<div dir="ltr"><br><div class="gmail_extra"><div class="gmail_quote">On Fri, May 3, 2013 at 10:52 AM, Flavio Percoco <span dir="ltr"><<a href="mailto:flavio@redhat.com" target="_blank">flavio@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="im">On 03/05/13 09:20 -0500, Dolph Mathews wrote:<br>

</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="im">
  This API was implemented in keystone in grizzly for centralized policy<br>
  storage:<br></div>
    [1]<a href="https://github.com/openstack/identity-api/blob/master/openstack-identity-api/src/markdown/identity-api-v3.md#create-policy-post-policies" target="_blank">https://github.com/<u></u>openstack/identity-api/blob/<u></u>master/openstack-identity-api/<u></u>src/markdown/identity-api-v3.<u></u>md#create-policy-post-policies</a><br>

</blockquote>
<br>
<br>
Interesting.<br>
<br>
How is it meant to be used throughout OpenStack? Do services need to load policies from that API when they are started? <br>
It's a shame it hasn't been proposed to be integrated in Oslo. Any plans for that?<br></blockquote><div><br></div><div style>There was a lot of discussion/disagreement during folsom about how to consume centralized policies from keystone; the API in grizzly is intended to be bare-minimum so as to be as flexible as possible.</div>
<div style><br></div><div style>Opinions varied from your suggestion (which I think would be an easy step forward), to more elaborate approaches where auth_token (or a new middleware layer) was responsible for fetching policies relevant to the service being protected and the identity in context (e.g. allowing identity domains to customize their policy per-endpoint) and passing the policy blob down in a header (X-Policy or whatever).</div>
<div style> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">
<br>
TBH, I think policies must be managed by the application itself<br>
instead of storing them in a separated service. What happens if<br>
someone wants to deploy Glance without keystone but still have<br>
centralized policies? (Maybe I'm just looking at it from the wrong<br>
angle). I'd rather use a lib like like oslo.policy<br></blockquote><div><br></div><div style>I don't follow- in a glance-only deployment, where would "centralized policies" be stored?</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">

<br>
Hopefully, I didn't misunderstand how that API is meant to be used.<br>
<br>
Thanks for the feedback<br>
FF<div class=""><div class="h5"><br>
<br>
-- <br>
{ name: "Flavio Percoco",<br>
  gpg: "87112EC1",   internal: "8261386",<br>
  phone: "<a href="tel:%2B390687502386" value="+390687502386" target="_blank">+390687502386</a>",<br>
  irc: ["fpercoco", "flaper87"]}<br>
<br>
______________________________<u></u>_________________<br>
OpenStack-dev mailing list<br>
<a href="mailto:OpenStack-dev@lists.openstack.org" target="_blank">OpenStack-dev@lists.openstack.<u></u>org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/<u></u>cgi-bin/mailman/listinfo/<u></u>openstack-dev</a><br>
</div></div></blockquote></div><br></div></div>