api/escalator/api/policy.py

   1 # Copyright (c) 2011 OpenStack Foundation
   2 # Copyright 2013 IBM Corp.
   3 # All Rights Reserved.
   4 #
   5 #    Licensed under the Apache License, Version 2.0 (the "License"); you may
   6 #    not use this file except in compliance with the License. You may obtain
   7 #    a copy of the License at
   8 #
   9 #         http://www.apache.org/licenses/LICENSE-2.0
  10 #
  11 #    Unless required by applicable law or agreed to in writing, software
  12 #    distributed under the License is distributed on an "AS IS" BASIS, WITHOUT
  13 #    WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. See the
  14 #    License for the specific language governing permissions and limitations
  15 #    under the License.
  16
  17 """Policy Engine For Escalator"""
  18
  19
  20 from oslo.config import cfg
  21 from oslo.log import log as logging
  22 from oslo.policy import policy
  23
  24 from escalator.common import exception
  25 from escalator import i18n
  26
  27
  28 LOG = logging.getLogger(__name__)
  29 CONF = cfg.CONF
  30
  31 DEFAULT_RULES = policy.Rules.from_dict({
  32     'context_is_admin': 'role:admin',
  33     'default': '@',
  34     'manage_image_cache': 'role:admin',
  35 })
  36
  37 _ = i18n._
  38 _LI = i18n._LI
  39 _LW = i18n._LW
  40
  41
  42 class Enforcer(policy.Enforcer):
  43     """Responsible for loading and enforcing rules"""
  44
  45     def __init__(self):
  46         if CONF.find_file(CONF.oslo_policy.policy_file):
  47             kwargs = dict(rules=None, use_conf=True)
  48         else:
  49             kwargs = dict(rules=DEFAULT_RULES, use_conf=False)
  50         super(Enforcer, self).__init__(CONF, overwrite=False, **kwargs)
  51
  52     def add_rules(self, rules):
  53         """Add new rules to the Rules object"""
  54         self.set_rules(rules, overwrite=False, use_conf=self.use_conf)
  55
  56     def enforce(self, context, action, target):
  57         """Verifies that the action is valid on the target in this context.
  58
  59            :param context: Escalator request context
  60            :param action: String representing the action to be checked
  61            :param target: Dictionary representing the object of the action.
  62            :raises: `escalator.common.exception.Forbidden`
  63            :returns: A non-False value if access is allowed.
  64         """
  65         credentials = {
  66             'roles': context.roles,
  67             'user': context.user,
  68             'tenant': context.tenant,
  69         }
  70         return super(Enforcer, self).enforce(action, target, credentials,
  71                                              do_raise=True,
  72                                              exc=exception.Forbidden,
  73                                              action=action)
  74
  75     def check(self, context, action, target):
  76         """Verifies that the action is valid on the target in this context.
  77
  78            :param context: Escalator request context
  79            :param action: String representing the action to be checked
  80            :param target: Dictionary representing the object of the action.
  81            :returns: A non-False value if access is allowed.
  82         """
  83         credentials = {
  84             'roles': context.roles,
  85             'user': context.user,
  86             'tenant': context.tenant,
  87         }
  88         return super(Enforcer, self).enforce(action, target, credentials)
  89
  90     def check_is_admin(self, context):
  91         """Check if the given context is associated with an admin role,
  92            as defined via the 'context_is_admin' RBAC rule.
  93
  94            :param context: Escalator request context
  95            :returns: A non-False value if context role is admin.
  96         """
  97         return self.check(context, 'context_is_admin', context.to_dict())