Hi auth guys!<div><br></div><div>As we continue to make progress towards large service providers exposing their Glance deployments as public services, one critical feature we need to support is the ability to limit certain actions (mostly image uploads, also possibly image downloads) to use by Nova or other trusted services, and restrict users from taking those actions directly. Of course, this feature would only be turned on by configuration, and not likely by default.</div>
<div><br></div><div>I had figured we could do this using some features piggy-backed on keystone pki, and documented the use case in this blueprint: <a href="https://blueprints.launchpad.net/keystone/+spec/keystone-explicit-impersonation">https://blueprints.launchpad.net/keystone/+spec/keystone-explicit-impersonation</a></div>
<div><br></div><div>I've been following the discussion of Keystone Trusts with interest, and some questions have presented themselves. Is there some way we could manipulate the Trust mechanism to provide the auth feature Glance needs? Another (scarier for me) question: does the Trusts proposal conflict with my feature request?</div>
<div><br></div><div>Thanks!</div><div>Mark</div><div><br></div><div><br></div>