
<html>

  <head>


    <meta http-equiv="content-type" content="text/html; charset=utf-8">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    The policy API is currently a Blob-based operation. Keystone knows

    nothing about the data stored or retrieved. <br>

    <br>

    There is an API to fetch the policy file for a given endpoint.<br>

    <br>

<a class="moz-txt-link-freetext" href="http://git.openstack.org/cgit/openstack/keystone-specs/tree/api/v3/identity-api-v3-os-endpoint-policy.rst">http://git.openstack.org/cgit/openstack/keystone-specs/tree/api/v3/identity-api-v3-os-endpoint-policy.rst</a><br>

    <br>

    What I would like to do is get the policy management syncronized

    with the Endpoint registration.  It should look something like this:<br>

    <br>

    When a service is registered with Keystone, upload the associate

    policy file for that service to Keystone, and create a service level

    association:<br>

    <br>

    <pre><code>PUT /policies/{policy_id}/OS-ENDPOINT-POLICY/services/{service_id}/regions/{region_id}</code></pre>

    If there is a need to modify the policy, the updated policy goes to

    Keystone, along with a new policy_id, the association is updated,

    then synchronized down to the other services. <br>

    <br>

    Lots of question here:<br>

    <br>

    Keystone is capable of sending out notifications.  Does it makes

    sense to Have the undercloud Heat listen to notification from

    Keystone, and have Keystone send out a notification if a Policy

    association changes?  Can heat update a file on stack?  Is that too

    much Keystone-specific knowledge?<br>

    <br>

    What about the Container cases?  Can Kolla update a policy file in a

    container, or does it need to spin up a new container with the

    updated values?  It so, what happens with the endpoint ID, does it

    stay the same?<br>

    <br>

    IN the OSAD case, what would be the right service to listen for the

    notifications?<br>

    <br>

    What other support would the Content management systems need from

    Keystone?  Obviously, Client and CLI support, Puppet modules.  <br>

    <br>

    Let's get the conversation started here on the mailing list, and

    expect to dive into it deep in Austin.<br>

  </body>

</html>