Capitole du Libre 2025

Autorisation fine et centralisée pour OpenStack avec Open Policy Agent
16/11/2025 , A002

OpenStack repose sur un système de contrôle d'accès hybride basé sur les rôles et les attributs. Les policies (quel rôle est nécessaire pour quelle action) sont définies dans le code source et paramétrables via des fichiers de configuration. La bibliothèque oslo.policy applique ces politiques d'accès au sein des composants OpenStack. Ce mécanisme montre ses limites dès lors que des politiques plus dynamiques, définies de manière programmatique, deviennent nécessaires, par exemple pour implémenter des contrôles d'accès plus fins.
Le projet Open Policy Agent (OPA), issu de la CNCF, peut permettre de surmonter ces limitations, en s'interfaçant avec oslo.policy. Nous partagerons notre expérience d'un tel déploiement dans un contexte de cloud public en production : architecture globale et ajustements nécessaires pour assurer un fonctionnement optimal, notamment en termes de performance.
Venez découvrir comment intégrer OPA avec un cloud OpenStack pour bénéficier de politiques d'accès dynamiques en un clin d’œil !

Site Reliability Engineer (SRE) chez SysEleven, fournisseur d'un cloud public OpenStack.