Aby rozszerzenie mogło wykonywać określone działania, Firebase przyznaje każdemu wystąpieniu zainstalowanego rozszerzenia ograniczony dostęp do projektu i jego danych za pomocą konta usługi.
Czym jest konto usługi?
Konto usługi to specjalny rodzaj konta użytkownika Google. Jest to użytkownik, który nie jest człowiekiem i który może wykonywać autoryzowane wywołania interfejsów API do usług Google.
Podczas instalacji rozszerzenia Firebase tworzy konto usługi dla rozszerzenia w projekcie. Każda zainstalowana instancja rozszerzenia ma własne konto usługi. Jeśli instancja rozszerzenia zostanie odinstalowana, Firebase usunie konto usługi tego rozszerzenia.
Konta usługi utworzone dla rozszerzeń mają format:
ext-extension-instance-id@project-id.iam.gserviceaccount.com
Firebase ogranicza dostęp rozszerzenia do projektu i jego danych, przypisując do konta usługi rozszerzenia określone role (pakiety uprawnień). Podczas tworzenia rozszerzenia musisz określić, jakie role są wymagane do jego działania, a potem podać te role i uzasadnić, dlaczego rozszerzenie ich potrzebuje w pliku extension.yaml (patrz przykład na dole tej strony).
Określ, jakich ról wymaga Twoje rozszerzenie
Podczas tworzenia rozszerzenia określasz poziom dostępu, którego potrzebuje ono do działania.
Podczas instalacji narzędzie wiersza poleceń Firebase wyświetla użytkownikowi monit o zaakceptowanie poziomu dostępu przyznanego przez każdą rolę. Jeśli rozszerzenie wymaga więcej ról, niż jest to konieczne, użytkownicy mogą być mniej skłonni do jego zainstalowania.
Sprawdź, czy Twoje rozszerzenie wchodzi w interakcję z usługą:
Jeśli Twoja rozszerzenie współdziała z jakimś produktem, musisz przyznać temu produktowi dostęp do rozszerzenia.
Jeśli na przykład rozszerzenie zapisuje dane w instansji Realtime Database, potrzebuje roli Realtime Database (dokładnie
firebasedatabase.admin).Jeśli rozszerzenie tylko nasłuchuje na wywołanie zdarzenia z produktu, nie musi mieć roli powiązanej z tym produktem.
Jeśli na przykład rozszerzenie uruchamia się po zapisaniu danych w instancji Realtime Database (ale nie zapisuje niczego w bazie danych), nie potrzebuje roli Realtime Database.
Gdy określisz, z jakimi usługami interaguje Twoje rozszerzenie, musisz zdecydować, jaka rola jest wymagana do tej konkretnej interakcji. Niektóre produkty oferują różne role w zależności od wykonanego działania lub zestawu działań.
Załóżmy np., że Twoje rozszerzenie wchodzi w interakcję z grupą Cloud Storage. Rola
storage.objectCreatorpozwalałaby rozszerzeniu tworzyć obiekty w zasośniku Cloud Storage, ale nie zezwalałaby mu na wyświetlanie, usuwanie ani zastępowanie obiektów. Aby umożliwić rozszerzeniu wykonywanie tych dodatkowych działań, musisz przypisać mu rolęstorage.objectAdmin.
W sekcji na dole tej strony znajdziesz wszystkie obsługiwane role, które możesz przypisać do konta usługi rozszerzenia. Aby dowiedzieć się więcej o każdej roli i przypisanych do niej uprawnieniach, zapoznaj się z dokumentacją Firebase lub dokumentacją Google Cloud. Role możesz też sprawdzić w panelu Administracja konsoli Google Cloud.
Jak przypisywać role do rozszerzenia
W sekcji roles pliku extension.yaml podaj role uprawnień wymagane do działania rozszerzenia.
