Identity and Access Management (IAM) ช่วยให้คุณให้สิทธิ์การเข้าถึงโดยละเอียดแก่ทรัพยากร Firebase และ Google ที่เฉพาะเจาะจงได้ และป้องกันการเข้าถึงทรัพยากรอื่นๆ ที่ไม่พึงประสงค์ IAM ให้คุณปรับใช้ หลักการรักษาความปลอดภัยที่มีสิทธิ์น้อยที่สุด ดังนั้นคุณจึงให้สิทธิ์การเข้าถึงทรัพยากรของคุณที่จำเป็นเท่านั้น
สำหรับคำอธิบายโดยละเอียดของ IAM โปรดอ่าน เอกสาร Google Cloud IAM
ภาพรวมของ Firebase IAM
Firebase เสนอตัวเลือก IAM เพิ่มเติมที่เฉพาะเจาะจงสำหรับโปรเจ็กต์ Firebase และสมาชิกโปรเจ็กต์ของคุณ
เมื่อ สมาชิกโปรเจ็กต์ ที่ได้รับการตรวจสอบสิทธิ์ร้องขอการดำเนินการใน Firebase IAM จะตัดสินใจให้สิทธิ์ว่าสมาชิกโปรเจ็กต์มี สิทธิ์ ดำเนินการตามที่ร้องขอบน ทรัพยากร หรือไม่ สมาชิกโครงการจะได้รับอนุญาตให้ดำเนินการตามคำขอหรือไม่นั้นขึ้นอยู่กับ บทบาท ที่ได้รับมอบหมายของสมาชิกโครงการ แต่ละบทบาทคือชุดของสิทธิ์ และเมื่อคุณมอบหมายบทบาทให้กับสมาชิกโครงการ คุณจะให้สิทธิ์ทั้งหมดแก่สมาชิกโครงการนั้นสำหรับบทบาทนั้น
สมาชิกโครงการ
เมื่อใช้ Firebase IAM คุณจะมอบหมายบทบาท (และสิทธิ์โดยธรรมชาติ) ให้กับสมาชิกโปรเจ็กต์ของคุณ สมาชิกโครงการสามารถเป็น ประเภท ต่อไปนี้:
- บัญชีกูเกิล
- บัญชีบริการ
- กลุ่มกูเกิ้ล
บทบาท
สิทธิ์จะมอบให้กับสมาชิกโครงการของคุณผ่าน บทบาท บทบาทคือการรวบรวม สิทธิ์ เมื่อคุณกำหนดบทบาทให้กับสมาชิกโครงการ คุณจะให้สิทธิ์ทั้งหมดที่มีบทบาทนั้นแก่สมาชิกโครงการนั้น
Firebase IAM รองรับบทบาทประเภทต่อไปนี้:
บทบาทพื้นฐาน : บทบาท เจ้าของ ขั้นพื้นฐาน , ผู้แก้ไข และ ผู้ดู (เดิมเรียกว่าบทบาท "ดั้งเดิม")
บทบาทที่กำหนดไว้ล่วงหน้า : บทบาทเฉพาะ Firebase ที่คัดสรรแล้วซึ่งช่วยให้สามารถควบคุมการเข้าถึงได้ละเอียดยิ่งขึ้นกว่าบทบาทพื้นฐาน ข้อเสนอของ Firebase:
บทบาทระดับ Firebase : บทบาทที่ให้สิทธิ์การเข้าถึงแบบอ่าน/เขียนหรืออ่านอย่างเดียวสำหรับผลิตภัณฑ์ Firebase ทั้งหมด
บทบาทหมวดหมู่ผลิตภัณฑ์ : บทบาทที่ให้สิทธิ์การเข้าถึงแบบอ่าน/เขียนหรืออ่านอย่างเดียวแก่กลุ่มผลิตภัณฑ์ มีโครงสร้างตาม Google Analytics และหมวดหมู่ผลิตภัณฑ์ทั่วไป
บทบาทระดับผลิตภัณฑ์ : บทบาทที่ให้สิทธิ์การเข้าถึงแบบอ่าน/เขียนหรืออ่านอย่างเดียวกับผลิตภัณฑ์ Firebase เฉพาะเจาะจง
บทบาทที่กำหนดเอง : บทบาทที่กำหนดเองโดยสมบูรณ์ที่คุณสร้างเพื่อปรับแต่งชุดสิทธิ์ที่ตรงตามข้อกำหนดเฉพาะขององค์กรของคุณ
