Quản lý quyền truy cập dự án bằng Firebase IAM

Quản lý danh tính và quyền truy cập (IAM) cho phép bạn cấp quyền truy cập chi tiết vào các tài nguyên Firebase và Google cụ thể, đồng thời ngăn chặn quyền truy cập không mong muốn vào các tài nguyên khác. IAM cho phép bạn áp dụng nguyên tắc bảo mật đặc quyền tối thiểu để bạn chỉ cấp quyền truy cập cần thiết vào tài nguyên của mình.

Để biết mô tả chi tiết về IAM, hãy đọc tài liệu IAM của Google Cloud .

Tổng quan về Firebase IAM

Firebase cung cấp các tùy chọn IAM bổ sung dành riêng cho các dự án Firebase và các thành viên dự án của bạn.

Khi thành viên dự án được xác thực yêu cầu một hành động trong Firebase, IAM sẽ đưa ra quyết định ủy quyền về việc liệu thành viên dự án có được phép thực hiện thao tác được yêu cầu trên tài nguyên hay không . Việc thành viên dự án có được phép thực hiện yêu cầu hay không phụ thuộc vào vai trò được giao của thành viên dự án. Mỗi vai trò là một tập hợp các quyền và khi bạn chỉ định một vai trò cho một thành viên dự án, bạn sẽ cấp cho thành viên dự án đó tất cả các quyền đối với vai trò đó.

thành viên dự án

Sử dụng Firebase IAM, bạn chỉ định vai trò (và các quyền vốn có của họ) cho các thành viên dự án của mình. Thành viên dự án có thể thuộc các loại sau:

• tài khoản Google
• Tài khoản dịch vụ
• nhóm Google

Vai trò

Quyền được cấp cho các thành viên dự án của bạn thông qua các vai trò . Một vai trò là một tập hợp các quyền . Khi bạn gán một vai trò cho một thành viên dự án, bạn cấp cho thành viên dự án đó tất cả các quyền mà vai trò đó chứa.

Firebase IAM hỗ trợ các loại vai trò sau:

• Các vai trò cơ bản : Vai trò chủ sở hữu cơ bản, người chỉnh sửa và người xem (trước đây gọi là vai trò "nguyên thủy").

• Vai trò được xác định trước : Các vai trò dành riêng cho Firebase được quản lý cho phép kiểm soát quyền truy cập chi tiết hơn so với các vai trò cơ bản. Firebase cung cấp:

  • Vai trò cấp Firebase : Vai trò cấp quyền truy cập đọc/ghi đầy đủ hoặc chỉ đọc cho tất cả các sản phẩm Firebase.

  • Vai trò danh mục sản phẩm : Vai trò cấp quyền truy cập đọc/ghi đầy đủ hoặc chỉ đọc cho các nhóm sản phẩm. Chúng được cấu trúc xung quanh Google Analytics và các danh mục sản phẩm chung.

  • Vai trò cấp sản phẩm : Vai trò cấp quyền truy cập đọc/ghi đầy đủ hoặc chỉ đọc đối với các sản phẩm Firebase cụ thể .

• Vai trò tùy chỉnh : Các vai trò được tùy chỉnh hoàn toàn mà bạn tạo để điều chỉnh một nhóm quyền đáp ứng các yêu cầu cụ thể của tổ chức của bạn.

Độ trễ thay đổi vai trò

Nếu bạn thay đổi phân công vai trò của thành viên dự án, có thể mất tới 5 phút để thay đổi có hiệu lực.

Quản lý các thành viên dự án và vai trò của họ

Xem các thành viên dự án và vai trò của họ

Bạn có thể xem nhiều thành viên dự án của mình và vai trò của họ trong tab Người dùng và quyền của settings > Cài đặt dự án trong bảng điều khiển Firebase. Lưu ý những điều dưới đây:

• Bảng điều khiển Firebase chỉ liệt kê các thành viên dự án được giao vai trò cơ bản (Chủ sở hữu, Người chỉnh sửa, Người xem) hoặc vai trò được xác định trước của Firebase . Các thành viên dự án được liệt kê trong tab này là những thành viên dự án duy nhất có quyền truy cập vào dự án Firebase trong bảng điều khiển Firebase.
• Bảng điều khiển Firebase không liệt kê các thành viên dự án là tài khoản dịch vụ. Xem các thành viên dự án này trên trang IAM của Google Cloud Console.

Ngoài ra, bạn có thể xem tất cả các thành viên dự án của mình và vai trò của họ trên trang IAM của Google Cloud Console.

Gán vai trò cho thành viên dự án

Để quản lý (các) vai trò được chỉ định cho từng thành viên dự án, bạn phải là Chủ sở hữu của dự án Firebase (hoặc được chỉ định một vai trò với quyền resourcemanager.projects.setIamPolicy ).

Dưới đây là những nơi bạn có thể chỉ định và quản lý vai trò:

• Bảng điều khiển Firebase cung cấp một cách đơn giản để chỉ định vai trò cho các thành viên dự án trong tab Người dùng và quyền của settings > Cài đặt dự án . Trong bảng điều khiển Firebase, bạn có thể chỉ định bất kỳ vai trò cơ bản nào (Chủ sở hữu, Người chỉnh sửa, Người xem), vai trò Quản trị viên/Người xem Firebase hoặc bất kỳ vai trò danh mục sản phẩm nào được xác định trước của Firebase .
• Google Cloud Console cung cấp một bộ công cụ mở rộng để phân công vai trò cho các thành viên dự án trên trang IAM . Trong Cloud Console, bạn cũng có thể tạo và quản lý các vai trò tùy chỉnh cũng như cấp cho các tài khoản dịch vụ quyền truy cập vào dự án của mình.

  Lưu ý rằng trong Google Cloud Console, các thành viên dự án được gọi là hiệu trưởng .

Nếu Chủ sở hữu dự án của bạn không còn có thể thực hiện các nhiệm vụ của Chủ sở hữu (ví dụ: người đã rời công ty của bạn) và dự án của bạn không được quản lý thông qua tổ chức Google Cloud (xem đoạn tiếp theo), bạn có thể liên hệ với Bộ phận hỗ trợ của Firebase để được yêu cầu một Chủ sở hữu tạm thời được chỉ định.

Lưu ý rằng nếu dự án Firebase là một phần của tổ chức Google Cloud thì dự án đó có thể không có Chủ sở hữu. Nếu bạn không thể tìm thấy Chủ sở hữu cho dự án Firebase của mình, hãy liên hệ với người quản lý tổ chức Google Cloud của bạn để chỉ định Chủ sở hữu cho dự án.