Fix bug 724
[osm/NBI.git] / osm_nbi / roles_to_operations.yml
1 # Copyright 2018 Whitestack, LLC
2 #
3 # Licensed under the Apache License, Version 2.0 (the "License"); you may
4 # not use this file except in compliance with the License. You may obtain
5 # a copy of the License at
6 #
7 #         http://www.apache.org/licenses/LICENSE-2.0
8 #
9 # Unless required by applicable law or agreed to in writing, software
10 # distributed under the License is distributed on an "AS IS" BASIS, WITHOUT
11 # WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. See the
12 # License for the specific language governing permissions and limitations
13 # under the License.
14 #
15 # For those usages not covered by the Apache License, Version 2.0 please
16 # contact: esousa@whitestack.com or glavado@whitestack.com
17 ##
18
19 ---
20 roles_to_operations:
21
22 ##
23 # This file defines the mapping between user roles and operation permission.
24 # It uses the following pattern:
25 #
26 #    - role: <ROLE_NAME>
27 #      operations:
28 #        "<OPERATION>": true | false
29 #
30 # <ROLE_NAME> defines the name of the role. This name will be matched with an
31 # existing role in the RBAC system.
32 #
33 # NOTE: The role will only be used if there is an existing match. If there
34 #       isn't a role in the system that can be matched, the operation permissions
35 #       won't yield any result.
36 #
37 # operations: is a list of operation permissions for the role. An operation
38 # permission is defined using the following pattern:
39 #
40 #    "<OPERATION>": true | false
41 #
42 # The operations are defined using an hierarchical tree. For this purpose, an
43 # <OPERATION> tag can represents the path for the following:
44 #    - Root
45 #    - Node
46 #    - Leaf
47 #
48 # The root <OPERATION> tag is defined using "." and the default value is false.
49 # When you use this tag, all the operation permissions will be set to the value
50 # assigned.
51 # NOTE 1: The default value is false. So if a value isn't specified, it will
52 #         default to false.
53 # NOTE 2: The root <OPERATION> tag can be overridden by using more specific tags
54 #         with a different value.
55 #
56 # The node <OPERATION> tag is defined by using an internal node of the tree, i.e.
57 # "nsds", "users.id". A node <OPERATION> tag will affect all the nodes and leafs
58 # beneath it. It can be used to override a root <OPERATION> tag.
59 # NOTE 1: It can be overridden by using a more specific tag, such as a node which
60 #         is beneath it or a leaf.
61 #
62 # The leaf <OPERATION> tag is defined by using a leaf of the tree, i.e. "users.post",
63 # "ns_instances.get", "vim_accounts.id.get". A leaf <OPERATION> tag will override all
64 # the values defined by the parent nodes, since it is the more specific tag that can
65 # exist.
66 #
67 # General notes:
68 #    - In order to find which tags are in use, check the resources_to_operations.yml.
69 #    - In order to find which roles are in use, check the RBAC system.
70 #    - Non existing tags will be ignored.
71 #    - Tags finishing in a dot (excluding the root <OPERATION> tag) will be ignored.
72 #    - The anonymous role allows to bypass the role definition for paths that
73 #      shouldn't be verified.
74 ##
75
76   - role: "system_admin"
77     operations:
78       ".": true
79
80   - role: "account_manager"
81     operations:
82       ".": false
83       "tokens": true
84       "users": true
85       "projects": true
86       "roles": true
87
88   - role: "project_admin"
89     operations:
90       ".": true
91       # Users
92       "users.post": false
93       "users.id.post": false
94       "users.id.delete": false
95       # Projects
96       "projects": false
97       # Roles
98       "roles": false
99
100   - role: "project_user"
101     operations:
102       ".": true
103       # NS Instances
104       "ns_instances": false
105       "ns_instances.get": true
106       # VNF Instances
107       "vnf_instances": false
108       # Users
109       "users": false
110       "users.id.get": true
111       "users.id.put": true
112       "users.id.patch": true
113       # Projects
114       "projects": false
115       # VIMs
116       "vims": false
117       "vims.get": true
118       "vims.id.get": true
119       # VIM Accounts
120       "vim_accounts": false
121       "vim_accounts.get": true
122       "vim_accounts.id.get": true
123       # SDN Controllers
124       "sdn_controllers": false
125       "sdn_controllers.get": true
126       "sdn_controllers.id.get": true
127       # WIMs
128       "wims": false
129       "wims.get": true
130       "wims.id.get": true
131       # WIM Accounts
132       "wim_accounts": false
133       "wim_accounts.get": true
134       "wim_accounts.id.get": true
135
136   - role: "anonymous"
137     operations: