Affinché un'estensione possa eseguire le azioni specificate, Firebase concede a ogni istanza di un'estensione installata l'accesso limitato al progetto e ai relativi dati tramite un account di servizio.
Che cos'è un account di servizio?
Un account di servizio è un tipo speciale di account utente Google. Rappresenta un utente non umano che può effettuare chiamate API autorizzate ai servizi Google.
Durante l'installazione di un'estensione, Firebase crea un account di servizio per l'estensione nel progetto. Ogni istanza installata di un'estensione ha il proprio account di servizio. Se un'istanza dell'estensione viene disinstallata, Firebase elimina l'account di servizio dell'estensione.
Gli account di servizio creati per le estensioni sono nel formato:
ext-extension-instance-id@project-id.iam.gserviceaccount.com
Firebase limita l'accesso di un'estensione a un progetto e ai relativi dati assegnando
ruoli specifici (bundle di autorizzazioni)
all'account di servizio dell'estensione. Quando crei un'estensione, determini i ruoli di cui ha bisogno per funzionare, quindi elenca questi
ruoli e il motivo per cui l'estensione li richiede nel file extension.yaml
(vedi esempio in fondo a questa pagina).
Determina i ruoli richiesti dall'estensione
Quando crei l'estensione, puoi determinare il livello di accesso necessario per il suo funzionamento.
Durante l'installazione, la CLI di Firebase richiede all'utente di accettare il livello di accesso concesso da ciascun ruolo. Se la tua estensione richiede più ruoli di quelli effettivamente necessari, è meno probabile che gli utenti la installino.
Determina se la tua estensione interagisce con un prodotto:
Se la tua estensione interagisce con un prodotto, devi dare all'estensione l'accesso a quel prodotto.
Ad esempio, se l'estensione scrive dati in un'istanza Realtime Database, deve disporre di un ruolo Realtime Database (in particolare,
firebasedatabase.admin
).Se l'estensione si limita a monitorare un evento di attivazione di un prodotto, non è necessario un ruolo associato al prodotto.
Ad esempio, se l'estensione si attiva in seguito a una scrittura in un'istanza Realtime Database (ma non scrive nulla nel database), non è necessario un ruolo Realtime Database.
Dopo aver stabilito con quali prodotti interagisce la tua estensione, devi decidere quale ruolo è necessario per quella specifica interazione. Alcuni prodotti offrono ruoli diversi a seconda dell'azione o dell'insieme di azioni eseguite.
Ad esempio, supponiamo che la tua estensione interagisca con un Cloud Storage bucket. Il ruolo
storage.objectCreator
consentirebbe all'estensione di creare un oggetto in un bucket Cloud Storage, ma non le consentirebbe di visualizzare, eliminare o sovrascrivere gli oggetti. Per consentire all'estensione di eseguire queste azioni aggiuntive, devi assegnare invece il ruolostorage.objectAdmin
.
Consulta la sezione in fondo a questa pagina per visualizzare tutti i ruoli supportati che puoi assegnare all'account servizio della tua estensione. Per saperne di più sulla descrizione e sulle autorizzazioni concesse per ciascun ruolo, consulta la documentazione di Firebase o la documentazione di Google Cloud. Puoi anche cercare i ruoli nel riquadro IAM e amministrazione della console Google Cloud.
Come assegnare i ruoli a un'estensione
Elenca i ruoli IAM necessari per il funzionamento dell'estensione nella sezione roles
del file extension.yaml
.
Ecco un esempio di un'estensione che ascolta un percorso Firebase Realtime Database specificato. Quando viene attivata, l'estensione aggiorna l'email di un account utente (interazione con Firebase Authentication) e invia una notifica (interazione con Firebase Cloud Messaging). Tieni presente quanto segue:
- Anche se l'estensione si attiva da un evento Realtime Database, il ruolo
firebasedatabase.admin
non è elencato (l'ascolto non è considerato un'interazione). - Poiché l'estensione interagisce con Authentication e Cloud Messaging,
l'estensione richiede dei ruoli per accedere a questi prodotti (rispettivamente
firebaseauth.admin
efirebasenotifications.admin
).
# extension.yaml
...
# Roles assigned to the extension's service account by Firebase during installation
roles:
- role: firebaseauth.admin
reason: Required to update the email address of the user account
- role: firebasenotifications.admin
reason: Required to send a notification that the email address has been updated
...
Nel file extension.yaml
, utilizza i seguenti campi per assegnare un ruolo all'account di servizio di un'estensione:
Campo | Tipo | Descrizione |
---|---|---|
role (obbligatorio) |
stringa | Nome del ruolo IAM necessario per il funzionamento dell'estensione |
reason (obbligatorio) |
stringa |
Breve descrizione del motivo per cui l'estensione ha bisogno dell'accesso concesso dal ruolo Assicurati di fornire dettagli sufficienti per consentire a un utente di capire come l'estensione utilizza il ruolo. |
resource (facoltativo) |
stringa |
Al criterio IAM di quale risorsa deve essere aggiunto questo ruolo. Se omesso, il valore predefinito è
I valori supportati sono |
Riduci l'ambito dei ruoli
Le estensioni devono seguire il principio del privilegio minimo e richiedere solo l'accesso alle risorse di cui hanno bisogno.
Puoi limitare l'ambito di accesso di un'estensione utilizzando il campo role.resource
.
Ad esempio, se l'estensione deve scrivere oggetti in un bucket Cloud Storage, puoi utilizzare il seguente ruolo:
roles:
- role: storage.objectCreator
reason: Needed in order to write
resource: projects/${PROJECT_ID}/buckets/${STORAGE_BUCKET}
In questo modo, l'estensione può accedere solo al bucket di cui ha bisogno e non ad altri nello stesso progetto.
