Affinché un Firebase Extension possa eseguire le azioni specificate, Firebase grants each instance of an installed extension limited access to your project and data via a service account.
Che cos'è un account di servizio?
Un account di servizio è un tipo speciale di account utente Google. Rappresenta un utente non umano che dispone dell'autorizzazione per accedere ai dati utilizzando le API di Google.
Durante l'installazione di un'estensione, Firebase crea un account di servizio nel tuo progetto. Ogni istanza installata di un'estensione ha il proprio account di servizio.
Firebase limita l'accesso al progetto e ai dati assegnando all'account di servizio di un'estensione ruoli (bundle di autorizzazioni) specifici. I ruoli richiesti da un'estensione per operare vengono determinati da Firebase durante lo sviluppo dell'estensione. Al momento dell'installazione, Firebase assegna questi ruoli all'account di servizio di un'estensione e non devi modificarli, aggiungerli o eliminarli (altrimenti l'estensione installata non funzionerà come previsto). Tuttavia, puoi disinstallare l'estensione, in modo da eliminare completamente l'account di servizio (e il relativo accesso).
Gli account di servizio creati per le estensioni sono nel formato:
ext-extension-instance-id@project-id.iam.gserviceaccount.com
Puoi visualizzare tutti i service account associati al tuo progetto Firebase nella scheda Service account delle
Autorizzazioni e ruoli
Durante lo sviluppo di un'estensione, Firebase determina il livello di accesso necessario per il suo funzionamento.
Firebase definisce questo livello di accesso elencando esplicitamente i ruoli (bundle di autorizzazioni) che Firebase deve assegnare all'account di servizio dell'estensione durante l'installazione.
Ogni ruolo (e le relative autorizzazioni intrinseche) si basa su un prodotto o servizio specifico. Esempi di ruoli sono firebasehosting.admin, bigquery.dataEditor
e firebasedatabase.admin. Firebase elenca i ruoli richiesti per un'estensione nel file delle specifiche dell'estensione (file extension.yaml).
Per le estensioni ufficiali Firebase, Firebase esamina attentamente questo elenco di ruoli per garantire che l'accesso di un'estensione sia strettamente limitato all'ambito delle attività dell'estensione. Puoi anche esaminare e confermare l'accesso concesso a un'estensione visualizzando la pagina dei dettagli dell'estensione nella dashboard di Firebase Extensions o il relativo file README.
Scopri le autorizzazioni incluse in ciascun ruolo:
Cosa succede quando disinstallo un'estensione?
Quando disinstalli un'estensione dal tuo progetto, Firebase elimina l'account di servizio creato per l'istanza dell'estensione. Dopo l'eliminazione dell'account di servizio, l'estensione non può essere eseguita nel progetto perché non ha più diritti di accesso al progetto o ai dati.