<div dir="ltr">Yep what Logan said. I'm pretty sure Sean Dague talked about this at the last Operator's mid-cycle.  The "blank" policy.json just means you get the default policies. You set a value to override the defaults.<div><br></div><div>I don't see it in the Ocata relnotes but git indicates this is where it happened:</div><div><br></div><div><a href="https://github.com/openstack/nova/blob/stable/mitaka/etc/nova/policy.json">https://github.com/openstack/nova/blob/stable/mitaka/etc/nova/policy.json</a><br></div><div><a href="https://github.com/openstack/nova/blob/stable/newton/etc/nova/policy.json">https://github.com/openstack/nova/blob/stable/newton/etc/nova/policy.json</a><br></div><div><br></div><div>again, no change in behavior...</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 23, 2017 at 3:06 PM, Logan V. <span dir="ltr"><<a href="mailto:logan@protiumit.com" target="_blank">logan@protiumit.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I think this actually started in Newton. Yes it ships blank, however<br>
there is still a default policy implemented as before with similar<br>
defaults separating the admin and user roles. The default policy is<br>
implemented in the nova code base<br>
(<a href="https://github.com/openstack/nova/tree/stable/newton/nova/policies" rel="noreferrer" target="_blank">https://github.com/openstack/<wbr>nova/tree/stable/newton/nova/<wbr>policies</a>)<br>
and overrides can be provided using policy.json (which also accepts<br>
yaml despite what the file extension would lead you to believe). The<br>
difference now is that the default policy is not enumerated in a<br>
policy.json file by default. You can obtain the default policy by<br>
running<br>
oslopolicy-sample-generator --namespace nova<br>
<br>
There are also several other oslopolicy-* tools like<br>
oslopolicy-list-redundant - can be used to list policies defined in<br>
the policy.json which are redundant to the default policy<br>
oslopolicy-checker -test access against a specific policy item<br>
oslopolicy-policy-generator - dump a consolidated view of the policy<br>
(ie defaults combined with overrides) for use with ie. horizon's<br>
policy things. One thing I found with exporting this dump from nova<br>
and using it in horizon is that you must define a policy called<br>
"default" (usually set to "rule:admin_or_owner") because it is not<br>
included in the dump and it seemed to cause some odd behavior in<br>
horizon like the instances tab not showing up under the admin panel.<br>
<div><div class="h5"><br>
<br>
On Thu, Feb 23, 2017 at 1:52 PM, Edgar Magana <<a href="mailto:edgar.magana@workday.com">edgar.magana@workday.com</a>> wrote:<br>
> Am I understanding correctly that in Ocata release, the policy.json file for<br>
> NOVA is blank?<br>
><br>
> What does that mean for us (operators)? Everything will be open for<br>
> everybody for the other way around?<br>
><br>
><br>
><br>
> In any case, that sounds like an awful approach because know if we upgrade<br>
> we will need to be sure that we have a proper json file while in the past we<br>
> at least were starting from the default one.<br>
><br>
><br>
><br>
> Edgar<br>
><br>
><br>
><br>
> From: David Medberry <<a href="mailto:openstack@medberry.net">openstack@medberry.net</a>><br>
> Date: Thursday, February 23, 2017 at 10:45 AM<br>
> To: "<a href="mailto:openstack-operators@lists.openstack.org">openstack-operators@lists.<wbr>openstack.org</a>"<br>
> <<a href="mailto:openstack-operators@lists.openstack.org">openstack-operators@lists.<wbr>openstack.org</a>><br>
> Subject: [Openstack-operators] Policy Updates<br>
><br>
><br>
><br>
> Nova no longer ships with a fleshed-out skeleton of all policy.json. It<br>
> ships blank.<br>
><br>
><br>
><br>
> Discussion in here on how to help operators select specific settings to<br>
> include in their policy.json via documentation.<br>
><br>
><br>
><br>
> You (as an op) may want to review and comment on this. This model is being<br>
> proposed for all openstack projects (or at least MORE openstack projects.)<br>
><br>
><br>
><br>
> <a href="https://review.openstack.org/#/c/433010" rel="noreferrer" target="_blank">https://review.openstack.org/#<wbr>/c/433010</a><br>
><br>
><br>
</div></div>> ______________________________<wbr>_________________<br>
> OpenStack-operators mailing list<br>
> <a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.<wbr>openstack.org</a><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-operators</a><br>
><br>
</blockquote></div><br></div>