Configurare l'accesso appropriato per un'estensione

Affinché un'estensione possa eseguire le azioni specificate, Firebase concede a ogni istanza di un'estensione installata l'accesso limitato al progetto e ai relativi dati tramite un account di servizio.

Che cos'è un account di servizio?

Un account di servizio è un tipo speciale di account utente Google. Rappresenta un utente non umano che può effettuare chiamate API autorizzate ai servizi Google.

Durante l'installazione di un'estensione, Firebase crea un account di servizio per l'estensione nel progetto. Ogni istanza installata di un'estensione ha il proprio account di servizio. Se un'istanza dell'estensione viene disinstallata, Firebase elimina l'account di servizio dell'estensione.

Gli account di servizio creati per le estensioni sono nel formato:

ext-extension-instance-id@project-id.iam.gserviceaccount.com

Firebase limita l'accesso di un'estensione a un progetto e ai relativi dati assegnando ruoli specifici (bundle di autorizzazioni) all'account di servizio dell'estensione. Quando crei un'estensione, determini i ruoli di cui ha bisogno per funzionare, quindi elenca questi ruoli e il motivo per cui l'estensione li richiede nel file extension.yaml (vedi esempio in fondo a questa pagina).

Determina i ruoli richiesti dall'estensione

Quando crei l'estensione, puoi determinare il livello di accesso necessario per il suo funzionamento.

Durante l'installazione, la CLI di Firebase richiede all'utente di accettare il livello di accesso concesso da ciascun ruolo. Se la tua estensione richiede più ruoli di quelli effettivamente necessari, è meno probabile che gli utenti la installino.

  1. Determina se la tua estensione interagisce con un prodotto:

    • Se la tua estensione interagisce con un prodotto, devi dare all'estensione l'accesso a quel prodotto.

      Ad esempio, se l'estensione scrive dati in un'istanza Realtime Database, deve disporre di un ruolo Realtime Database (in particolare,firebasedatabase.admin).

    • Se l'estensione si limita a monitorare un evento di attivazione di un prodotto, non è necessario un ruolo associato al prodotto.

      Ad esempio, se l'estensione si attiva in seguito a una scrittura in un'istanza Realtime Database (ma non scrive nulla nel database), non è necessario un ruolo Realtime Database.

  2. Dopo aver stabilito con quali prodotti interagisce la tua estensione, devi decidere quale ruolo è necessario per quella specifica interazione. Alcuni prodotti offrono ruoli diversi a seconda dell'azione o dell'insieme di azioni eseguite.

    Ad esempio, supponiamo che la tua estensione interagisca con un Cloud Storage bucket. Il ruolo storage.objectCreator consentirebbe all'estensione di creare un oggetto in un bucket Cloud Storage, ma non le consentirebbe di visualizzare, eliminare o sovrascrivere gli oggetti. Per consentire all'estensione di eseguire queste azioni aggiuntive, devi assegnare invece il ruolo storage.objectAdmin.

Consulta la sezione in fondo a questa pagina per visualizzare tutti i ruoli supportati che puoi assegnare all'account servizio della tua estensione. Per saperne di più sulla descrizione e sulle autorizzazioni concesse per ciascun ruolo, consulta la documentazione di Firebase o la documentazione di Google Cloud. Puoi anche cercare i ruoli nel riquadro IAM e amministrazione della console Google Cloud.

Come assegnare i ruoli a un'estensione

Elenca i ruoli IAM necessari per il funzionamento dell'estensione nella sezione roles del file extension.yaml.

Ecco un esempio di un'estensione che ascolta un percorso Firebase Realtime Database specificato. Quando viene attivata, l'estensione aggiorna l'email di un account utente (interazione con Firebase Authentication) e invia una notifica (interazione con Firebase Cloud Messaging). Tieni presente quanto segue:

  • Anche se l'estensione si attiva da un evento Realtime Database, il ruolo firebasedatabase.admin non è elencato (l'ascolto non è considerato un'interazione).
  • Poiché l'estensione interagisce con Authentication e Cloud Messaging, l'estensione richiede dei ruoli per accedere a questi prodotti (rispettivamente firebaseauth.admin e firebasenotifications.admin).
# extension.yaml
...

# Roles assigned to the extension's service account by Firebase during installation
roles:
  - role: firebaseauth.admin
    reason: Required to update the email address of the user account

  - role: firebasenotifications.admin
    reason: Required to send a notification that the email address has been updated

...

Nel file extension.yaml, utilizza i seguenti campi per assegnare un ruolo all'account di servizio di un'estensione:

Campo Tipo Descrizione
role
(obbligatorio)
stringa Nome del ruolo IAM necessario per il funzionamento dell'estensione
reason
(obbligatorio)
stringa

Breve descrizione del motivo per cui l'estensione ha bisogno dell'accesso concesso dal ruolo

Assicurati di fornire dettagli sufficienti per consentire a un utente di capire come l'estensione utilizza il ruolo.

resource
(facoltativo)
stringa

Al criterio IAM di quale risorsa deve essere aggiunto questo ruolo. Se omesso, il valore predefinito è projects/${project_id}.

I valori supportati sono projects/* e projects/*/buckets/*.

Riduci l'ambito dei ruoli

Le estensioni devono seguire il principio del privilegio minimo e richiedere solo l'accesso alle risorse di cui hanno bisogno. Puoi limitare l'ambito di accesso di un'estensione utilizzando il campo role.resource. Ad esempio, se l'estensione deve scrivere oggetti in un bucket Cloud Storage, puoi utilizzare il seguente ruolo:

roles:
  - role: storage.objectCreator
    reason: Needed in order to write
    resource: projects/${PROJECT_ID}/buckets/${STORAGE_BUCKET}

In questo modo, l'estensione può accedere solo al bucket di cui ha bisogno e non ad altri nello stesso progetto.

