我设置了keystone v3,然后创建了一个域dom1
,一个用户adm1
并授予该用户admin角色。使用域范围对此用户进行身份验证。然后在dom1
下创建一个项目。我试图用创建项目的相同令牌列出项目。我得到的只是"You are not authorized to perform the requested action: identity:list_projects"
。
如果我在policy.v3cloudsample.json中为domain_id:%(domain_id)s
取出规则"identity:list_projects"
,那么一切正常。
为什么我不能列出具有规则domain_id:%(domain_id)s
的项目?
感谢。
答案 0 :(得分:1)
根据OpenStack API文档,列表项目的API URL必须使用域ID进行过滤。因此,在策略中,j domain_id:%(domain_id)s
identity:list_projects
表示URL过滤器中的域ID必须等于令牌作用域的域ID。