Oto przykład rozszerzenia, które nasłuchuje określonej ścieżki Firebase Realtime Database. Po wywołaniu rozszerzenie aktualizuje e-maila na koncie użytkownika (interakcja z Firebase Authentication) i wysyła powiadomienie (interakcja z Firebase Cloud Messaging). Zwróć uwagę na te kwestie:
- Chociaż rozszerzenie uruchamia zdarzenie Realtime Database, rola
firebasedatabase.adminnie jest wymieniona (nasłuchiwanie nie jest uważane za interakcję). - Ponieważ rozszerzenie współdziała z usługami Authentication i Cloud Messaging, wymaga ról zapewniających dostęp do tych usług (odpowiednio
firebaseauth.adminifirebasenotifications.admin).
# extension.yaml
...
# Roles assigned to the extension's service account by Firebase during installation
roles:
- role: firebaseauth.admin
reason: Required to update the email address of the user account
- role: firebasenotifications.admin
reason: Required to send a notification that the email address has been updated
...
W pliku extension.yaml użyj tych pól, aby przypisać rolę do konta usługi rozszerzenia:
| Pole | Typ | Opis |
|---|---|---|
role(wymagane) |
ciąg znaków | Nazwa roli uprawnień, której potrzebuje rozszerzenie do działania. |
reason(wymagane) |
ciąg znaków |
krótki opis powodu, dla którego rozszerzenie potrzebuje dostępu przyznanego przez rolę; Pamiętaj, aby podać wystarczająco dużo szczegółów, aby użytkownik wiedział, jak rozszerzenie używa tej roli. |
resource(opcjonalnie) |
ciąg znaków |
Do której zasady uprawnień ma zostać dodana ta rola. Jeśli go pominiesz, przyjmie on domyślnie wartość
Obsługiwane wartości to |
Ograniczanie zakresu ról
Rozszerzenia powinny stosować zasadę minimalnego zakresu uprawnień i prosić tylko o dostęp do zasobów, których potrzebują.
Zakres dostępu rozszerzenia możesz ograniczyć, używając pola role.resource.
Jeśli na przykład Twoje rozszerzenie musi zapisywać obiekty w zasobniku Cloud Storage, możesz użyć tej roli:
roles:
- role: storage.objectCreator
reason: Needed in order to write
resource: projects/${PROJECT_ID}/buckets/${STORAGE_BUCKET}
Dzięki temu rozszerzenie ma dostęp tylko do zasobnika, którego potrzebuje, a nie do innych zasobników w tym samym projekcie.
To pole obsługuje projekty (projects/{project_id}) i zasobniki usługi Storage (projects/{project_id}/buckets/{bucket_id}).
Obsługiwane role rozszerzeń
W tabeli poniżej znajdziesz listę obsługiwanych ról uprawnień do interakcji z usługami Firebase. Większość ról w tej tabeli to role na poziomie usługi Firebase, ale niektórymi zarządza bezpośrednio Google Cloud (dotyczy to ról Cloud Firestore i Cloud Storage).
Usługi Firebase
| Jeśli Twoje rozszerzenie wchodzi w interakcję z: | Przypisz jedną z tych ról: |
|---|---|
| Cloud Firestore |
datastore.importExportAdmin datastore.indexAdmin datastore.owner datastore.user datastore.viewer |
| Cloud Storage for Firebase |
storage.admin storage.objectAdmin storage.objectCreator storage.objectViewer |
| Firebase App Distribution |
firebaseappdistro.admin firebaseappdistro.viewer |
| Firebase Authentication |
firebaseauth.admin firebaseauth.viewer |
| Firebase A/B Testing |
firebaseabt.admin firebaseabt.viewer |
| Firebase Cloud Messaging |
firebasenotifications.admin firebasenotifications.viewer |
| Firebase Crashlytics |
firebasecrashlytics.admin firebasecrashlytics.viewer |
| Firebase Hosting |
firebasehosting.admin firebasehosting.viewer |
| Firebase In-App Messaging |
firebaseinappmessaging.admin firebaseinappmessaging.viewer |
| Firebase ML |
firebaseml.admin firebaseml.viewer |
| Firebase Performance Monitoring |
firebaseperformance.viewer firebaseperformance.reader firebaseperformance.writer |
| Firebase Realtime Database |
firebasedatabase.admin firebasedatabase.viewer |
| Reguły zabezpieczeń |
firebaserules.viewer firebaserules.developer firebaserules.deployer |
| Google Analytics |
firebaseanalytics.admin firebaseanalytics.viewer |
Usługi Google Cloud
Więcej informacji o tych rolach znajdziesz w dokumentacji Google Cloud.
