<div dir="ltr">you can archive what you want by modifying the policy.json of Nova and other projects to define readonly role, and create that role in keystone, then assign to users you want.</div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 19, 2017 at 3:15 PM, Chengwei Yang <span dir="ltr"><<a href="mailto:chengwei.yang.cn@gmail.com" target="_blank">chengwei.yang.cn@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi list,<br>
<br>
As I understand, keystone only defined two roles:<br>
<br>
  - admin<br>
  - non-admin, but can be any role name you want, role1, role2, user, _member_, whatever<br>
<br>
say there are quite few people in the same project, so far, the users<br>
assigned with the same role has exactly the same right to a project.<br>
<br>
Is it possible to create a role with read-only capabilities with all<br>
resources in a project?<br>
<br>
If so, any hints?<br>
<br>
In addition, I'd like to create a role which isn't admin but can manage<br>
projects(create project, delete his project, manage project members and<br>
etc.)<br>
<br>
thanks in advance!<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Thanks,<br>
Chengwei<br>
</font></span><br>______________________________<wbr>_________________<br>
Mailing list: <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack</a><br>
Post to     : <a href="mailto:openstack@lists.openstack.org">openstack@lists.openstack.org</a><br>
Unsubscribe : <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Tang Yaguang</div><div><br></div><br><div> </div></div></div>
</div>