Bir uzantının belirtilen işlemlerini gerçekleştirebilmesi için Firebase, yüklü bir uzantının her örneğine bir hizmet hesabı üzerinden projeye ve verilerine sınırlı erişim izni verir.
Hizmet hesabı nedir?
Hizmet hesabı, özel bir Google kullanıcı hesabı türüdür. Google hizmetlerine yetkili API çağrıları yapabilen, insan harici bir kullanıcıyı temsil eder.
Firebase, bir uzantının yüklenmesi sırasında projede uzantı için bir hizmet hesabı oluşturur. Yüklenen her uzantının kendi hizmet hesabı vardır. Bir uzantı örneği kaldırılırsa Firebase, uzantının hizmet hesabını siler.
Uzantılar için oluşturulan hizmet hesapları şu biçimdedir:
ext-extension-instance-id@project-id.iam.gserviceaccount.com
Firebase, uzantının hizmet hesabına belirli roller (izin paketleri) atayarak uzantının projeye ve verilerine erişimini sınırlandırır. Bir uzantı oluşturduğunuzda, uzantınızın çalışması için hangi rollerin gerektiğini belirlersiniz, ardından bu rolleri ve uzantınızın neden bu rollere ihtiyaç duyduğunu extension.yaml dosyanızda (bu sayfanın alt kısmındaki örneğe bakın) listelersiniz.
Uzantınızın hangi rolleri gerektirdiğini belirleme
Uzantınızı oluştururken, uzantının çalışması için gereken erişim düzeyini belirlersiniz.
Yükleme sırasında Firebase CLI, kullanıcıdan her rolün verdiği erişim düzeyini kabul etmesini ister. Uzantı, gerçekten ihtiyaç duyduğundan daha fazla rol istiyorsa kullanıcıların uzantıyı yükleme olasılığı daha düşük olabilir.
Uzantılarınızın bir ürünle etkileşime geçip geçmediğini belirleme:
Uzantınız bir ürünle etkileşim kuruyorsa uzantının ilgili ürüne erişmesine izin vermeniz gerekir.
Örneğin, uzantınız bir Realtime Database örneğine veri yazıyorsa uzantınızın bir Realtime Database rolüne (özellikle
firebasedatabase.admin) ihtiyacı vardır.Uzantı yalnızca bir üründen gelen tetikleyici bir etkinliği dinliyorsa uzantınızın bu ürünle ilişkili bir role ihtiyacı yoktur.
Örneğin, uzantınız bir Realtime Database örneğine yazma işlemi yapıldığında tetikleniyorsa (ancak veritabanına hiçbir şey yazmıyorsa) uzantınızın Realtime Database rolüne ihtiyacı yoktur.
Uzantınızın hangi ürünlerle etkileşime girdiğini belirledikten sonra, bu belirli etkileşim için hangi rolün gerekli olduğuna karar vermeniz gerekir. Bazı ürünler, gerçekleştirilen eyleme veya eylem kümesine bağlı olarak farklı roller sunar.
Örneğin, uzantınızın bir Cloud Storage paketiyle etkileşime girdiğini varsayalım.
storage.objectCreatorrolü, uzantının Cloud Storage paketinde nesne oluşturmasına izin verir ancak uzantının nesneleri görüntülemesine, silmesine veya üzerine yazmasına izin vermez. Uzantı için bu ek işlemleri gerçekleştirme izni vermek istiyorsanız bunun yerinestorage.objectAdminrolünü atamanız gerekir.
Uzantınızın hizmet hesabına atayabileceğiniz desteklenen tüm rolleri görmek için bu sayfanın alt kısmındaki bölüme bakın. Her bir rolün açıklaması ve verilen izinler hakkında bilgi edinmek için Firebase belgelerini veya Google Cloud belgelerini ziyaret edin. Rolleri Google Cloud Console'un IAM ve Yönetici panelinde de arayabilirsiniz.
Bir uzantıya rol atama
Uzantınızın extension.yaml dosyanızın roles bölümünde çalışması için gereken IAM rollerini listeleyin.
