Firebase, bir uzantının belirtilen işlemlerini gerçekleştirmesi için yüklü uzantının her örneğine hizmet hesabı aracılığıyla projeye ve verilerine sınırlı erişim izni verir.
Hizmet hesabı nedir?
Hizmet hesabı, özel bir Google kullanıcı hesabı türüdür. Google hizmetlerine yetkili API çağrıları yapabilen, insan harici bir kullanıcıyı temsil eder.
Firebase, bir uzantının yüklenmesi sırasında projede uzantı için bir hizmet hesabı oluşturur. Yüklenen her uzantının kendi hizmet hesabı vardır. Bir uzantı örneği kaldırılırsa Firebase, uzantının hizmet hesabını siler.
Uzantılar için oluşturulan hizmet hesapları şu biçimdedir:
ext-extension-instance-id@project-id.iam.gserviceaccount.com
Firebase, uzantının hizmet hesabına belirli roller (izin paketleri) atayarak uzantının projeye ve verilerine erişimini sınırlandırır. Bir uzantı oluştururken uzantınızın çalışması için hangi rollere ihtiyaç duyduğunu belirler, ardından bu rolleri ve uzantınızın bu rollere ihtiyaç duymasının nedenini extension.yaml
dosyanızda listelersiniz (bu sayfanın altındaki örneğe bakın).
Uzantınızın hangi rolleri gerektirdiğini belirleme
Uzantı oluşturma işlemi sırasında, uzantınızın çalışması için gereken erişim düzeyini belirlersiniz.
Yükleme sırasında Firebase CLI, kullanıcıdan her rolün verdiği erişim düzeyini kabul etmesini ister. Uzantı, gerçekten ihtiyaç duyduğundan daha fazla rol istiyorsa kullanıcıların uzantıyı yükleme olasılığı daha düşük olabilir.
Uzantılarınızın bir ürünle etkileşime geçip geçmediğini belirleyin:
Uzantıınız bir ürünle etkileşimde bulunuyorsa uzantınıza söz konusu ürüne erişim izni vermeniz gerekir.
Örneğin, uzantınız bir Realtime Database örneğine veri yazıyorsa uzantınızın bir Realtime Database rolüne (özellikle
firebasedatabase.admin
) ihtiyacı vardır.Uzantı yalnızca bir üründen gelen tetikleyici bir etkinliği dinliyorsa uzantınızın bu ürünle ilişkili bir role ihtiyacı yoktur.
Örneğin, uzantınız bir Realtime Database örneğine yazma işlemi yapıldığında tetikleniyorsa (ancak veritabanına hiçbir şey yazmıyorsa) uzantınızın Realtime Database rolüne ihtiyacı yoktur.
Uzantınızın hangi ürünlerle etkileşimde bulunduğunu belirledikten sonra, söz konusu etkileşim için hangi rolün gerekli olduğuna karar vermeniz gerekir. Bazı ürünler, gerçekleştirilen işleme veya işlem grubuna bağlı olarak farklı roller sunar.
Örneğin, uzantınızın bir Cloud Storage bucket'la etkileşime geçtiğini varsayalım.
storage.objectCreator
rolü, uzantının Cloud Storage paketinde nesne oluşturmasına izin verir ancak uzantının nesneleri görüntülemesine, silmesine veya üzerine yazmasına izin vermez. Uzantı için bu ek işlemleri gerçekleştirme izni vermek istiyorsanız bunun yerinestorage.objectAdmin
rolünü atamanız gerekir.
Uzantı hizmet hesabınıza atayabilecek tüm desteklenen rolleri görüntülemek için bu sayfanın alt kısmındaki bölüme bakın. Her bir rolün açıklaması ve verilen izinler hakkında bilgi edinmek için Firebase belgelerini veya Google Cloud belgelerini ziyaret edin. Rolleri Google Cloud Console'un IAM ve Yönetici panelinde de arayabilirsiniz.
Bir uzantıya rol atama
Uzantılarınızın çalışması için gereken IAM rollerini extension.yaml
dosyanızın roles
bölümünde listeleyin.
