لكي تنفّذ الإضافة إجراءاتها المحدّدة، يمنح Firebase كل مثيل الإضافة المثبّتة إمكانية الوصول المحدود إلى المشروع وبياناته من خلال حساب الخدمة:
ما هو حساب الخدمة؟
حساب خدمة هو نوع خاص من حسابات المستخدم في Google. إنها تمثل مستخدمًا غير بشري إجراء طلبات بيانات معتمَدة من واجهة برمجة التطبيقات لخدمات Google.
أثناء تثبيت إضافة، ينشئ Firebase حساب خدمة امتداد في المشروع. لكل مثيل مثبَّت للإضافة خصائصه حساب الخدمة الخاص بك. وإذا تم إلغاء تثبيت مثيل الإضافة، يحذف Firebase حساب خدمة الإضافة.
تكون حسابات الخدمة التي تم إنشاؤها للإضافات بالتنسيق التالي:
ext-extension-instance-id@project-id.iam.gserviceaccount.com
تحدّ Firebase من إمكانية وصول إحدى الإضافات إلى مشروع وبياناته من خلال منح أدوار (حِزم من الأذونات) محدّدة لحساب الخدمة الخاص بالإضافة. عند إنشاء إضافة، يمكنك
لتحديد الأدوار التي تتطلبها الإضافة حتى تعمل، ثم إدراج هذه
الأدوار وسبب احتياج إضافتك لهذه الأدوار في "extension.yaml
"
(اطّلع على المثال في أسفل هذه الصفحة).
تحديد الأدوار التي تتطلّبها الإضافة
عند إنشاء الإضافة، فإنك تحدد مستوى الوصول الذي الإضافة التي تتطلب أن تعمل.
أثناء التثبيت، ستطلب واجهة سطر الأوامر Firebase من المستخدم قبول مستوى الوصول الممنوح لكل دور. إذا كانت إضافتك تطلب أدوارًا أكثر من المطلوب يحتاجه بالفعل، قل احتمال تثبيت المستخدمين له.
لتحديد ما إذا كانت الإضافة ستتفاعل مع أحد المنتجات:
إذا كانت الإضافة تتفاعل مع أحد المنتجات، عليك تقديم إمكانية وصول الإضافة إلى هذا المنتج.
على سبيل المثال، إذا كانت الإضافة تكتب البيانات على مثيل Realtime Database، حينئذٍ يجب أن يكون لإضافتك الدور "Realtime Database" (على وجه التحديد،
firebasedatabase.admin
).إذا كانت إضافتك تستمع فقط إلى حدث تشغيل من المنتج، فإن إضافتك لا تحتاج إلى دور مرتبط باستخدام هذا المنتج.
على سبيل المثال، إذا كانت الإضافة يتم تشغيلها عند كتابة إلى Realtime Database المثيل (ولكنه لا يكتب أي شيء إلى قاعدة البيانات)، فإن لا تحتاج الإضافة إلى دور Realtime Database.
بعد تحديد المنتجات التي تتفاعل معها الإضافة، عليك تحديد الدور المطلوب لهذا التفاعل المحدّد. بعض الإشعارات تقدم المنتجات أدوارًا مختلفة اعتمادًا على الإجراء أو مجموعة الإجراءات تنفيذها.
على سبيل المثال، لنفترض أنّ إضافتك تتفاعل مع Cloud Storage مجموعة. سيسمح الدور
storage.objectCreator
للإضافة يمكنك إنشاء كائن في حزمة Cloud Storage، ولكن هذا الدور لن يسمح لعرض العناصر أو حذفها أو استبدالها. لتفعيل الإضافة كي تتمكّن من تنفيذ هذه الإجراءات الإضافية، عليك منح الدورstorage.objectAdmin
بدلاً من ذلك.
راجع القسم أسفل هذه الصفحة لمشاهدة جميع الأدوار المتوافقة التي يمكنك تعيينها لخدمة الإضافة الحساب. لمزيد من المعلومات عن وصف كل دور والأذونات الممنوحة له، انتقِل إلى مستندات Firebase أو مستندات Google Cloud: يمكنك أيضًا البحث عن الأدوار في وحدة تحكم Google Cloud إدارة الهوية وإمكانية الوصول لوحة المشرف:
كيفية تعيين الأدوار لإحدى الإضافات
أدرِج أدوار "إدارة الهوية وإمكانية الوصول" المطلوبة لكي تعمل الإضافة في القسم "roles
".
