Verwalten Sie den Projektzugriff mit Firebase IAM

Mit der Identitäts- und Zugriffsverwaltung (IAM) können Sie granularen Zugriff auf bestimmte Firebase- und Google-Ressourcen gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern. Mit IAM können Sie das Sicherheitsprinzip der geringsten Rechte anwenden , sodass Sie nur den erforderlichen Zugriff auf Ihre Ressourcen gewähren.

Eine ausführliche Beschreibung von IAM finden Sie in der Google Cloud IAM-Dokumentation .

Überblick über Firebase IAM

Firebase bietet zusätzliche IAM-Optionen, die spezifisch für Firebase-Projekte und Ihre Projektmitglieder sind.

Wenn ein authentifiziertes Projektmitglied eine Aktion in Firebase anfordert, trifft IAM eine Autorisierungsentscheidung darüber, ob das Projektmitglied berechtigt ist, den angeforderten Vorgang für die Ressource auszuführen . Ob der Projektmitarbeiter die Anfrage ausführen darf, hängt von der zugewiesenen Rolle des Projektmitarbeiters ab . Jede Rolle ist eine Sammlung von Berechtigungen, und wenn Sie einem Projektmitglied eine Rolle zuweisen, erteilen Sie diesem Projektmitglied alle Berechtigungen für diese Rolle.

Projektmitglieder

Mit Firebase IAM weisen Sie Ihren Projektmitgliedern Rollen (und die ihnen innewohnenden Berechtigungen) zu. Projektmitglieder können folgenden Typen angehören :

• Google Benutzerkonto
• Dienstkonto
• Google-Gruppe

Rollen

Berechtigungen werden Ihren Projektmitgliedern über Rollen erteilt. Eine Rolle ist eine Sammlung von Berechtigungen . Wenn Sie einem Projektmitglied eine Rolle zuweisen, gewähren Sie diesem Projektmitglied alle Berechtigungen, die die Rolle enthält.

Firebase IAM unterstützt die folgenden Arten von Rollen:

• Grundlegende Rollen : Grundlegende Eigentümer- , Bearbeiter- und Betrachterrollen (früher als "einfache" Rollen bezeichnet).

• Vordefinierte Rollen : Kuratierte Firebase-spezifische Rollen, die eine granularere Zugriffskontrolle ermöglichen als die Basisrollen. Firebase-Angebote:

  • Rollen auf Firebase-Ebene : Rollen, die vollen Lese-/Schreibzugriff oder schreibgeschützten Zugriff auf alle Firebase-Produkte gewähren.

  • Produktkategorierollen : Rollen, die vollständigen Lese-/Schreibzugriff oder Nur-Lese-Zugriff auf Produktgruppen gewähren. Sie sind um Google Analytics und allgemeine Produktkategorien herum strukturiert.

  • Rollen auf Produktebene : Rollen, die vollen Lese-/Schreibzugriff oder schreibgeschützten Zugriff auf bestimmte Firebase-Produkte gewähren.

• Benutzerdefinierte Rollen : Vollständig angepasste Rollen, die Sie erstellen, um eine Reihe von Berechtigungen anzupassen, die die spezifischen Anforderungen Ihrer Organisation erfüllen.

Latenz bei Rollenwechseln

Wenn Sie die Rollenzuweisung eines Projektmitglieds ändern, kann es bis zu 5 Minuten dauern, bis die Änderung wirksam wird.

Verwalten Sie Projektmitglieder und ihre Rollen

Zeigen Sie Projektmitglieder und ihre Rollen an

Sie können viele Ihrer Projektmitglieder und ihre Rollen auf der Registerkarte „ Benutzer und Berechtigungen “ unter „ settings “ > „Projekteinstellungen“ in der Firebase-Konsole anzeigen. Beachte das Folgende:

• Die Firebase-Konsole listet nur Projektmitglieder auf, denen eine einfache Rolle (Inhaber, Bearbeiter, Betrachter) oder eine vordefinierte Firebase-Rolle zugewiesen wurde . Die auf dieser Registerkarte aufgeführten Projektmitglieder sind die einzigen Projektmitglieder, die Zugriff auf das Firebase-Projekt in der Firebase-Konsole haben.
• Die Firebase-Konsole listet keine Projektmitglieder auf, die Dienstkonten sind. Zeigen Sie diese Projektmitglieder auf der IAM -Seite der Google Cloud Console an.

Alternativ können Sie alle Ihre Projektmitglieder und ihre Rollen auf der IAM -Seite der Google Cloud Console anzeigen.

Weisen Sie einem Projektmitglied eine Rolle zu

Um die jedem Projektmitglied zugewiesene(n) Rolle(n) zu verwalten, müssen Sie Eigentümer des Firebase-Projekts sein (oder Ihnen muss eine Rolle mit der Berechtigung resourcemanager.projects.setIamPolicy zugewiesen werden).

Hier sind die Orte, an denen Sie Rollen zuweisen und verwalten können:

• Die Firebase-Konsole bietet eine vereinfachte Möglichkeit, Projektmitgliedern auf der Registerkarte Benutzer und Berechtigungen unter settings > Projekteinstellungen Rollen zuzuweisen. In der Firebase-Konsole können Sie jede der grundlegenden Rollen (Eigentümer, Bearbeiter, Betrachter), die Firebase-Administrator-/Betrachterrollen oder eine der vordefinierten Firebase-Produktkategorierollen zuweisen.
• Die Google Cloud Console bietet umfangreiche Tools zum Zuweisen von Rollen zu Projektmitgliedern auf der IAM -Seite . In der Cloud Console können Sie auch benutzerdefinierte Rollen erstellen und verwalten sowie Dienstkonten Zugriff auf Ihr Projekt gewähren.

  Beachten Sie, dass Projektmitglieder in der Google Cloud Console als Prinzipale bezeichnet werden.

Wenn der Eigentümer Ihres Projekts die Aufgaben eines Eigentümers nicht mehr ausführen kann (z. B. wenn die Person Ihr Unternehmen verlassen hat) und Ihr Projekt nicht über eine Google Cloud-Organisation verwaltet wird (siehe nächster Abschnitt), können Sie sich an den Firebase-Support wenden ein temporärer Eigentümer zugewiesen.

Beachten Sie, dass ein Firebase-Projekt, wenn es Teil einer Google Cloud-Organisation ist, möglicherweise keinen Eigentümer hat. Wenn Sie keinen Eigentümer für Ihr Firebase-Projekt finden können, wenden Sie sich an die Person, die Ihre Google Cloud-Organisation verwaltet, um einen Eigentümer für das Projekt zuzuweisen.