oslo_policy.policy:不允许的权限操作

在 Oslo Policy Library 中，有一些不允许的权限操作，这些操作被认为是危险的或不安全的，并且不应该被允许。以下是一些具体的示例：

1. 通过密码重置：不允许用户在没有进行身份验证的情况下重置密码。例如，如果用户忘记了他们的密码，他们应该根据预定的流程进行身份验证，然后才能重置密码。

示例策略规则：

'identity:reset_password': 'rule:deny_unauthenticated'

该规则禁止任何未经过身份验证的用户执行密码重置操作。

2. 通过 Bypassing quotas: 不允许用户绕过配额限制进行资源操作。例如，用户不应该能够通过某种方式超出其分配的资源配额。

示例策略规则：

'compute:create_server': 'rule:deny_over_quota'

该规则禁止用户在超出其分配的资源配额之上创建新的计算实例。

3. 通过强制操作：不允许用户强制执行某些操作。例如，某些操作可能会引发潜在的安全风险，因此应该禁止用户强制执行这些操作。

示例策略规则：

'network:delete_router': 'rule:deny_force_delete'

该规则禁止用户强制删除网络路由器，以防止意外或恶意的删除操作。

4. 通过跨项目访问资源：不允许用户越权访问其他项目的资源。例如，某些用户可能试图通过某种方式访问其他项目的敏感信息，这种访问是被禁止的。

示例策略规则：

'object-store:download_file': 'rule:deny_cross_project_access'

该规则禁止用户跨项目下载对象存储中的文件，以保护其他项目的数据安全。

5. 通过禁止的操作：不允许用户执行被禁止的操作。例如，某些特定的操作可能被认为是不必要的或不安全的，因此应该被禁止。

示例策略规则：

'server:reboot': 'rule:deny_specific_operation'

该规则禁止用户重新启动服务器，以防止不必要的服务中断或操作错误。

这些示例都是 Oslo Policy Library 中不允许的权限操作的一部分。这些规则旨在保护系统的安全性和可靠性，同时确保用户在其所需的权限范围内进行操作。