Belirli bir Firebase Realtime Database yolunu dinleyen bir uzantı örneğini aşağıda bulabilirsiniz. Uzantı tetiklendiğinde bir kullanıcı hesabı e-postasını günceller (Firebase Authentication ile etkileşim) ve bildirim gönderir (Firebase Cloud Messaging ile etkileşim). Aşağıdakilere dikkat edin:
- Uzantı bir Realtime Database etkinliğinden tetiklense bile
firebasedatabase.adminrolü listelenmez (dinleme etkileşim olarak kabul edilmez). - Uzantı Authentication ve Cloud Messaging ile etkileşim kurduğundan, uzantı bu ürünlere erişmek için rollere ihtiyaç duyar (sırasıyla
firebaseauth.adminvefirebasenotifications.admin).
# extension.yaml
...
# Roles assigned to the extension's service account by Firebase during installation
roles:
- role: firebaseauth.admin
reason: Required to update the email address of the user account
- role: firebasenotifications.admin
reason: Required to send a notification that the email address has been updated
...
extension.yaml dosyanızda, uzantının hizmet hesabına rol atamak için aşağıdaki alanları kullanın:
| Alan | Tür | Açıklama |
|---|---|---|
role(zorunlu) |
dize | Uzantının çalışması için ihtiyaç duyduğu IAM rolünün adı |
reason(zorunlu) |
dize |
Uzantının, rol tarafından verilen erişime neden ihtiyaç duyduğuna dair kısa açıklama Kullanıcının, uzantının rolü nasıl kullandığını anlayabilmesi için yeterli ayrıntı sağladığınızdan emin olun. |
resource(isteğe bağlı) |
dize |
Bu rolün hangi kaynağın IAM politikasına eklenmesi gerektiği. Atlanırsa varsayılan olarak
|
Rollerin kapsamını daraltma
Uzantılar, en az ayrıcalık ilkesine uymalı ve yalnızca ihtiyaç duydukları kaynaklara erişim istemelidir.
role.resource alanını kullanarak bir uzantının erişim kapsamını sınırlayabilirsiniz.
Örneğin, uzantınızın bir Cloud Storage paketine nesne yazması gerekiyorsa aşağıdaki rolü kullanabilirsiniz:
roles:
- role: storage.objectCreator
reason: Needed in order to write
resource: projects/${PROJECT_ID}/buckets/${STORAGE_BUCKET}
Bu sayede uzantı, aynı projedeki diğer paketlere değil, yalnızca ihtiyaç duyduğu pakete erişebilir.
Bu alan, projeleri (projects/{project_id}) ve depolama alanı paketlerini (projects/{project_id}/buckets/{bucket_id}) destekler.
Uzantılar için desteklenen roller
Aşağıdaki tabloda, Firebase ürünleriyle etkileşim için desteklenen IAM rolleri listelenmektedir. Bu tablodaki rollerin çoğu Firebase ürün düzeyinde rollerdir ancak bazıları doğrudan Google Cloud tarafından yönetilir (özellikle Cloud Firestore ve Cloud Storage).
Firebase ürünleri
| Uzantılarınız aşağıdakilerle etkileşime geçiyorsa: | Bu rollerden birini atayın... |
|---|---|
| Cloud Firestore |
datastore.importExportAdmin datastore.indexAdmin datastore.owner datastore.user datastore.viewer |
| Cloud Storage for Firebase |
storage.admin storage.objectAdmin storage.objectCreator storage.objectViewer |
| Firebase App Distribution |
firebaseappdistro.admin firebaseappdistro.viewer |
| Firebase Authentication |
firebaseauth.admin firebaseauth.viewer |
| Firebase A/B Testing |
firebaseabt.admin firebaseabt.viewer |
| Firebase Cloud Messaging |
firebasenotifications.admin firebasenotifications.viewer |
| Firebase Crashlytics |
firebasecrashlytics.admin firebasecrashlytics.viewer |
| Firebase Hosting |
firebasehosting.admin firebasehosting.viewer |
| Firebase In-App Messaging |
firebaseinappmessaging.admin firebaseinappmessaging.viewer |
| Firebase ML |
firebaseml.admin firebaseml.viewer |
| Firebase Performance Monitoring |
firebaseperformance.viewer firebaseperformance.reader firebaseperformance.writer |
| Firebase Realtime Database |
firebasedatabase.admin firebasedatabase.viewer |
| Güvenlik kuralları |
firebaserules.viewer firebaserules.developer firebaserules.deployer |
| Google Analytics |
firebaseanalytics.admin firebaseanalytics.viewer |
Google Cloud ürünleri
Bu roller hakkında bilgi edinmek için Google Cloud belgelerine göz atın.
