我设置了keystone v3,然后创建了一个域dom1,一个用户adm1并授予该用户admin角色。使用域范围对此用户进行身份验证。然后在dom1下创建一个项目。我试图用创建项目的相同令牌列出项目。我得到的只是"You are not authorized to perform the requested action: identity:list_projects"。
如果我在policy.v3cloudsample.json中为domain_id:%(domain_id)s取出规则"identity:list_projects",那么一切正常。
为什么我不能列出具有规则domain_id:%(domain_id)s的项目?
感谢。
答案 0 :(得分:1)
根据OpenStack API文档,列表项目的API URL必须使用域ID进行过滤。因此,在策略中,j domain_id:%(domain_id)s identity:list_projects表示URL过滤器中的域ID必须等于令牌作用域的域ID。