<div dir="ltr">Hi all, I am trying to configure my policy.json files so that only the instance owner (user not project) can associate or disassociate the floating IP. Users with the "admin" role and users with the "tenant_admin" role in the same tenant should also be allowed. The following settings have worked for other resources (instances, volumes, etc.) but don't work for floating ips.<div>


<br></div><div>...</div><div>    "context_is_admin":  "role:admin",<br></div><div>    "context_is_tenant_admin": "role:tenant_admin and project_id:%(project_id)s",<br></div><div>    "admin_or_owner":  "is_admin:True or is_tenant_admin:True or user_id:%(user_id)s",<br>


</div><div>...</div><div><div>    "network:associate_floating_ip": "rule:admin_or_owner",</div><div>    "network:disassociate_floating_ip": "rule:admin_or_owner",</div></div><div>...</div>

<div><br></div><div>With these settings, non-tenant_admin's can still associate and disassociate IPs for other user's instances. Is there another context attribute that I should be setting for floating IPs?</div>
<div>
<br></div><div>Thanks,<br>~ Scott</div></div>