openstack的角色是對項(xiàng)目而言，不是對用戶，當(dāng)把一個(gè)用戶添加到某個(gè)項(xiàng)目下的時(shí)候必須賦予這個(gè)用戶在這個(gè)項(xiàng)目下的操作權(quán)限：角色。角色實(shí)現(xiàn)的后臺機(jī)制就是openstack的policy規(guī)則，這套規(guī)則的作用粒度是對api操作做規(guī)則堅(jiān)持，目前只有兩類角色，admin和普通角色（heat等等會創(chuàng)建一些角色來做訪問控制）。

基于角色和基于組的訪問控制還是有差別的。

他們二者的區(qū)別在于對權(quán)限本身的視角不一樣，組是擁有相同權(quán)限的用戶的集合，角色是擁有特定權(quán)限的一類用戶的代稱。

也就是說，組是用戶的集合，然而并不是權(quán)限的集合
角色是權(quán)限的集合，同時(shí)也具備用戶集的概念

當(dāng)使用組的訪問控制系統(tǒng)，只允許特定人員賦予組所有的權(quán)限的時(shí)候，那么就和角色的概念很相近了。組可以作為實(shí)現(xiàn)RBAC的一種策略。

以上內(nèi)容都可以在RBAC的最初論文中找到完整的解讀，手機(jī)碼字就不貼文獻(xiàn)引用了先，這論文應(yīng)該是九十年代的了，很經(jīng)典，也很好找，翻譯版也有，希望深究的話推薦一讀！