Belirli bir Firebase Realtime Database yolunu dinleyen bir uzantı örneğini aşağıda bulabilirsiniz. Uzantı tetiklendiğinde bir kullanıcı hesabı e-postasını günceller (Firebase Authentication ile etkileşim) ve bildirim gönderir (Firebase Cloud Messaging ile etkileşim). Aşağıdakilere dikkat edin:
- Uzantı bir Realtime Database etkinliğinden tetiklense bile
firebasedatabase.admin
rolü listelenmez (dinleme etkileşim olarak kabul edilmez). - Uzantı, Authentication ve Cloud Messaging ile etkileşimde bulunduğundan bu ürünlere erişmek için rollere (sırasıyla
firebaseauth.admin
vefirebasenotifications.admin
) ihtiyaç duyar.
# extension.yaml
...
# Roles assigned to the extension's service account by Firebase during installation
roles:
- role: firebaseauth.admin
reason: Required to update the email address of the user account
- role: firebasenotifications.admin
reason: Required to send a notification that the email address has been updated
...
extension.yaml
dosyanızda, uzantının hizmet hesabına rol atamak için aşağıdaki alanları kullanın:
Alan | Tür | Açıklama |
---|---|---|
role (zorunlu) |
dize | Uzantının çalışması için ihtiyaç duyduğu IAM rolünün adı |
reason (zorunlu) |
dize |
Uzantının, rol tarafından verilen erişime neden ihtiyaç duyduğuna dair kısa açıklama Kullanıcının, uzantının rolü nasıl kullandığını anlayabilmesi için yeterli ayrıntı sağladığınızdan emin olun. |
resource (isteğe bağlı) |
dize |
Bu rolün hangi kaynağın IAM politikasına eklenmesi gerektiği. Atlanırsa varsayılan olarak
|
Rollerin kapsamını daraltma
Uzantılar, en düşük ayrıcalık ilkesine uymalı ve yalnızca ihtiyaç duydukları kaynaklara erişim istemelidir.
role.resource
alanını kullanarak bir uzantının erişim kapsamını sınırlayabilirsiniz.
Örneğin, uzantınızın bir Cloud Storage paketine nesne yazması gerekiyorsa aşağıdaki rolü kullanabilirsiniz:
roles:
- role: storage.objectCreator
reason: Needed in order to write
resource: projects/${PROJECT_ID}/buckets/${STORAGE_BUCKET}
Bu sayede uzantı, aynı projedeki diğer paketlere değil, yalnızca ihtiyaç duyduğu pakete erişebilir.
Bu alan, projeleri (projects/{project_id}
) ve depolama alanı paketlerini (projects/{project_id}/buckets/{bucket_id}
) destekler.
Uzantılar için desteklenen roller
Aşağıdaki tabloda, Firebase ürünleriyle etkileşimde bulunmak için desteklenen IAM rolleri listelenmiştir. Bu tablodaki rollerin çoğu Firebase ürün düzeyinde rollerdir ancak bazıları doğrudan Google Cloud tarafından yönetilir (özellikle Cloud Firestore ve Cloud Storage).
Firebase ürünleri
Uzantılarınız aşağıdakilerle etkileşime geçiyorsa: | Bu rollerden birini atayın... |
---|---|
Cloud Firestore |
datastore.importExportAdmin datastore.indexAdmin datastore.owner datastore.user datastore.viewer |
Cloud Storage for Firebase |
storage.admin storage.objectAdmin storage.objectCreator storage.objectViewer |
Firebase App Distribution |
firebaseappdistro.admin firebaseappdistro.viewer |
Firebase Authentication |
firebaseauth.admin firebaseauth.viewer |
Firebase A/B Testing |
firebaseabt.admin firebaseabt.viewer |
Firebase Cloud Messaging |
firebasenotifications.admin firebasenotifications.viewer |
Firebase Crashlytics |
firebasecrashlytics.admin firebasecrashlytics.viewer |
Firebase Hosting |
firebasehosting.admin firebasehosting.viewer |
Firebase In-App Messaging |
firebaseinappmessaging.admin firebaseinappmessaging.viewer |
Firebase ML |
firebaseml.admin firebaseml.viewer |
Firebase Performance Monitoring |
firebaseperformance.viewer firebaseperformance.reader firebaseperformance.writer |
Firebase Realtime Database |
firebasedatabase.admin firebasedatabase.viewer |
Güvenlik kuralları |
firebaserules.viewer firebaserules.developer firebaserules.deployer |
Google Analytics |
firebaseanalytics.admin firebaseanalytics.viewer |
Google Cloud ürünleri
Bu roller hakkında bilgi edinmek için Google Cloud belgelerine göz atın.