من ملف extension.yaml
.
في ما يلي مثال على إضافة تستمع إلى محتوى معيّن مسار Firebase Realtime Database. عند تشغيل الإضافة، تُحدِّث الإضافة حساب مستخدم بريد إلكتروني (تفاعُل مع Firebase Authentication) ويرسل إشعارًا (تفاعُل). مع Firebase Cloud Messaging). لاحظ ما يلي:
- على الرغم من تشغيل الإضافة من حدث Realtime Database، لا يتم
دور
firebasedatabase.admin
غير مدرَج (لا يُعدّ الاستماع التفاعل). - وبما أن الإضافة تتفاعل مع Authentication وCloud Messaging، سيتم
أدوارًا للوصول إلى هذه المنتجات (
firebaseauth.admin
firebasenotifications.admin
، على التوالي).
# extension.yaml
...
# Roles assigned to the extension's service account by Firebase during installation
roles:
- role: firebaseauth.admin
reason: Required to update the email address of the user account
- role: firebasenotifications.admin
reason: Required to send a notification that the email address has been updated
...
في ملف extension.yaml
، استخدِم الحقول التالية لمنح دور إلى
حساب خدمة الإضافة:
الحقل | النوع | الوصف |
---|---|---|
role (مطلوب) |
السلسلة | اسم دور إدارة الهوية وإمكانية الوصول الذي يحتاجه الإضافة التي سيتم تشغيلها |
reason (مطلوب) |
السلسلة |
وصف موجز لسبب احتياج الإضافة إلى إذن الوصول ممنوح من الدور احرص على تقديم تفاصيل كافية ليفهم المستخدم كيفية استخدام الإضافة للدور. |
resource (اختياري) |
السلسلة |
سياسة إدارة الهوية وإمكانية الوصول التي يجب إضافة هذا الدور إليها إذا تم حذفها،
يتم ضبط القيمة التلقائية على
القيم المسموح بها هي |
تقليل نطاق الأدوار
يجب أن تتبع الإضافات مبدأ الامتياز الأقل وأن تطلب فقط
الوصول إلى الموارد التي يحتاج إليها.
يمكنك تقييد نطاق وصول الإضافة باستخدام الحقل role.resource
.
على سبيل المثال، إذا كانت الإضافة تحتاج إلى كتابة عناصر في حزمة Cloud Storage،
يمكنك استخدام الدور التالي:
roles:
- role: storage.objectCreator
reason: Needed in order to write
resource: projects/${PROJECT_ID}/buckets/${STORAGE_BUCKET}
يتيح ذلك للإضافة الوصول إلى الحزمة التي تحتاج إليها فقط، وليس الآخرين في نفس المشروع.
يتوافق هذا الحقل مع المشاريع (projects/{project_id}
).
حِزم التخزين (projects/{project_id}/buckets/{bucket_id}
).
الأدوار المتاحة للإضافات
يسرد الجدول التالي أدوار إدارة الهوية وإمكانية الوصول المتوافقة للتفاعل مع منتجات Firebase . معظم الأدوار الواردة في هذا الجدول هي أدوار على مستوى منتج Firebase، ولكن تدير Google Cloud بعض الأدوار مباشرةً (على وجه التحديد، Cloud Firestore و Cloud Storage).
منتجات Firebase
إذا كانت الإضافة تتفاعل مع... | يجب تعيين أحد هذه الأدوار... |
---|---|
Cloud Firestore |
datastore.ImportExportAdmin datastore.indexAdmin datastore.owner datastore.user datastore.viewer |
Cloud Storage for Firebase |
storage.admin storage.objectAdmin storage.objectCreator storage.objectViewer |
Firebase App Distribution |
firebaseappdistro.admin firebaseappdistro.viewer |
Firebase Authentication |
firebaseauth.admin firebaseauth.viewer |
Firebase A/B Testing |
firebaseabt.admin firebaseabt.viewer |
Firebase Cloud Messaging |
firebasenotifications.admin firebasenotifications.viewer |
Firebase Crashlytics |
firebasecrashlytics.admin firebasecrashlytics.viewer |
Firebase Hosting |
firebasehosting.admin firebasehosting.viewer |
Firebase In-App Messaging |
firebaseinappmessaging.admin firebaseinappmessaging.viewer |
Firebase ML |
firebaseml.admin firebaseml.viewer |
Firebase Performance Monitoring |
firebaseperformance.viewer firebaseperformance.reader firebaseperformance.writer |
Firebase Realtime Database |
firebasedatabase.admin firebasedatabase.viewer |
قواعد الأمان |
firebaserules.viewer firebaserules.developer firebaserules.deployer |
Google Analytics |
firebaseanalytics.admin firebaseanalytics.viewer |
منتجات Google Cloud
يمكنك الاطّلاع على مزيد من المعلومات عن هذه الأدوار في مستندات Google Cloud.