| Uzantınız şunlarla etkileşimde bulunursa: | Bu rollerden birini atayın... |
|---|---|
| İşlemler |
actions.Admin actions.Viewer |
| Apigee |
apigee.analyticsAgent apigee.analyticsEditor apigee.analyticsViewer apigee.apiCreator apigee.deployer apigee.developerAdmin apigee.readOnlyAdmin apigee.synchronizerManager |
| App Engine |
appengine.appAdmin appengine.appViewer appengine.codeViewer appengine.deployer appengine.serviceAdmin |
| AutoML |
automl.editor automl.predictor automl.viewer |
| BigQuery |
bigquery.ConnectionAdmin bigquery.linkedUser bigquery.dataEditor bigquery.dataOwner bigquery.dataViewer bigquery.jobUser bigquery.metadataViewer bigquery.readSessionUser bigquery.user |
| Cloud Bigtable |
bigtable.reader bigtable.user bigtable.viewer |
| Faturalandırma | billing.viewer |
| Hangouts sohbetleri |
chat.owner chat.reader |
| Bulut Öğesi |
cloudasset.owner cloudasset.viewer |
| Cloud Data Fusion |
datafusion.admin datafusion.viewer |
| Cloud Debugger |
clouddebugger.agent clouddebugger.user |
| Cloud Functions |
cloudfunctions.invoker cloudfunctions.viewer |
| Cloud IAP |
iap.admin iap.httpsResourceAccessor iap.settingsAdmin iap.tunnelResourceAccessor |
| Cloud IoT |
cloudiot.deviceController cloudiot.editor cloudiot.provisioner cloudiot.viewer |
| Stackdriver Profiler |
cloudprofiler.agent cloudprofiler.user |
| Cloud Scheduler |
cloudscheduler.admin cloudscheduler.jobRunner cloudscheduler.viewer |
| Cloud Security Scanner |
cloudsecurityscanner.editor cloudsecurityscanner.runner cloudsecurityscanner.viewer |
| Cloud SQL |
cloudsql.client cloudsql.editor cloudsql.viewer |
| Cloud Trace |
cloudtrace.admin cloudtrace.agent cloudtrace.user |
| Dataflow |
dataflow.developer dataflow.viewer dataflow.worker |
| Dialogflow |
dialogflow.admin dialogflow.client dialogflow.reader |
| Cloud Data Loss Prevention |
dlp.reader dlp.user |
| Error Reporting |
errorreporting.user errorreporting.viewer errorreporting.writer |
| Eventarc |
eventarc.publisher eventarc.eventReceiver |
| Cloud Filestore |
file.editor file.viewer |
| Günlük Kaydı |
logging.configWriter logging.logWriter logging.privateLogViewer logging.viewer |
| Machine Learning Engine |
ml.developer ml.jobOwner ml.modelOwner ml.modelUser ml.operationOwner ml.viewer |
| İzleme |
monitoring.editor monitoring.metricWriter monitoring.viewer |
| AI Not Defterleri |
notebooks.admin notebooks.viewer |
| Pub/Sub |
pubsub.editor pubsub.publisher pubsub.subscriber pubsub.viewer |
| Memorystore Redis |
redis.editor redis.viewer |
| Cloud Run | run.invoker |
| Kaynak |
source.reader source.writer |
| Cloud Spanner |
spanner.databaseAdmin spanner.databaseReader spanner.databaseUser spanner.viewer |
| Hizmet Kullanımı | serviceusage.apiKeysMetadataViewer |
| Cloud Depolama Aktarım Hizmeti |
storagetransfer.user storagetransfer.viewer |
| Cloud Transcoder |
transcoder.admin transcoder.viewer |
| Vertex AI | aiplatform.user |
| Diğer |
identitytoolkit.admin identitytoolkit.viewer |