Quản lý quyền truy cập dự án với Firebase IAM

Quản lý danh tính và quyền truy cập (IAM) cho phép bạn cấp quyền truy cập chi tiết vào các tài nguyên cụ thể của Firebase và Google, đồng thời ngăn chặn quyền truy cập không mong muốn vào các tài nguyên khác. IAM cho phép bạn áp dụng nguyên tắc bảo mật ít đặc quyền nhất , vì vậy bạn chỉ cấp quyền truy cập cần thiết vào tài nguyên của mình.

Để có mô tả chi tiết về IAM, hãy đọc tài liệu Google Cloud IAM .

Tổng quan về Firebase IAM

Firebase cung cấp các tùy chọn IAM bổ sung dành riêng cho các dự án Firebase và các thành viên dự án của bạn.

Khi một thành viên dự án đã xác thực yêu cầu một hành động trong Firebase, IAM sẽ đưa ra quyết định ủy quyền về việc liệu thành viên dự án có được phép thực hiện thao tác được yêu cầu trên tài nguyên hay không. Thành viên dự án có được phép thực hiện yêu cầu hay không phụ thuộc vào vai trò được giao của thành viên dự án. Mỗi vai trò là một tập hợp các quyền và khi bạn gán một vai trò cho một thành viên dự án, bạn đang cấp cho thành viên dự án đó tất cả các quyền cho vai trò đó.

Thành viên dự án

Sử dụng Firebase IAM, bạn chỉ định vai trò (và các quyền vốn có của họ) cho các thành viên dự án của mình. Các thành viên dự án có thể thuộc các loại sau:

• tài khoản Google
• Tài khoản dịch vụ
• Nhóm Google

Vai trò

Quyền được cấp cho các thành viên dự án của bạn thông qua vai trò . Vai trò là một tập hợp các quyền . Khi bạn chỉ định một vai trò cho một thành viên dự án, bạn cấp cho thành viên dự án đó tất cả các quyền mà vai trò đó có.

Firebase IAM hỗ trợ các loại vai trò sau:

• Các vai trò cơ bản : Các vai trò Chủ sở hữu cơ bản, Người biên tập và Người xem (trước đây được gọi là các vai trò "nguyên thủy").

• Vai trò xác định trước : Các vai trò cụ thể trong Firebase được sắp xếp cho phép kiểm soát truy cập chi tiết hơn các vai trò cơ bản. Firebase cung cấp:

  • Vai trò cấp Firebase : Vai trò cấp toàn quyền truy cập đọc / ghi hoặc chỉ đọc cho tất cả các sản phẩm Firebase.

  • Vai trò danh mục sản phẩm : Vai trò cấp toàn quyền truy cập đọc / ghi hoặc chỉ đọc cho các nhóm sản phẩm. Chúng được cấu trúc xung quanh Google Analytics và các danh mục sản phẩm chung.

  • Vai trò cấp sản phẩm : Vai trò cấp toàn quyền truy cập đọc / ghi hoặc chỉ đọc cho các sản phẩm Firebase cụ thể .

• Vai trò tùy chỉnh : Các vai trò tùy chỉnh hoàn toàn mà bạn tạo để điều chỉnh một tập hợp các quyền đáp ứng các yêu cầu cụ thể của tổ chức của bạn.

Thời gian chờ thay đổi vai trò

Nếu bạn thay đổi phân công vai trò của thành viên dự án, có thể mất đến 5 phút để thay đổi có hiệu lực.

Quản lý các thành viên dự án và vai trò của họ

Xem các thành viên dự án và vai trò của họ

Bạn có thể xem nhiều thành viên dự án của mình và vai trò của họ trong tab Người dùng và quyền của settings > Cài đặt dự án trong bảng điều khiển Firebase. Lưu ý những điều dưới đây:

• Bảng điều khiển Firebase chỉ liệt kê các thành viên dự án được chỉ định vai trò cơ bản (Chủ sở hữu, Người chỉnh sửa, Người xem) hoặc vai trò xác định trước của Firebase . Các thành viên dự án được liệt kê trong tab này là thành viên dự án duy nhất có quyền truy cập vào dự án Firebase trong bảng điều khiển Firebase.
• Bảng điều khiển Firebase không liệt kê các thành viên dự án là tài khoản dịch vụ. Xem các thành viên dự án này trong trang IAM của Google Cloud Console.

Ngoài ra, bạn có thể xem tất cả các thành viên dự án của mình và vai trò của họ trong trang IAM của Google Cloud Console.

Chỉ định vai trò cho một thành viên dự án

Để quản lý (các) vai trò được chỉ định cho từng thành viên dự án, bạn phải là Chủ sở hữu của dự án Firebase (hoặc được chỉ định một vai trò với quyền resourcemanager.projects.setIamPolicy ).

Dưới đây là những nơi bạn có thể chỉ định và quản lý các vai trò:

• Bảng điều khiển Firebase cung cấp một cách đơn giản để chỉ định vai trò cho các thành viên dự án trong tab Người dùng và quyền của settings > Cài đặt dự án . Trong bảng điều khiển Firebase, bạn có thể chỉ định bất kỳ vai trò cơ bản nào (Chủ sở hữu, Người chỉnh sửa, Người xem), vai trò Người xem / Quản trị viên Firebase hoặc bất kỳ vai trò nào trong số các vai trò danh mục sản phẩm được xác định trước của Firebase .
• Google Cloud Console cung cấp một bộ công cụ mở rộng để phân công vai trò cho các thành viên dự án trong trang IAM . Trong Cloud Console, bạn cũng có thể tạo và quản lý các vai trò tùy chỉnh , cũng như cấp cho các tài khoản dịch vụ quyền truy cập vào dự án của mình.

  Lưu ý rằng trong Google Cloud Console, các thành viên của dự án được gọi là nguyên tắc .

Nếu Chủ sở hữu dự án của bạn không còn có thể thực hiện các nhiệm vụ của Chủ sở hữu (ví dụ: người đã rời khỏi công ty của bạn) và dự án của bạn không được quản lý thông qua tổ chức Google Cloud (xem đoạn tiếp theo), bạn có thể liên hệ với Bộ phận hỗ trợ Firebase để có một Chủ sở hữu tạm thời được chỉ định.

Lưu ý rằng nếu dự án Firebase là một phần của tổ chức Google Cloud, thì dự án đó có thể không có Chủ sở hữu. Nếu bạn không thể tìm được Chủ sở hữu cho dự án Firebase của mình, hãy liên hệ với người quản lý tổ chức Google Cloud của bạn để chỉ định Chủ sở hữu cho dự án.