第 3 章 管理角色

Red Hat OpenStack Platform (RHOSP)使用基于角色的访问控制(RBAC)机制来管理对其资源的访问。Role 定义用户可以执行的操作。默认情况下,有两个预定义的角色:

  • 附加到项目的 member 角色。
  • 用于管理环境的管理员角色,使非管理员用户能够管理环境。
注意

Identity service (keystone)也添加了 reader 角色,该角色将显示在角色列表中。不要使用 reader 角色,因为它没有集成到其他 OpenStack 项目中,并在服务之间提供不一致的权限。

您还可以创建特定于环境的自定义角色。

3.1. 了解 Red Hat OpenStack Platform 管理员角色

当您为用户授予 admin 角色时,此用户具有查看、更改、创建或删除任何项目的任何资源的权限。此用户可以创建可在项目间访问的共享资源,如公开可用的 glance 镜像或提供商网络。此外,具有 admin 角色的用户也可以创建和删除用户并管理角色。

您为其分配用户 admin 角色的项目是执行 openstack 命令的默认项目。例如,如果名为 development 的项目中的 admin 用户运行以下命令,则会在 development 项目中创建一个名为 internal-network 的网络:

openstack network create internal-network

admin 用户可以使用 --project 参数在任何项目中创建 internal-network

openstack network create internal-network --project testing