity (keystone)配置的策略哈希。 |
IronicApiPolicies | 为 OpenStack Bare Metal (ironic) API 配置的策略哈希。 |
BarbicanPolicies | 为 OpenStack Key Manager (barbican)配置的策略哈希。 |
NeutronApiPolicies | 为 OpenStack Networking (neutron) API 配置的策略哈希。 |
SaharaApiPolicies | 为 OpenStack 集群(sahara) API 配置的策略哈希。 |
NovaApiPolicies | 为 OpenStack Compute (nova) API 配置的策略哈希。 |
CinderApiPolicies | 为 OpenStack Block Storage (cinder) API 配置的策略哈希。 |
GlanceApiPolicies | 为 OpenStack Image Storage (glance) API 配置的策略哈希。 |
HeatApiPolicies | 为 OpenStack Orchestration (heat) API 配置的策略哈希。 |
要为服务配置策略,请为 policy 参数指定一个包含服务策略的哈希值,例如:
OpenStack Identity (keystone)使用
KeystonePolicies
参数。在环境文件的parameter_defaults
部分中设置此参数:parameter_defaults: KeystonePolicies: { keystone-context_is_admin: { key: context_is_admin, value: 'role:admin' } }
OpenStack Compute (nova)使用
NovaApiPolicies
参数。在环境文件的parameter_defaults
部分中设置此参数:parameter_defaults: NovaApiPolicies: { nova-context_is_admin: { key: 'compute:get_all', value: '@' } }