openstack的角色是對項目而言，不是對用戶，當把一個用戶添加到某個項目下的時候必須賦予這個用戶在這個項目下的操作權限：角色。角色實現的后臺機制就是openstack的policy規則，這套規則的作用粒度是對api操作做規則堅持，目前只有兩類角色，admin和普通角色（heat等等會創建一些角色來做訪問控制）。

基于角色和基于組的訪問控制還是有差別的。

他們二者的區別在于對權限本身的視角不一樣，組是擁有相同權限的用戶的集合，角色是擁有特定權限的一類用戶的代稱。

也就是說，組是用戶的集合，然而并不是權限的集合
角色是權限的集合，同時也具備用戶集的概念

當使用組的訪問控制系統，只允許特定人員賦予組所有的權限的時候，那么就和角色的概念很相近了。組可以作為實現RBAC的一種策略。

以上內容都可以在RBAC的最初論文中找到完整的解讀，手機碼字就不貼文獻引用了先，這論文應該是九十年代的了，很經典，也很好找，翻譯版也有，希望深究的話推薦一讀！