<div dir="ltr">Marc,<div><br></div><div>This sounds like a Nova bug.  Have you filed a bug with the Nova project for this?  That is probably the best way to get this in front of the right eyes.</div><div><br></div><div><a href="https://bugs.launchpad.net/nova/+bugs">https://bugs.launchpad.net/nova/+bugs</a><br>

</div><div><br></div><div>Cheers,</div><div>-bryan</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Mar 3, 2014 at 8:35 AM, Marc Heckmann <span dir="ltr"><<a href="mailto:marc.w.heckmann@gmail.com" target="_blank">marc.w.heckmann@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
I sent this to the general list last week, but it hasn't seemed to get<br>
any traction there, so I'm trying here. Sorry for the cross posting.<br>
<br>
It seems that when using the EC2 API, the security group<br>
implementation does not enforce RBAC policy for the add_rules,<br>
remove_rules, destroy and other functions (in compute/api.py). Only<br>
the add_to_instance and remove_from_instance functions enforce RBAC.<br>
This seems like an oversight for obvious reasons.<br>
<br>
The Nova API security group implementation does enforce RBAC on these functions.<br>
<br>
Does anyone know why?<br>
<br>
Thanks in advance.<br>
<br>
-m<br>
<br>
_______________________________________________<br>
Openstack-security mailing list<br>
<a href="mailto:Openstack-security@lists.openstack.org">Openstack-security@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security</a><br>
</blockquote></div><br></div>