إذا كانت الإضافة تتفاعل مع... | يجب تعيين أحد هذه الأدوار... |
---|---|
الإجراءات |
actions.Admin actions.Viewer |
Apigee |
apigee.analyticsAgent apigee.analyticsEditor apigee.analyticsViewer apigee.apiCreator apigee.deployer apigee.developerAdmin apigee.readOnlyAdmin apigee.synchronizerManager |
App Engine |
appengine.appAdmin appengine.appViewer appengine.codeViewer appengine.deployer appengine.serviceAdmin |
AutoML |
Automl.editor automl.predictor automl.viewer |
BigQuery |
bigquery.connectionAdmin bigquery.connectionUser bigquery.dataEditor bigquery.dataOwner bigquery.dataViewer bigquery.jobUser bigquery.metadataViewer bigquery.readSessionUser bigquery.user |
Cloud Bigtable |
bigtable.reader bigtable.user bigtable.viewer |
الفوترة | billing.viewer |
محادثات Hangouts |
chat.owner chat.reader |
مادة عرض السحابة الإلكترونية |
cloudasset.owner cloudasset.viewer |
Cloud Data Fusion |
datafusion.admin datafusion.viewer |
برنامج تصحيح الأخطاء في السحابة الإلكترونية |
clouddebugger.agent clouddebugger.user |
وظائف السحابة الإلكترونية |
cloudfunctions.invoker cloudfunctions.viewer |
الشراء من داخل تطبيق السحابة الإلكترونية |
iap.admin iap.httpsResourceAccessor iap.settingsAdmin iap.tunnelResourceAccessor |
Cloud IoT |
cloudiot.deviceController cloudiot.editor cloudiot.provisioner cloudiot.viewer |
Stackdriver Profiler |
cloudprofiler.agent cloudprofiler.user |
Cloud Scheduler |
cloudscheduler.admin cloudscheduler.jobRunner cloudscheduler.viewer |
أداة فحص أمان السحابة الإلكترونية |
cloudsecurityscanner.editor cloudsecurityscanner.runner cloudsecurityscanner.viewer |
Cloud SQL |
cloudsql.client cloudsql.editor cloudsql.viewer |
Cloud Trace |
cloudtrace.admin cloudtrace.agent cloudtrace.user |
Dataflow |
dataflow.developer dataflow.viewer dataflow.worker |
Dialogflow |
Dialogflow.admin Dialogflow.client Dialogflow.reader |
منع فقدان البيانات من Cloud |
dlp.reader dlp.user |
Error Reporting |
errorreporting.user errorreporting.viewer errorreporting.writer |
Eventarc |
eventarc.publisher eventarc.eventReceiver |
Cloud Filestore |
ملف.محرّر file.viewer |
التسجيل |
تسجيل.configWriter تسجيل.logWriter تسجيل.privateLogViewer تسجيل.viewer |
محرك تعلُّم الآلة |
ml.developer ml.jobOwner ml.modelOwner ml.modelUser ml.operationOwner ml.viewer |
المراقبة |
مراقبة.محرّر Monitoring.metricWriter segmentation.viewer |
دفاتر ملاحظات الذكاء الاصطناعي |
notebooks.admin notebooks.viewer |
Pub/Sub |
pubsub.editor pubsub.publisher pubsub.subscriber pubsub.viewer |
متجر الذاكرة Redis |
redis.editor redis.viewer |
Cloud Run | run.invoker |
المصدر |
source.reader source.writer |
Cloud Spanner |
spanner.databaseAdmin spanner.databaseReader spanner.databaseUser spanner.viewer |
Service Usage | serviceusage.apiKeysMetadataViewer |
خدمة النقل في Cloud Storage |
Storagetransfer.user Storagetransfer.viewer |
محوّل ترميز السحابة الإلكترونية |
transcoder.admin transcoder.viewer |
Vertex AI | aiplatform.user |
غير ذلك |
identitytoolkit.admin identitytoolkit.viewer |