Tôi có một thiết lập đám mây openstack victoria. Tôi đang sử dụng chính sách mặc định của keystone và chưa thực hiện bất kỳ thay đổi nào đối với chính sách đó.
Tôi đã tạo một tên người dùng thử nghiệm testuser trong openstack. Tôi đã chỉ định cho nó dự án chính là dự án thử nghiệm và vai trò quản trị viên. Nhưng khi tôi đăng nhập với tư cách là người kiểm tra, tôi cũng có thể truy cập dự án quản trị. Nó giống như phạm vi của tôi không giới hạn trong testproject.
Theo tài liệu
https://docs.openstack.org/keystone/latest/admin/service-api-protection.html
Quản trị viên dự án chỉ có thể xem và sửa đổi dữ liệu trong dự án mà họ có quyền. Họ có thể xem thông tin về dự án của mình và đặt thẻ cho dự án của họ. Họ không được phép xem tài nguyên hệ thống hoặc miền, vì điều đó sẽ vi phạm quyền thuê trong phân công vai trò của họ. Vì phần lớn tài nguyên trong API của keystone là dành riêng cho hệ thống và miền nên quản trị viên dự án không có nhiều quyền hạn.
danh sách gán vai trò openstack --names --project testproject --role admin
+--------+------------------+-------+-------------- --------+-----+--
| Vai trò | Người dùng | Nhóm | Dự án | Miền | Hệ thống | Kế thừa |
+--------+------------------+-------+-------------- --------+-----+--
| quản trị viên | testuser@Default | | testproject@Default | | | Sai |
+--------+------------------+-------+-------------- --------+-----+--
# danh sách gán vai trò openstack --names --project admin
+--------+----------------+-------+------------+- --------+-----+--
| Vai trò | Người dùng | Nhóm | Dự án | Miền | Hệ thống | Kế thừa |
+--------+----------------+-------+------------+- --------+-----+--
| quản trị viên | quản trị @ Mặc định | | quản trị @ Mặc định | | | Sai |
+--------+----------------+-------+------------+- --------+-----+--
Tôi nên làm gì để giới hạn người dùng trong phạm vi dự án chính được chỉ định?
