การจัดการข้อมูลประจำตัวและการเข้าถึง (IAM) ช่วยให้คุณให้สิทธิ์การเข้าถึงแบบละเอียดแก่ทรัพยากร Firebase และ Google ที่เฉพาะเจาะจง และป้องกันการเข้าถึงทรัพยากรอื่นๆ โดยไม่ต้องการ IAM ให้คุณนำ หลักการความปลอดภัยที่มีสิทธิน้อยที่สุด มาใช้ ดังนั้นคุณจึงอนุญาตเฉพาะการเข้าถึงที่จำเป็นในทรัพยากรของคุณ
สำหรับคำอธิบายโดยละเอียดของ IAM โปรดอ่านเอกสาร Google Cloud IAM
ภาพรวมของ Firebase IAM
Firebase เสนอตัวเลือก IAM เพิ่มเติมเฉพาะสำหรับโปรเจ็กต์ Firebase และสมาชิกโปรเจ็กต์ของคุณ
เมื่อ สมาชิกโปรเจ็ กต์ที่ตรวจสอบสิทธิ์แล้วร้องขอการดำเนินการใน Firebase IAM จะตัดสินใจให้สิทธิ์ว่าสมาชิกโปรเจ็กต์มี สิทธิ์ ดำเนินการตามที่ร้องขอบน ทรัพยากร หรือไม่ สมาชิกโครงการได้รับอนุญาตให้ดำเนินการตามคำขอหรือไม่นั้นขึ้นอยู่กับ บทบาท ที่ได้รับมอบหมายของสมาชิกโครงการ แต่ละบทบาทคือชุดของสิทธิ์ และเมื่อคุณกำหนดบทบาทให้กับสมาชิกโปรเจ็กต์ คุณกำลังให้สิทธิ์ทั้งหมดแก่สมาชิกโปรเจ็กต์สำหรับบทบาทนั้น
สมาชิกโครงการ
เมื่อใช้ Firebase IAM คุณจะกำหนดบทบาท (และการอนุญาตโดยธรรมชาติของบทบาท) ให้กับสมาชิกโปรเจ็กต์ของคุณ สมาชิกโครงการสามารถเป็น ประเภท ต่อไปนี้:
- บัญชี Google
- บัญชีบริการ
- Google group
บทบาท
สิทธิ์จะมอบให้กับสมาชิกโครงการของคุณผ่าน บทบาท บทบาทคือชุดของ สิทธิ์ เมื่อคุณกำหนดบทบาทให้กับสมาชิกโปรเจ็กต์ คุณให้สิทธิ์แก่สมาชิกโปรเจ็กต์นั้นทั้งหมดที่มีบทบาทนั้น
Firebase IAM รองรับบทบาทประเภทต่อไปนี้:
บทบาท พื้นฐาน : บทบาท Fundamental Owner , Editor และ ผู้ดู (เดิมเรียกว่าบทบาท "primitive")
บทบาทที่ กำหนดไว้ล่วงหน้า : บทบาท เฉพาะของ Firebase ที่ดูแลจัดการซึ่งเปิดใช้การควบคุมการเข้าถึงที่ละเอียดกว่าบทบาทพื้นฐาน ข้อเสนอของ Firebase:
บทบาทระดับ Firebase : บทบาทที่ให้สิทธิ์การเข้าถึงแบบอ่าน/เขียนหรืออ่านอย่างเดียวสำหรับผลิตภัณฑ์ Firebase ทั้งหมด
บทบาทหมวดหมู่ผลิตภัณฑ์ : บทบาทที่ให้สิทธิ์การเข้าถึงแบบอ่าน/เขียนหรืออ่านอย่างเดียวอย่างเต็มรูปแบบสำหรับกลุ่มผลิตภัณฑ์ มีโครงสร้างตาม Google Analytics และหมวดหมู่ผลิตภัณฑ์ทั่วไป
บทบาทระดับผลิตภัณฑ์ : บทบาทที่ให้สิทธิ์การเข้าถึงแบบอ่าน/เขียนหรืออ่านอย่างเดียวอย่างเต็มรูปแบบสำหรับผลิตภัณฑ์ Firebase ที่ เฉพาะเจาะจง
บทบาทที่ กำหนดเอง : บทบาทที่กำหนดเองทั้งหมดที่คุณสร้างขึ้นเพื่อปรับแต่งชุดของสิทธิ์ที่ตรงตามข้อกำหนดเฉพาะขององค์กรของคุณ
