<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:"Yu Gothic";
        panose-1:2 11 4 0 0 0 0 0 0 0;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"\@Yu Gothic";
        panose-1:2 11 4 0 0 0 0 0 0 0;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        font-size:10.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style>
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72" style="word-wrap:break-word">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt">Hi Piotr,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">That is likely due to the enforce_scope configuration option being set as False by default [0]<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">We’re not to a point yet where you can safely give someone the admin role on any project. [1][2]<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">Kristi<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[0]. <a href="https://docs.openstack.org/oslo.policy/latest/configuration/index.html#oslo-policy">
https://docs.openstack.org/oslo.policy/latest/configuration/index.html#oslo-policy</a><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[1]. <a href="https://governance.openstack.org/tc/goals/proposed/consistent-and-secure-rbac.html">
https://governance.openstack.org/tc/goals/proposed/consistent-and-secure-rbac.html</a><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt">[2]. <a href="https://review.opendev.org/c/openstack/governance/+/815158">
https://review.opendev.org/c/openstack/governance/+/815158</a> <o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt"><o:p> </o:p></span></p>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal" style="margin-bottom:12.0pt"><b><span style="font-size:12.0pt;color:black">From:
</span></b><span style="font-size:12.0pt;color:black">Piotr Misiak <piotrmisiak1984@gmail.com><br>
<b>Date: </b>Wednesday, November 24, 2021 at 05:04<br>
<b>To: </b>openstack-discuss@lists.openstack.org <openstack-discuss@lists.openstack.org><br>
<b>Subject: </b>[keystone][policy][ussuri] why I can create a domain<o:p></o:p></span></p>
</div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span style="font-size:11.0pt">Hi,<br>
<br>
Maybe a stupid question but I'm really confused.<br>
<br>
In my Ussuri cloud Keystone has a following policy for create_domain<br>
action (this is a default policy from Keystone code):<br>
<br>
"identity:create_domain": "role:admin and system_scope:all"<br>
<br>
<br>
I have a user which has "admin" role assigned in project "admin" in<br>
domain "default" - AKA cloud admin.<br>
<br>
The user does not have any roles assigned on system scope.<br>
<br>
<br>
Could someone please explain why this user is able to create a domain in<br>
the cloud?<br>
<br>
Looking at the policy rule he shouldn't or maybe I'm reading it in a<br>
wrong way?<br>
<br>
<br>
Is there any "backward compatibility" casting "cloud admin" role to<br>
"system_scope:all"?<br>
<br>
<br>
Please help<br>
<br>
Thanks<br>
<br>
Piotr<br>
<br>
<br>
<o:p></o:p></span></p>
</div>
</div>
</body>
</html>