Hi,<br><br>Where I can get a complete list of policy.json options?<br><br>I also noticed the policy.json file but couldn't find a documentation for it.<br><br>I also wanted to restrict the viewership of the servers to the owner_user, project_admin and admin only.<br>So he can access/change the other users' instances.<br><br>Regards,<br>Vaibhav<br><blockquote><br>---------- Original message ----------<br>From:"Eoghan Glynn"< eglynn@redhat.com ><br>Date: 25 Mar 13 18:21:48<br>Subject: Re: [rhos-list] Control Access to instance termination<br>To: Kumar Vaibhav <vaibhav.k.agarwal@in.com><br>Cc: rhos-list <rhos-list@redhat.com><br><br><br><br>> Hi,<br>> <br>> I want to restrict the user to see other user's instances.<br>> <br>> Default behaviour is that a user can see all the servers in his<br>> tenant-id.<br>> <br>> He can suspend, delete, pause etc to the instances created by the<br>> other users.<br>> <br>> Can this be restrict
 ed? I want the full previlige to the owner(user<br>> who created the instance) of the instance. And no privilige to the<br>> other users (except admin) on other users' instances.<br>> <br>> I don't want to create a tenant for each user to solve this problem.<br>> <br>> Regards,<br>> Vaibhav<br><br><br>This is a requirement that would ideally be handled via the rules-based<br>access control (RBAC) logic.<br><br>Currently in nova, a rule such as:<br><br>  "admin_or_owner":  "is_admin:True or project_id:%(project_id)s"<br><br>can be used to specify that an action is restricted to the admin<br>role or the tenant owning the resource.<br><br>What you would need I believe is a rule like:<br><br>    "admin_or_user": "is_admin:True or user_id:%(user_id)s",<br><br>then restrict the instance delete etc. actions via:<br><br>    "compute:delete": "rule:admin_or_user",<br>    # ... etc.<br><br>All changes applied to /etc/nova/policy.json followed by:<br><br>    # serv
 ice openstack-nova-api restart<br><br>I've tested briefly against master upstream, but I'd be interested<br>hearing your experience with the RHOS version you've got deployed.<br><br>Cheers,<br>Eoghan<br></blockquote><br><br><div style="border-top:1px dashed #ccc; border-bottom:1px dashed #ccc; padding:5px;"><a href="http://www3.in.com/sso/commonregister.php?ref=IN&utm_source=invite&utm_medium=outgoing" style="font:13px arial; color:#1E56A1; text-decoration:none;">Get Yourself a cool, short <b>@in.com</b> Email ID now!</a></div>