เวลาในการตอบสนองของการเปลี่ยนแปลงบทบาท
หากคุณเปลี่ยนการกำหนดบทบาทของสมาชิกโปรเจ็กต์ การเปลี่ยนแปลงอาจใช้เวลาถึง 5 นาทีจึงจะมีผล
จัดการสมาชิกโครงการและบทบาทของพวกเขา
ดูสมาชิกโครงการและบทบาทของพวกเขา
คุณสามารถดูสมาชิกโปรเจ็กต์หลายคนและบทบาทของพวกเขาได้ใน แท็บ ผู้ใช้และสิทธิ์ ของ > การตั้ง ค่าโปรเจ็ กต์ในคอนโซล Firebase สังเกตสิ่งต่อไปนี้:- คอนโซล Firebase จะแสดงเฉพาะสมาชิกโปรเจ็กต์ที่ได้รับมอบหมาย บทบาทพื้นฐาน (เจ้าของ ผู้แก้ไข ผู้ดู) หรือ บทบาทที่กำหนดไว้ล่วงหน้าของ Firebase สมาชิกของโปรเจ็กต์ที่แสดงอยู่ในแท็บนี้เป็นเพียงสมาชิกโปรเจ็กต์เดียวที่มีสิทธิ์เข้าถึงโปรเจ็กต์ Firebase ในคอนโซล Firebase
- คอนโซล Firebase ไม่แสดงรายการสมาชิกโครงการที่เป็นบัญชีบริการ ดูสมาชิกโครงการเหล่านี้ใน หน้า IAM ของ Google Cloud Console
กำหนดบทบาทให้กับสมาชิกโครงการ
ใน resourcemanager.projects.setIamPolicy จัดการบทบาทที่กำหนดให้กับสมาชิกโปรเจ็กต์แต่ละคน คุณต้องเป็นเจ้าของโปรเจ็กต์ Firebase (หรือได้รับมอบหมายบทบาทที่มีสิทธิ์
ต่อไปนี้คือสถานที่ที่คุณสามารถกำหนดและจัดการบทบาทได้:
- คอนโซล Firebase มีวิธีง่ายๆ ในการกำหนดบทบาทให้กับสมาชิกโปรเจ็กต์ใน แท็บ ผู้ใช้และสิทธิ์ ของ > การตั้งค่าโปรเจ็ กต์ ในคอนโซล Firebase คุณสามารถกำหนด บทบาทพื้นฐาน ใดๆ (เจ้าของ ผู้แก้ไข ผู้ดู) บทบาทผู้ ดูแลระบบ/ผู้ดู Firebase หรือ บทบาทประเภทผลิตภัณฑ์ที่กำหนดไว้ล่วงหน้าของ Firebase
- Google Cloud Console มีชุดเครื่องมือมากมายเพื่อกำหนดบทบาทให้กับสมาชิกโปรเจ็กต์ใน หน้า IAM ใน Cloud Console คุณยังสามารถสร้างและจัดการ บทบาทที่กำหนดเอง ตลอดจนให้สิทธิ์บัญชีบริการเข้าถึงโปรเจ็กต์ของคุณได้
โปรดทราบว่าใน Google Cloud Console สมาชิกโปรเจ็กต์จะเรียกว่า Principal
หากเจ้าของโครงการของคุณไม่สามารถทำงานของเจ้าของได้อีกต่อไป (เช่น บุคคลที่ออกจากบริษัทของคุณ) และโครงการของคุณไม่ได้รับการจัดการผ่านองค์กร Google Cloud (ดูย่อหน้าถัดไป) คุณสามารถ ติดต่อฝ่ายสนับสนุนของ Firebase เพื่อให้ เจ้าของชั่วคราวที่ได้รับมอบหมาย
โปรดทราบว่าหากโปรเจ็กต์ Firebase เป็นส่วนหนึ่งขององค์กร Google Cloud โปรเจ็กต์นั้นอาจไม่มีเจ้าของ หากคุณไม่พบเจ้าของสำหรับโปรเจ็กต์ Firebase โปรดติดต่อบุคคลที่จัดการองค์กร Google Cloud ของคุณเพื่อมอบหมายเจ้าของสำหรับโปรเจ็กต์