openstack新建用户直接操作项目中的实例？

老师，你好！

目前正在从事openstack项目中horizon源码的二次开发工作，目前有一个业务点，没有思路，望指点！我的问题描述如下：
在horizon控制台中新建一些新的用户，这些用户能够操作项目中的实例，这个horizon直接可以做到，我们想法是新建好的用户在操作项目中的实例能够绑定到固定的用户身上，也就是说新建的某个用户只能操作某些项目中固定的新建好的实例，请问下有什么好的办法实现？

我目前研究的程度如下：源码部分，阅读研究了dashboard里面的keyston_policy.json文件，但据我的理解，policy文件能够实现的user对项目这个粒度的控制是可以的，但更细的粒度比如项目下实例，这个粒度，我就不太明白了！openstack官方社区对keyston_policy.json里的一些语法解释不太足，网上的资料不够多！

"owner" : "user_id:%(user_id)s",
    "admin_or_owner": "rule:admin_required or rule:owner",
    "token_subject": "user_id:%(target.token.user_id)s",

user_id:%(user.id)s  这个规则是什么意思，%(user.id)s是表示当前用户的id吗