第 10 章提高用户访问安全性

您可以在 Red Hat OpenStack Platform 17 中启用安全基于角色的访问控制(SRBAC)。SRBAC 模型有三个用户角色，它基于项目范围内现有的三个角色。

10.1. SRBAC 用户角色

用户角色是角色及其所属范围的组合。部署 Red Hat OpenStack Platform 17 时，您可以从项目范围内分配任何用户角色。

目前，项目范围内提供了三个不同的角色。

范围是执行操作的上下文。Red Hat OpenStack Platform 17 中仅提供 项目范围。项目 范围是 OpenStack 中隔离自助服务资源的 API 部分。

项目管理员: 由于项目管理员用户角色是唯一可用的管理人员，因此 Red Hat OpenStack Platform 17 包括了修改的策略，为项目管理员授予最高级别授权。此 persona 包括在项目间创建、读取、更新和删除操作，其中包括添加和删除用户和其他项目。
注意
该人员预计会随着未来的开发范围而有所变化。此角色表示授予项目成员和项目读取器的所有权限。
项目成员: 项目成员用户角色适用于被授予在项目范围内消耗资源权限的用户。此用户角色可以在为其分配的项目中创建、列出、更新和删除资源。此用户角色表示授予项目读取器的所有权限。
项目读取器: 项目读取器用于授予查看项目中非敏感资源的权限的用户。在项目中，为需要检查或查看资源或审核员的用户分配 reader 角色，他们只需要查看单个项目中的特定于项目的资源，以满足审计目的。project-reader 人员不会解决所有审计用例。

基于 system 或 domain 范围的额外人员正在开发中，还不可用。

注意

镜像服务(glance)不支持 metadef API 的 SRBAC 权限。RHOSP 17.1 中用于镜像服务 metadef API 的默认策略仅用于 admin。