| Jeśli Twoje rozszerzenie wchodzi w interakcję z: | Przypisz jedną z tych ról: |
|---|---|
| Działania |
actions.Admin actions.Viewer |
| Apigee |
apigee.analyticsAgent apigee.analyticsEditor apigee.analyticsViewer apigee.apiCreator apigee.deployer apigee.developerAdmin apigee.readOnlyAdmin apigee.synchronizerManager |
| App Engine |
appengine.appAdmin appengine.appViewer appengine.codeViewer appengine.deployer appengine.serviceAdmin |
| AutoML |
automl.editor automl.predictor automl.viewer |
| BigQuery |
bigquery.connectionAdmin bigquery.connectionUser bigquery.dataEditor bigquery.dataOwner bigquery.dataViewer bigquery.jobUser bigquery.metadataViewer bigquery.readSessionUser bigquery.user |
| Cloud Bigtable |
bigtable.reader bigtable.user bigtable.viewer |
| Płatności | billing.viewer |
| Hangouts Chats |
chat.owner chat.reader |
| Zasoby w chmurze |
cloudasset.owner cloudasset.viewer |
| Cloud Data Fusion |
datafusion.admin datafusion.viewer |
| Cloud Debugger |
clouddebugger.agent clouddebugger.user |
| Cloud Functions |
cloudfunctions.invoker cloudfunctions.viewer |
| Cloud IAP |
iap.admin iap.httpsResourceAccessor iap.settingsAdmin iap.tunnelResourceAccessor |
| Cloud IoT |
cloudiot.deviceController cloudiot.editor cloudiot.provisioner cloudiot.viewer |
| Stackdriver Profiler |
cloudprofiler.agent cloudprofiler.user |
| Cloud Scheduler |
cloudscheduler.admin cloudscheduler.jobRunner cloudscheduler.viewer |
| Cloud Security Scanner |
cloudsecurityscanner.editor cloudsecurityscanner.runner cloudsecurityscanner.viewer |
| Cloud SQL |
cloudsql.client cloudsql.editor cloudsql.viewer |
| Cloud Trace |
cloudtrace.admin cloudtrace.agent cloudtrace.user |
| Dataflow |
dataflow.developer dataflow.viewer dataflow.worker |
| Dialogflow |
dialogflow.admin dialogflow.client dialogflow.reader |
| Cloud Data Loss Prevention |
dlp.reader dlp.user |
| Raportowanie błędów |
errorreporting.user errorreporting.viewer errorreporting.writer |
| Eventarc |
eventarc.publisher eventarc.eventReceiver |
| Cloud Filestore |
file.editor file.viewer |
| Logowanie |
logging.configWriter logging.logWriter logging.privateLogViewer logging.viewer |
| Machine Learning Engine |
ml.developer ml.jobOwner ml.modelOwner ml.modelUser ml.operationOwner ml.viewer |
| Monitorowanie |
monitoring.editor monitoring.metricWriter monitoring.viewer |
| Notatki AI |
notebooks.admin notebooks.viewer |
| Pub/Sub |
pubsub.editor pubsub.publisher pubsub.subscriber pubsub.viewer |
| Memorystore Redis |
redis.editor redis.viewer |
| Cloud Run | run.invoker |
| Źródło |
source.reader source.writer |
| Cloud Spanner |
spanner.databaseAdmin spanner.databaseReader spanner.databaseUser spanner.viewer |
| Wykorzystanie usług | serviceusage.apiKeysMetadataViewer |
| Usługa transferu Cloud Storage |
storagetransfer.user storagetransfer.viewer |
| Cloud Transcoder |
transcoder.admin transcoder.viewer |
| Vertex AI | aiplatform.user |
| Inne |
identitytoolkit.admin identitytoolkit.viewer |