<div dir="ltr">The Policy file is not a filtering agent.   It basically just provides ACL type of abilities.  <div><br></div><div>"Can you do this action?  True/False"</div><div>"Do you have the right permissions to call this action? True/False"</div><div><br></div><div>If you wanted to pull back just the instances that the user owns, then you would actually have to write some code that would call that particular filtering action.  </div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 5, 2015 at 11:01 AM, Salman Toor <span dir="ltr"><<a href="mailto:salman.toor@it.uu.se" target="_blank">salman.toor@it.uu.se</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div style="word-wrap:break-word">
<div style="margin:0px">Hi, </div>
<div style="margin:0px"><br>
</div>
<div style="margin:0px"><br>
</div>
<div style="margin:0px">I am trying to setup the policies for nova. Can you please have a look if thats correct?  </div>
<div style="margin:0px"><br>
</div>
<div style="margin:0px;font-size:11px;font-family:Menlo"><br>
</div>
<div style="margin:0px;font-size:11px;font-family:Menlo">nova/policy.json</div>
<div style="margin:0px;font-size:11px;font-family:Menlo"><span style="font-family:Helvetica;font-size:12px">————————————————————————————————</span></div>
<div style="margin:0px;font-size:11px;font-family:Menlo">"context_is_admin":  "role:admin",</div>
<div style="margin:0px;font-size:11px;font-family:Menlo">"admin_or_owner":  "is_admin:True or project_id:%(project_id)s",</div>
<div style="margin:0px;font-size:11px;font-family:Menlo">"owner":  "user_id:%(user_id)s",</div>
<div style="margin:0px;font-size:11px;font-family:Menlo">"admin_or_user": "is_admin:True or user_id:%(user_id)s",</div>
<div style="margin:0px;font-size:11px;font-family:Menlo">"default": "rule:admin_or_owner”,</div>
<div style="margin:0px;font-size:11px;font-family:Menlo"><br>
</div>
<div style="margin:0px;font-size:11px;font-family:Menlo">
<div style="margin:0px">"compute:get_all": “rule:admin_or_user",</div>
</div>
<div>————————————————————————————————</div>
<div><br>
</div>
<div>I want users to only see there own instances, not the instances of all the users in the same tenant. </div>
<div><br>
</div>
<div>I have restarted the nova-api service on controller, but no effect. I have noticed that if I put “rule:<span style="font-family:Menlo;font-size:11px">context_is_admin</span>”  in “<span style="font-family:Menlo;font-size:11px">compute:get_all</span>"
 than except “admin" no one can see anything so system is reading the file correctly. </div>
<div><br>
</div>
<div>Important: </div>
<div><br>
</div>
<div>1 - I haven’t changed the <span style="font-family:Menlo;font-size:11px"> </span><span style="font-family:Menlo;font-size:11px">/etc/openstack-dashboard/nova_policy.json</span><span style="font-family:Menlo;font-size:11px"> </span></div>
<div><span style="font-family:Menlo;font-size:11px"><br>
</span></div>
<div>2 - I have only used the command line client tool to confirm the behaviour. </div>
<div><br>
</div>
<div>I am running Juno release.</div>
<div><br>
</div>
<div>Please point to some document that discuss all the policy parameters.</div>
<div><br>
</div>
<div>Thanks in advance. </div><span class="HOEnZb"><font color="#888888">
<div><br>
</div>
<div>/Salman</div>
</font></span></div>

<br>_______________________________________________<br>
OpenStack-operators mailing list<br>
<a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators</a><br>
<br></blockquote></div><br></div>