У меня есть облачная установка openstack victoria. Я использую политику Keystone по умолчанию и не вносил в нее никаких изменений.
Я создал тестовые имена пользователей testuser в openstack. Я назначил ему основной проект как тестовый проект и роль администратора. Но когда я вхожу в систему как тестовый пользователь, я также могу получить доступ к проекту администратора. Похоже, моя сфера деятельности не ограничивается тестовым проектом.
Согласно документации
https://docs.openstack.org/keystone/latest/admin/service-api-protection.html
Администраторы проекта могут просматривать и изменять данные только в рамках проекта, на который у них есть полномочия. Они могут просматривать информацию о своих проектах и устанавливать теги для своих проектов. Им не разрешено просматривать системные или доменные ресурсы, так как это нарушило бы срок действия назначенных им ролей. Поскольку большинство ресурсов в Keystone API относятся к системе и домену, у администраторов проектов нет особых полномочий.
список назначения ролей openstack --names --project testproject --role admin
+-------+----+--------+--------------- -------+--------+--
| Роль | Пользователь | Группа | Проект | Домен | Система | Унаследовано |
+-------+----+--------+--------------- -------+--------+--
| администратор | тестовый пользователь@по умолчанию | | тестовый проект@По умолчанию | | | Ложь |
+-------+----+--------+--------------- -------+--------+--
# список назначения ролей openstack --names --project admin
+-------+---------------+-------+---------------+- -------+--------+--
| Роль | Пользователь | Группа | Проект | Домен | Система | Унаследовано |
+-------+---------------+-------+---------------+- -------+--------+--
| администратор | администратор@по умолчанию | | администратор@по умолчанию | | | Ложь |
+-------+---------------+-------+---------------+- -------+--------+--
Что мне делать, чтобы ограничить пользователя рамками назначенного ему основного проекта?