Uzantılarınız aşağıdakilerle etkileşime geçiyorsa: | Bu rollerden birini atayın... |
---|---|
İşlemler |
actions.Admin actions.Viewer |
Apigee |
apigee.analyticsAgent apigee.analyticsEditor apigee.analyticsViewer apigee.apiCreator apigee.deployer apigee.developerAdmin apigee.readOnlyAdmin apigee.synchronizerManager |
App Engine |
appengine.appAdmin appengine.appViewer appengine.codeViewer appengine.deployer appengine.serviceAdmin |
AutoML |
automl.editor automl.predictor automl.viewer |
BigQuery |
bigquery.connectionAdmin bigquery.connectionUser bigquery.dataEditor bigquery.dataOwner bigquery.dataViewer bigquery.jobUser bigquery.metadataViewer bigquery.readSessionUser bigquery.user |
Cloud Bigtable |
bigtable.reader bigtable.user bigtable.viewer |
Faturalandırma | billing.viewer |
Hangouts sohbetleri |
chat.owner chat.reader |
Bulut Öğesi |
cloudasset.owner cloudasset.viewer |
Cloud Data Fusion |
datafusion.admin datafusion.viewer |
Cloud Debugger |
clouddebugger.agent clouddebugger.user |
Cloud Functions |
cloudfunctions.invoker cloudfunctions.viewer |
Cloud IAP |
iap.admin iap.httpsResourceAccessor iap.settingsAdmin iap.tunnelResourceAccessor |
Cloud IoT |
cloudiot.deviceController cloudiot.editor cloudiot.provisioner cloudiot.viewer |
Stackdriver Profiler |
cloudprofiler.agent cloudprofiler.user |
Cloud Scheduler |
cloudscheduler.admin cloudscheduler.jobRunner cloudscheduler.viewer |
Cloud Security Scanner |
cloudsecurityscanner.editor cloudsecurityscanner.runner cloudsecurityscanner.viewer |
Cloud SQL |
cloudsql.client cloudsql.editor cloudsql.viewer |
Cloud Trace |
cloudtrace.admin cloudtrace.agent cloudtrace.user |
Dataflow |
dataflow.developer dataflow.viewer dataflow.worker |
Dialogflow |
dialogflow.admin dialogflow.client dialogflow.reader |
Cloud Data Loss Prevention |
dlp.reader dlp.user |
Error Reporting |
errorreporting.user errorreporting.viewer errorreporting.writer |
Eventarc |
eventarc.publisher eventarc.eventReceiver |
Cloud Filestore |
file.editor file.viewer |
Günlük Kaydı |
logging.configWriter logging.logWriter logging.privateLogViewer logging.viewer |
Machine Learning Engine |
ml.developer ml.jobOwner ml.modelOwner ml.modelUser ml.operationOwner ml.viewer |
İzleme |
monitoring.editor monitoring.metricWriter monitoring.viewer |
AI Not Defterleri |
notebooks.admin notebooks.viewer |
Pub/Sub |
pubsub.editor pubsub.publisher pubsub.subscriber pubsub.viewer |
Memorystore Redis |
redis.editor redis.viewer |
Cloud Run | run.invoker |
Kaynak |
source.reader source.writer |
Cloud Spanner |
spanner.databaseAdmin spanner.databaseReader spanner.databaseUser spanner.viewer |
Hizmet Kullanımı | serviceusage.apiKeysMetadataViewer |
Cloud Depolama Aktarım Hizmeti |
storagetransfer.user storagetransfer.viewer |
Cloud Transcoder |
transcoder.admin transcoder.viewer |
Vertex AI | aiplatform.user |
Diğer |
identitytoolkit.admin identitytoolkit.viewer |