Questo campo supporta i progetti (projects/{project_id}
) e i bucket di archiviazione (projects/{project_id}/buckets/{bucket_id}
).
Ruoli supportati per le estensioni
La tabella seguente elenca i ruoli IAM supportati per l'interazione con i prodotti Firebase. La maggior parte dei ruoli in questa tabella sono ruoli a livello di prodotto Firebase, ma alcuni sono gestiti direttamente da Google Cloud (in particolare, Cloud Firestore e Cloud Storage).
Prodotti Firebase
Se la tua estensione interagisce con… | Assegna uno di questi ruoli |
---|---|
Cloud Firestore |
datastore.importExportAdmin datastore.indexAdmin datastore.owner datastore.user datastore.viewer |
Cloud Storage for Firebase |
storage.admin storage.objectAdmin storage.objectCreator storage.objectViewer |
Firebase App Distribution |
firebaseappdistro.admin firebaseappdistro.viewer |
Firebase Authentication |
firebaseauth.admin firebaseauth.viewer |
Firebase A/B Testing |
firebaseabt.admin firebaseabt.viewer |
Firebase Cloud Messaging |
firebasenotifications.admin firebasenotifications.viewer |
Firebase Crashlytics |
firebasecrashlytics.admin firebasecrashlytics.viewer |
Firebase Hosting |
firebasehosting.admin firebasehosting.viewer |
Firebase In-App Messaging |
firebaseinappmessaging.admin firebaseinappmessaging.viewer |
Firebase ML |
firebaseml.admin firebaseml.viewer |
Firebase Performance Monitoring |
firebaseperformance.viewer firebaseperformance.reader firebaseperformance.writer |
Firebase Realtime Database |
firebasedatabase.admin firebasedatabase.viewer |
Regole di sicurezza |
firebaserules.viewer firebaserules.developer firebaserules.deployer |
Google Analytics |
firebaseanalytics.admin firebaseanalytics.viewer |
Prodotti Google Cloud
Scopri di più su questi ruoli nella documentazione di Google Cloud.
Se l'estensione interagisce con... | Assegna uno di questi ruoli |
---|---|
Azioni |
actions.Admin actions.Viewer |
Apigee |
apigee.analyticsAgent apigee.analyticsEditor apigee.analyticsViewer apigee.apiCreator apigee.deployer apigee.developerAdmin apigee.readOnlyAdmin apigee.synchronizerManager |
App Engine |
appengine.appAdmin appengine.appViewer appengine.codeViewer appengine.deployer appengine.serviceAdmin |
AutoML |
automl.editor automl.predictor automl.viewer |
BigQuery |
bigquery.connectionAdmin bigquery.connectionUser bigquery.dataEditor bigquery.dataOwner bigquery.dataViewer bigquery.jobUser bigquery.metadataViewer bigquery.readSessionUser bigquery.user |
Cloud Bigtable |
bigtable.reader bigtable.user bigtable.viewer |
Fatturazione | billing.viewer |
Chat di Hangouts |
chat.owner chat.reader |
Asset cloud |
cloudasset.owner cloudasset.viewer |
Cloud Data Fusion |
datafusion.admin datafusion.viewer |
Cloud Debugger |
clouddebugger.agent clouddebugger.user |
Cloud Functions |
cloudfunctions.invoker cloudfunctions.viewer |
Cloud IAP |
iap.admin iap.httpsResourceAccessor iap.settingsAdmin iap.tunnelResourceAccessor |
Cloud IoT |
cloudiot.deviceController cloudiot.editor cloudiot.provisioner cloudiot.viewer |
Stackdriver Profiler |
cloudprofiler.agent cloudprofiler.user |
Cloud Scheduler |
cloudscheduler.admin cloudscheduler.jobRunner cloudscheduler.viewer |
Cloud Security Scanner |
cloudsecurityscanner.editor cloudsecurityscanner.runner cloudsecurityscanner.viewer |
Cloud SQL |
cloudsql.client cloudsql.editor cloudsql.viewer |
Cloud Trace |
cloudtrace.admin cloudtrace.agent cloudtrace.user |
Dataflow |
dataflow.developer dataflow.viewer dataflow.worker |
Dialogflow |
dialogflow.admin dialogflow.client dialogflow.reader |
Cloud Data Loss Prevention |
dlp.reader dlp.user |
Error Reporting |
errorreporting.user errorreporting.viewer errorreporting.writer |
Eventarc |
eventarc.publisher eventarc.eventReceiver |
Cloud Filestore |
file.editor file.viewer |
Logging |
logging.configWriter logging.logWriter logging.privateLogViewer logging.viewer |
Machine Learning Engine |
ml.developer ml.jobOwner ml.modelOwner ml.modelUser ml.operationOwner ml.viewer |
Monitoraggio |
monitoring.editor monitoring.metricWriter monitoring.viewer |
AI Notebooks |
notebooks.admin notebooks.viewer |
Pub/Sub |
pubsub.editor pubsub.publisher pubsub.subscriber pubsub.viewer |
Memorystore Redis |
redis.editor redis.viewer |
Cloud Run | run.invoker |
Origine |
source.reader source.writer |
Cloud Spanner |
spanner.databaseAdmin spanner.databaseReader spanner.databaseUser spanner.viewer |
Utilizzo dei servizi | serviceusage.apiKeysMetadataViewer |
Cloud Storage Transfer Service |
storagetransfer.user storagetransfer.viewer |
Cloud Transcoder |
transcoder.admin transcoder.viewer |
Vertex AI | aiplatform.user |
Altro |
identitytoolkit.admin identitytoolkit.viewer |