เวลาแฝงในการเปลี่ยนแปลงบทบาท
หากคุณเปลี่ยนการกำหนดบทบาทของสมาชิกโปรเจ็กต์ อาจใช้เวลาถึง 5 นาทีก่อนที่การเปลี่ยนแปลงจะมีผล
จัดการสมาชิกโครงการและบทบาทของพวกเขา
ดูสมาชิกโครงการและบทบาทของพวกเขา
คุณสามารถดูสมาชิกโปรเจ็กต์จำนวนมากและบทบาทของพวกเขาได้ใน แท็บ ผู้ใช้และการอนุญาต ของ > การตั้งค่าโปรเจ็กต์ ในคอนโซล Firebase หมายเหตุสิ่งต่อไปนี้:- คอนโซล Firebase จะแสดงเฉพาะสมาชิกโปรเจ็กต์ที่ได้รับมอบหมาย บทบาทพื้นฐาน (เจ้าของ ผู้แก้ไข ผู้ดู) หรือ บทบาทที่กำหนดไว้ล่วงหน้าของ Firebase สมาชิกโปรเจ็กต์ที่แสดงอยู่ในแท็บนี้เป็นสมาชิกโปรเจ็กต์เพียงคนเดียวที่มีสิทธิ์เข้าถึงโปรเจ็กต์ Firebase ในคอนโซล Firebase
- คอนโซล Firebase ไม่ได้แสดงรายการสมาชิกโครงการที่เป็นบัญชีบริการ ดูสมาชิกโปรเจ็กต์เหล่านี้ใน หน้า IAM ของคอนโซล Google Cloud
มอบหมายบทบาทให้กับสมาชิกโครงการ
หากต้องการจัดการบทบาทที่มอบหมายให้กับสมาชิกโปรเจ็กต์แต่ละคน คุณต้องเป็นเจ้าของโปรเจ็กต์ Firebase (หรือได้รับมอบหมายบทบาทที่มีสิทธิ์ resourcemanager.projects.setIamPolicy
)
นี่คือที่ที่คุณสามารถมอบหมายและจัดการบทบาทได้:
- คอนโซล Firebase นำเสนอวิธีที่ง่ายกว่าในการกำหนดบทบาทให้กับสมาชิกโปรเจ็กต์ใน แท็บ ผู้ใช้และการอนุญาต ของ > การตั้งค่าโปรเจ็กต์ ในคอนโซล Firebase คุณสามารถมอบหมาย บทบาทพื้นฐาน ใดก็ได้ (เจ้าของ ผู้แก้ไข ผู้ดู) บทบาทผู้ดูแลระบบ Firebase/ผู้ดู หรือ บทบาทหมวดหมู่ผลิตภัณฑ์ที่กำหนดไว้ล่วงหน้าของ Firebase
- คอนโซล Google Cloud มีชุดเครื่องมือมากมายเพื่อกำหนดบทบาทให้กับสมาชิกโปรเจ็กต์ใน หน้า IAM ใน Cloud Console คุณยังสร้างและจัดการ บทบาทที่กำหนดเอง รวมถึงให้บัญชีบริการเข้าถึงโปรเจ็กต์ของคุณได้
โปรดทราบว่าในคอนโซล Google Cloud สมาชิกโปรเจ็กต์จะเรียกว่า Principal
หากเจ้าของโปรเจ็กต์ของคุณไม่สามารถทำงานของเจ้าของได้อีกต่อไป (เช่น บุคคลที่ออกจากบริษัทของคุณ) และโปรเจ็กต์ของคุณไม่ได้รับการจัดการผ่านองค์กร Google Cloud (ดูย่อหน้าถัดไป) คุณสามารถ ติดต่อฝ่ายสนับสนุนของ Firebase เพื่อขอ เจ้าของชั่วคราวที่ได้รับมอบหมาย
โปรดทราบว่าหากโปรเจ็กต์ Firebase เป็นส่วนหนึ่งขององค์กร Google Cloud ก็อาจไม่มีเจ้าของ หากคุณไม่พบเจ้าของสำหรับโปรเจ็กต์ Firebase ของคุณ โปรดติดต่อบุคคลที่จัดการองค์กร Google Cloud ของคุณเพื่อมอบหมายเจ้าของสำหรับโปรเจ็กต์