角色分配通知¶
bp role-assignment-notifications
在 Juno 版本中,扩展 Keystone 发出的通知,增加对角色分配的支持。
问题描述¶
假设一个用户恶意决定将角色分配给不应该拥有该角色的另一个用户,或者移除另一个用户的角色分配。截至 Icehouse 版本,只有通过查看 Keystone 日志才能确定责任方。如果 Keystone 为这些类型的事件发出通知,审计将变得更容易。
提议的变更¶
创建一个新的装饰器,为
create_grant和delete_grant事件发出 CADF 通知。CADF 通知的主体应包含角色 ID、用户 ID 或组 ID(执行者)以及项目 ID 或域 ID(目标)。
备选方案¶
管理员可以查看 Keystone 日志以查找责任用户;但是,考虑到日志文件的大小,这可能非常困难。
安全影响¶
无
通知影响¶
在分配 API 的 manager 层级为 create_grant 和 delete_grant 创建 CADF 通知。
其他最终用户影响¶
无
性能影响¶
无
其他部署者影响¶
现在可以审计由 CADF 通知生成的审计事件。
开发人员影响¶
无
实现¶
负责人¶
主要负责人
stevemar (Steve Martinelli <stevemar@ca.ibm.com>)
工作项¶
将
create_grant暴露到 manager 层级。请注意,delete_grant已经暴露在 manager 层级。创建一个专门用于角色分配的新装饰器。
依赖项¶
无
文档影响¶
增强现有文档,以包含角色分配事件的预期负载。
