第 3 章 管理角色
Red Hat OpenStack Platform (RHOSP)使用基于角色的访问控制(RBAC)机制来管理对其资源的访问。角色定义用户可以执行的操作。默认情况下,有两个预定义的角色:
- 附加到项目的 member 角色。
- 启用非管理员用户管理环境的管理角色。
注意
Identity 服务(keystone)也添加了 reader 角色,该角色将显示在角色列表中。只有在启用了安全 RBAC 时,才使用 reader 角色。
您还可以创建特定于环境的自定义角色。
3.1. 了解 Red Hat OpenStack Platform admin 角色
当您为用户分配 admin 角色时,此用户具有查看、更改、创建或删除任何项目的任何资源的权限。此用户可以创建可在项目间访问的资源,如公开可用的 glance 镜像或提供商网络。此外,具有 admin 角色的用户可以创建或删除用户并管理角色。
为您为用户分配 admin 角色的项目是执行 openstack 命令的默认项目。例如,如果一个 admin 用户在一个名为 development 的项目中运行以下命令,将会在名为 development 项目中创建一个名为 internal-network 的网络。
openstack network create internal-network
admin 用户可以使用 --project 参数在任何项目中创建 internal-network :
openstack network create internal-network --project testing
