<div dir="auto"><div><br><div class="gmail_extra"><br><div class="gmail_quote">On Mar 16, 2017 07:28, "Jeremy Stanley" <<a href="mailto:fungi@yuggoth.org">fungi@yuggoth.org</a>> wrote:<br type="attribution"><blockquote class="quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2017-03-16 08:34:58 -0500 (-0500), Lance Bragstad wrote:<br>
[...]<br>
<div class="quoted-text">> These security-related corner cases have always come up in the past when<br>
> we've talked about implementing reseller. Another good example that I<br>
> struggle with is what happens when you flip the reseller bit for a project<br>
> admin who goes off and creates their own entities but then wants support?<br>
> What does the support model look like for the project admin that needs help<br>
> in a way that maintains data integrity?<br>
<br>
</div>It's still entirely unclear to me how giving someone the ability to<br>
hide resources you've delegated them access to create in any way<br>
enables "reseller" use cases. I can understand the global admins<br>
wanting to have optional views where they don't see all the resold<br>
hierarchy (for the sake of their own sanity), but why would a<br>
down-tree admin have any expectation they could reasonably hide<br>
resources they create from those who maintain the overall system?<br>
<br>
In other multi-tenant software I've used where reseller<br>
functionality is present, top-level admins have some means of<br>
examining delegated resources and usually even of impersonating<br>
their down-tree owners for improved supportability.<br>
<div class="elided-text">--<br>
Jeremy Stanley<br>
<br>
______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
</div></blockquote></div><br></div></div><div class="gmail_extra" dir="auto">Hiding projects is a lot like implementing Mandatory Access Control within OpenStack. I would like to go on record and say we should squash the hidden projects concept (within a single hierarchy). If we want to implement MAC (SELinux equivalent) in OpenStack, we have a much, much, bigger scope to cover than just in Keystone, and this feels outside the scope of any heirarchical multi-tenancy work that has been done/will be done.</div><div class="gmail_extra" dir="auto"><br></div><div class="gmail_extra" dir="auto">TL DR: let's not try and hide projects from users with rights in the same (peer, or above) hierarchy.</div></div>