
<div dir="ltr">Yep what Logan said. I'm pretty sure Sean Dague talked about this at the last Operator's mid-cycle.  The "blank" policy.json just means you get the default policies. You set a value to override the defaults.<div><br></div><div>I don't see it in the Ocata relnotes but git indicates this is where it happened:</div><div><br></div><div><a href="https://github.com/openstack/nova/blob/stable/mitaka/etc/nova/policy.json">https://github.com/openstack/nova/blob/stable/mitaka/etc/nova/policy.json</a><br></div><div><a href="https://github.com/openstack/nova/blob/stable/newton/etc/nova/policy.json">https://github.com/openstack/nova/blob/stable/newton/etc/nova/policy.json</a><br></div><div><br></div><div>again, no change in behavior...</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 23, 2017 at 3:06 PM, Logan V. <span dir="ltr"><<a href="mailto:logan@protiumit.com" target="_blank">logan@protiumit.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I think this actually started in Newton. Yes it ships blank, however<br>

there is still a default policy implemented as before with similar<br>

defaults separating the admin and user roles. The default policy is<br>

implemented in the nova code base<br>

(<a href="https://github.com/openstack/nova/tree/stable/newton/nova/policies" rel="noreferrer" target="_blank">https://github.com/openstack/<wbr>nova/tree/stable/newton/nova/<wbr>policies</a>)<br>

and overrides can be provided using policy.json (which also accepts<br>

yaml despite what the file extension would lead you to believe). The<br>

difference now is that the default policy is not enumerated in a<br>

policy.json file by default. You can obtain the default policy by<br>

running<br>

oslopolicy-sample-generator --namespace nova<br>

<br>

There are also several other oslopolicy-* tools like<br>

oslopolicy-list-redundant - can be used to list policies defined in<br>

the policy.json which are redundant to the default policy<br>

oslopolicy-checker -test access against a specific policy item<br>

oslopolicy-policy-generator - dump a consolidated view of the policy<br>

(ie defaults combined with overrides) for use with ie. horizon's<br>

policy things. One thing I found with exporting this dump from nova<br>

and using it in horizon is that you must define a policy called<br>

"default" (usually set to "rule:admin_or_owner") because it is not<br>

included in the dump and it seemed to cause some odd behavior in<br>

horizon like the instances tab not showing up under the admin panel.<br>

<div><div class="h5"><br>

<br>

On Thu, Feb 23, 2017 at 1:52 PM, Edgar Magana <<a href="mailto:edgar.magana@workday.com">edgar.magana@workday.com</a>> wrote:<br>

> Am I understanding correctly that in Ocata release, the policy.json file for<br>

> NOVA is blank?<br>

><br>

> What does that mean for us (operators)? Everything will be open for<br>

> everybody for the other way around?<br>

><br>

><br>

><br>

> In any case, that sounds like an awful approach because know if we upgrade<br>

> we will need to be sure that we have a proper json file while in the past we<br>

> at least were starting from the default one.<br>

><br>

><br>

><br>

> Edgar<br>

><br>

><br>

><br>

> From: David Medberry <<a href="mailto:openstack@medberry.net">openstack@medberry.net</a>><br>

> Date: Thursday, February 23, 2017 at 10:45 AM<br>

> To: "<a href="mailto:openstack-operators@lists.openstack.org">openstack-operators@lists.<wbr>openstack.org</a>"<br>

> <<a href="mailto:openstack-operators@lists.openstack.org">openstack-operators@lists.<wbr>openstack.org</a>><br>

> Subject: [Openstack-operators] Policy Updates<br>

><br>

><br>

><br>

> Nova no longer ships with a fleshed-out skeleton of all policy.json. It<br>

> ships blank.<br>

><br>

><br>

><br>

> Discussion in here on how to help operators select specific settings to<br>

> include in their policy.json via documentation.<br>

><br>

><br>

><br>

> You (as an op) may want to review and comment on this. This model is being<br>

> proposed for all openstack projects (or at least MORE openstack projects.)<br>

><br>

><br>

><br>

> <a href="https://review.openstack.org/#/c/433010" rel="noreferrer" target="_blank">https://review.openstack.org/#<wbr>/c/433010</a><br>

><br>

><br>

</div></div>> ______________________________<wbr>_________________<br>

> OpenStack-operators mailing list<br>

> <a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.<wbr>openstack.org</a><br>

> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-operators</a><br>

><br>

</blockquote></div><br></div>