OpenStack not good at RBAC

OpenStack not good at RBAC

Happy Lunar new year 2020 everybody!

Chúc anh em một năm mới đoàn kết, mạnh khỏe, nhiều tài lộc :D

Tranh thủ trước giờ G, mình viết draft vài dòng đầu tiên trong chuỗi bài về "chê" OpenStack. Đây là một phần trong kế hoạch 2020 của mình, hi vọng năm mới mình sẽ có nhiều chia sẻ về quan điểm cá nhân tới mọi người để cùng trao đổi thêm. Rất rất mong nhận được cú "ping" của ae qua facebook, twitter hay linkedin.

Nói một cách ngắn gọn, mình thấy cơ chế tổ chức Role-base Access Control của OpenStack không được tốt. Vì tên role được cấu hình trong mã nguồn của từng project riêng rẽ và không có cơ chế update qua API mà hiện nay chỉ cho custom qua json file. Điều này dẫn tới việc chúng ta sẽ không có cách nào để mà định nghĩa một user role với các quyền truy cập các API theo yêu cầu.

Để hiểu thêm về điểm chưa tốt này, mình sẽ phân tích một chút về cơ chế enforce policy của OpenStack:

.... TODO ....

Posted on