จำกัดขอบเขตผู้ใช้ให้กับโครงการใน openstack

ฉันมี openstack victoria cloud setup ฉันใช้นโยบายเริ่มต้นของคีย์สโตนและไม่ได้ทำการเปลี่ยนแปลงใดๆ กับนโยบายนั้น

ฉันได้สร้างชื่อผู้ใช้ทดสอบ testuser ใน openstack ฉันกำหนดให้โปรเจ็กต์หลักเป็นโปรเจ็กต์ทดสอบและบทบาทผู้ดูแลระบบ แต่เมื่อฉันเข้าสู่ระบบในฐานะผู้ใช้ทดสอบ ฉันก็สามารถเข้าถึงโครงการผู้ดูแลระบบได้เช่นกัน มันเหมือนกับว่าขอบเขตของฉันไม่จำกัดเฉพาะโครงการทดสอบ

ตามเอกสาร

https://docs.openstack.org/keystone/latest/admin/service-api-protection.html

ผู้ดูแลโครงการสามารถดูและแก้ไขข้อมูลภายในโครงการที่ได้รับอนุญาตเท่านั้น พวกเขาสามารถดูข้อมูลเกี่ยวกับโครงการและตั้งค่าแท็กในโครงการของตนได้ พวกเขาไม่ได้รับอนุญาตให้ดูระบบหรือทรัพยากรของโดเมน เนื่องจากจะเป็นการละเมิดการครอบครองการมอบหมายบทบาทของพวกเขา เนื่องจากทรัพยากรส่วนใหญ่ใน API ของ Keystone เป็นระบบและโดเมนเฉพาะ ผู้ดูแลโครงการจึงไม่มีสิทธิ์มากนัก

รายการกำหนดบทบาท openstack --names --project testproject --role admin
+-------+--------------+------+------------ -------+--------+--
| บทบาท | ผู้ใช้ | กลุ่ม | โครงการ | โดเมน | ระบบ | สืบทอด |
+-------+--------------+------+------------ -------+--------+--
| ผู้ดูแลระบบ | ผู้ทดสอบ@ค่าเริ่มต้น | | testproject@Default | | | เท็จ |
+-------+--------------+------+------------ -------+--------+--

# รายการกำหนดบทบาท openstack --ชื่อ --ผู้ดูแลโครงการ
+-------+------------+-------+------------+- -------+--------+--
| บทบาท | ผู้ใช้ | กลุ่ม | โครงการ | โดเมน | ระบบ | สืบทอด |
+-------+------------+-------+------------+- -------+--------+--
| ผู้ดูแลระบบ | admin@ค่าเริ่มต้น | | admin@ค่าเริ่มต้น | | | เท็จ |
+-------+------------+-------+------------+- -------+--------+--

ฉันควรทำอย่างไรเพื่อจำกัดผู้ใช้ให้อยู่ในขอบเขตของโครงการหลักที่ได้รับมอบหมาย