<div dir="ltr"><div class="gmail_extra">In the implementation of a instance backup service for OpenStack, on restore I need to (re)create the restored instance in the original tenant.</div><div class="gmail_extra"><br></div><div class="gmail_extra">Restores can be fired off by an administrator (not the original user), so at instance-create time I have two main choices:</div><div class="gmail_extra"><ol><li>Create the instance as the backup service.</li><li>Create the instance as the original user.</li></ol><div>Clearly (1) is workable (given the backup user has access to the tenant). Keypairs are a bit of an issue, but solvable.</div><div><br></div><div>Also clearly (2) is better, but that requires a means to impersonate the original user. Keystone trusts seem to be that means, but raises additional questions. (Also the fact the current documentation for Keystone is incomplete in this area does not raise the confidence level.)<br><ol><li>How far back is the Keystone OS-TRUST extension reliable? (Kilo? Juno?)</li><li>Do any OpenStack distributions omit the OS-TRUST extension?</li></ol><div>A feature labelled as an "extension" poses a risk to the developer. :)</div></div><div><br></div><div>Trying to get a handle on that risk.</div></div></div>