<div dir="ltr">I would like to set a policy so that attachments operations can be done only by the user who created that volume. To do that I created this [*] policy.yaml file.<div><br><div>I verified that with such policy file:</div><div>-  I am able to attach volumes only for the volumes I created </div><div>- I can attach my volumes also to instances owned by other users</div><div>- I can not attach volumes belonging to other users to my instances</div><div><br></div><div>So far so good.</div><div><br></div><div>But I am allowed to detach any volume from any instance, even if I am not the owner of that volume, and this is not what I want</div><div><br></div><div>What am I doing wrong ?</div><div><br></div><div>Thanks, Massimo</div><div><div><br></div><div><br></div><div><br><div><br></div><div>[*]</div><div>#<br># To be used when another member of the same project can't change something<br># created by another user of the same project<br>"admin_or_user":  "is_admin:True or (role:admin and is_admin_project:True) or user_id:%(user_id)s"<br></div><div># Create attachment.<br># POST  /attachments<br>"volume:attachment_create": "rule:admin_or_user"<br><br># Update attachment.<br># PUT  /attachments/{attachment_id}<br>"volume:attachment_update": "rule:admin_or_user"<br><br># Delete attachment.<br># DELETE  /attachments/{attachment_id}<br>"volume:attachment_delete": "rule:admin_or_user"<br><br># Mark a volume attachment process as completed (in-use)<br># POST  /attachments/{attachment_id}/action (os-complete)<br>"volume:attachment_complete": "rule:admin_or_user"<br></div></div></div></div></div>