第 3 章 管理角色
Red Hat OpenStack Platform (RHOSP)使用基于角色的访问控制(RBAC)机制来管理对其资源的访问。Role 定义用户可以执行的操作。默认情况下,有两个预定义的角色:
- 附加到项目的 member 角色。
- 用于管理环境的管理员角色,使非管理员用户能够管理环境。
注意
Identity service (keystone)也添加了 reader
角色,该角色将显示在角色列表中。不要使用 reader
角色,因为它没有集成到其他 OpenStack 项目中,并在服务之间提供不一致的权限。
您还可以创建特定于环境的自定义角色。
3.1. 了解 Red Hat OpenStack Platform 管理员角色
当您为用户授予 admin
角色时,此用户具有查看、更改、创建或删除任何项目的任何资源的权限。此用户可以创建可在项目间访问的共享资源,如公开可用的 glance 镜像或提供商网络。此外,具有 admin
角色的用户也可以创建和删除用户并管理角色。
您为其分配用户 admin
角色的项目是执行 openstack
命令的默认项目。例如,如果名为 development
的项目中的 admin
用户运行以下命令,则会在 development
项目中创建一个名为 internal-network
的网络:
openstack network create internal-network
admin
用户可以使用 --project
参数在任何项目中创建 internal-network
:
openstack network create internal-network --project testing