<div dir="ltr"><div>Thanks but I made a mistake because I forgot to change  user variables before deleting the instance.</div><div>User belonging to user role cannot delete instances of other projects.</div><div>Sorry for my mistake</div><div>Regards</div><div>Ignazio<br></div></div><br><div class="gmail_quote"><div dir="ltr">Il giorno gio 6 set 2018 alle ore 16:41 iain MacDonnell <<a href="mailto:iain.macdonnell@oracle.com">iain.macdonnell@oracle.com</a>> ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<br>
On 09/06/2018 06:31 AM, Ignazio Cassano wrote:<br>
> I installed openstack ocata on centos and I saw /etc/nova/policy.json <br>
> coontains the following:<br>
> {<br>
> }<br>
> <br>
> I created an instance in a a project "admin" with user admin that <br>
> belogns to admin project<br>
> <br>
> I created a demo project with a user demo with "user" role.<br>
> <br>
> Using command lines (openstack server list --all-projects) the user demo <br>
> can list the admin instances and can also delete one of them.<br>
> <br>
> I think this is a bug and a nova policy.json must be created with some <br>
> rules for avoiding the above.<br>
<br>
See <br>
<a href="https://specs.openstack.org/openstack/nova-specs/specs/newton/implemented/policy-in-code.html" rel="noreferrer" target="_blank">https://specs.openstack.org/openstack/nova-specs/specs/newton/implemented/policy-in-code.html</a><br>
<br>
You have something else going on ...<br>
<br>
     ~iain<br>
<br>
<br>
<br>
<br>
_______________________________________________<br>
OpenStack-operators mailing list<br>
<a href="mailto:OpenStack-operators@lists.openstack.org" target="_blank">OpenStack-operators@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators</a><br>
</blockquote></div>