Questo campo supporta i progetti (projects/{project_id}) e i bucket di archiviazione (projects/{project_id}/buckets/{bucket_id}).

Ruoli supportati per le estensioni

La tabella seguente elenca i ruoli IAM supportati per l'interazione con i prodotti Firebase. La maggior parte dei ruoli in questa tabella sono ruoli a livello di prodotto Firebase, ma alcuni sono gestiti direttamente da Google Cloud (in particolare, Cloud Firestore e Cloud Storage).

Prodotti Firebase

Se la tua estensione interagisce con… Assegna uno di questi ruoli
Cloud Firestore datastore.importExportAdmin
datastore.indexAdmin
datastore.owner
datastore.user
datastore.viewer
Cloud Storage for Firebase storage.admin
storage.objectAdmin
storage.objectCreator
storage.objectViewer
Firebase App Distribution firebaseappdistro.admin
firebaseappdistro.viewer
Firebase Authentication firebaseauth.admin
firebaseauth.viewer
Firebase A/B Testing firebaseabt.admin
firebaseabt.viewer
Firebase Cloud Messaging firebasenotifications.admin
firebasenotifications.viewer
Firebase Crashlytics firebasecrashlytics.admin
firebasecrashlytics.viewer
Firebase Hosting firebasehosting.admin
firebasehosting.viewer
Firebase In-App Messaging firebaseinappmessaging.admin
firebaseinappmessaging.viewer
Firebase ML firebaseml.admin
firebaseml.viewer
Firebase Performance Monitoring firebaseperformance.viewer
firebaseperformance.reader
firebaseperformance.writer
Firebase Realtime Database firebasedatabase.admin
firebasedatabase.viewer
Regole di sicurezza firebaserules.viewer
firebaserules.developer
firebaserules.deployer
Google Analytics firebaseanalytics.admin
firebaseanalytics.viewer

Prodotti Google Cloud

Scopri di più su questi ruoli nella documentazione di Google Cloud.

Se l'estensione interagisce con... Assegna uno di questi ruoli
Azioni actions.Admin
actions.Viewer
Apigee apigee.analyticsAgent
apigee.analyticsEditor
apigee.analyticsViewer
apigee.apiCreator
apigee.deployer
apigee.developerAdmin
apigee.readOnlyAdmin
apigee.synchronizerManager
App Engine appengine.appAdmin
appengine.appViewer
appengine.codeViewer
appengine.deployer
appengine.serviceAdmin
AutoML automl.editor
automl.predictor
automl.viewer
BigQuery bigquery.connectionAdmin
bigquery.connectionUser
bigquery.dataEditor
bigquery.dataOwner
bigquery.dataViewer
bigquery.jobUser
bigquery.metadataViewer
bigquery.readSessionUser
bigquery.user
Cloud Bigtable bigtable.reader
bigtable.user
bigtable.viewer
Fatturazione billing.viewer
Chat di Hangouts chat.owner
chat.reader
Asset cloud cloudasset.owner
cloudasset.viewer
Cloud Data Fusion datafusion.admin
datafusion.viewer
Cloud Debugger clouddebugger.agent
clouddebugger.user
Cloud Functions cloudfunctions.invoker
cloudfunctions.viewer
Cloud IAP iap.admin
iap.httpsResourceAccessor
iap.settingsAdmin
iap.tunnelResourceAccessor
Cloud IoT cloudiot.deviceController
cloudiot.editor
cloudiot.provisioner
cloudiot.viewer
Stackdriver Profiler cloudprofiler.agent
cloudprofiler.user
Cloud Scheduler cloudscheduler.admin
cloudscheduler.jobRunner
cloudscheduler.viewer
Cloud Security Scanner cloudsecurityscanner.editor
cloudsecurityscanner.runner
cloudsecurityscanner.viewer
Cloud SQL cloudsql.client
cloudsql.editor
cloudsql.viewer
Cloud Trace cloudtrace.admin
cloudtrace.agent
cloudtrace.user
Dataflow dataflow.developer
dataflow.viewer
dataflow.worker
Dialogflow dialogflow.admin
dialogflow.client
dialogflow.reader
Cloud Data Loss Prevention dlp.reader
dlp.user
Error Reporting errorreporting.user
errorreporting.viewer
errorreporting.writer
Eventarc eventarc.publisher
eventarc.eventReceiver
Cloud Filestore file.editor
file.viewer
Logging logging.configWriter
logging.logWriter
logging.privateLogViewer
logging.viewer
Machine Learning Engine ml.developer
ml.jobOwner
ml.modelOwner
ml.modelUser
ml.operationOwner
ml.viewer
Monitoraggio monitoring.editor
monitoring.metricWriter
monitoring.viewer
AI Notebooks notebooks.admin
notebooks.viewer
Pub/Sub pubsub.editor
pubsub.publisher
pubsub.subscriber
pubsub.viewer
Memorystore Redis redis.editor
redis.viewer
Cloud Run run.invoker
Origine source.reader
source.writer
Cloud Spanner spanner.databaseAdmin
spanner.databaseReader
spanner.databaseUser
spanner.viewer
Utilizzo dei servizi serviceusage.apiKeysMetadataViewer
Cloud Storage Transfer Service storagetransfer.user
storagetransfer.viewer
Cloud Transcoder transcoder.admin
transcoder.viewer
Vertex AI aiplatform.user
Altro identitytoolkit.admin
identitytoolkit.viewer