Identity and Access Management (IAM) ช่วยให้คุณให้สิทธิ์เข้าถึงแบบละเอียดสำหรับทรัพยากร Firebase และ Google ที่เฉพาะเจาะจง และป้องกันการเข้าถึงทรัพยากรอื่นๆ ที่ไม่ต้องการ IAM ช่วยให้คุณนำ หลักความปลอดภัยของสิทธิ์ขั้นต่ำมาใช้ โดยเป็นระบบปฏิบัติการที่คุณให้เฉพาะสิทธิ์เข้าถึงทรัพยากรที่จำเป็น
อ่านคำอธิบายโดยละเอียดเกี่ยวกับ IAM ได้ใน Google Cloudเอกสารประกอบ IAM
ภาพรวมของ Firebase IAM
Firebase มีตัวเลือก IAM เพิ่มเติมที่เฉพาะเจาะจงสำหรับโปรเจ็กต์ Firebase และสมาชิกโปรเจ็กต์
เมื่อสมาชิกโปรเจ็กต์ ที่ผ่านการตรวจสอบสิทธิ์ขอให้ดำเนินการใน Firebase แล้ว IAM จะตัดสินใจให้สิทธิ์ว่าสมาชิกโปรเจ็กต์ มี สิทธิ์ ในการดำเนินการที่ขอใน ทรัพยากร หรือไม่ การอนุญาตให้สมาชิกโปรเจ็กต์ดำเนินการตามคำขอ ขึ้นอยู่กับ**บทบาท** ที่กำหนดให้กับสมาชิกโปรเจ็กต์ แต่ละบทบาทคือชุดสิทธิ์ และเมื่อคุณกำหนดบทบาทให้กับสมาชิกโปรเจ็กต์ คุณจะให้สิทธิ์ทั้งหมดสำหรับบทบาทนั้นแก่สมาชิกโปรเจ็กต์
สมาชิกโปรเจ็กต์
การใช้ Firebase IAM จะช่วยให้คุณกำหนดบทบาท (และสิทธิ์ที่มาพร้อมกับบทบาท) ให้กับสมาชิกโปรเจ็กต์ได้ สมาชิกโปรเจ็กต์มีได้หลายประเภท ดังนี้ ประเภท:
- บัญชี Google
- บัญชีบริการ
- Google Group
บทบาท
ระบบจะให้สิทธิ์แก่สมาชิกโปรเจ็กต์ผ่าน บทบาท บทบาทคือชุด สิทธิ์ เมื่อคุณกำหนดบทบาทให้กับสมาชิกโปรเจ็กต์ คุณจะให้สิทธิ์ทั้งหมดที่มีอยู่ในบทบาทนั้นแก่สมาชิกโปรเจ็กต์
Firebase IAM รองรับบทบาทประเภทต่อไปนี้
บทบาทพื้นฐาน: บทบาทเจ้าของ ผู้แก้ไข และผู้ดู ที่สำคัญ (เดิมเรียกว่า "บทบาทพื้นฐาน")
บทบาทที่กำหนดไว้ล่วงหน้า: บทบาทเฉพาะของ Firebase ที่คัดสรรมาแล้ว ซึ่งช่วยให้ควบคุมการเข้าถึงได้ละเอียดกว่า บทบาทพื้นฐาน Firebase มีบทบาทต่อไปนี้
บทบาทระดับ Firebase: บทบาทที่ให้สิทธิ์การอ่าน/การเขียนหรือสิทธิ์การเข้าถึงระดับอ่านอย่างเดียวสำหรับผลิตภัณฑ์ Firebase ทั้งหมด
บทบาทตามหมวดหมู่ผลิตภัณฑ์: บทบาทที่ให้สิทธิ์การอ่าน/การเขียนหรือสิทธิ์การอ่านอย่างเดียวสำหรับกลุ่มผลิตภัณฑ์ บทบาทเหล่านี้มีโครงสร้างตาม Google Analytics และหมวดหมู่ผลิตภัณฑ์ทั่วไป
บทบาทระดับผลิตภัณฑ์: บทบาทที่ให้สิทธิ์การอ่าน/การเขียนหรือสิทธิ์การอ่านอย่างเดียวสำหรับผลิตภัณฑ์ Firebase ที่เฉพาะเจาะจง
บทบาทที่กำหนดเอง: บทบาทที่ปรับแต่งได้อย่างเต็มที่ ซึ่งคุณสร้างขึ้นเพื่อปรับชุดสิทธิ์ให้ตรงกับข้อกำหนดเฉพาะ ขององค์กร
จัดการสมาชิกโปรเจ็กต์และบทบาทของสมาชิก
ดูสมาชิกโปรเจ็กต์และบทบาทของสมาชิก
คุณสามารถดูสมาชิกโปรเจ็กต์และบทบาทของสมาชิกได้หลายคนในแท็บ- คอนโซล Firebase จะแสดงเฉพาะสมาชิกโปรเจ็กต์ที่กำหนด บทบาทพื้นฐาน (เจ้าของ ผู้แก้ไข ผู้ดู) หรือ บทบาทที่กำหนดไว้ล่วงหน้าของ Firebase สมาชิกโปรเจ็กต์ที่แสดงในแท็บนี้เป็นสมาชิกโปรเจ็กต์เพียงกลุ่มเดียวที่มี สิทธิ์เข้าถึงโปรเจ็กต์ Firebase ในคอนโซล Firebase
- คอนโซล Firebase จะไม่แสดงสมาชิกโปรเจ็กต์ที่เป็นบัญชีบริการ ดูสมาชิกโปรเจ็กต์เหล่านี้ได้ในหน้า IAM และผู้ดูแลระบบ > IAM ของคอนโซล Google Cloud
กำหนดบทบาทให้กับสมาชิกโปรเจ็กต์
หากต้องการจัดการบทบาทที่กำหนดให้กับสมาชิกโปรเจ็กต์แต่ละคน คุณต้องเป็นเจ้าของโปรเจ็กต์ Firebase
(หรือได้รับกำหนดบทบาทที่มีสิทธิ์
resourcemanager.projects.setIamPolicy)
คุณกำหนดและจัดการบทบาทได้ในที่ต่อไปนี้
-
คอนโซล Firebase มีวิธีที่ง่ายขึ้นในการกำหนดบทบาทให้กับ
สมาชิกโปรเจ็กต์ใน
การตั้งค่า > ผู้ใช้และสิทธิ์ แท็บ คุณสามารถกำหนดบทบาทพื้นฐาน (เจ้าของ ผู้แก้ไข ผู้ดู) บทบาท ผู้ดูแลระบบ/ผู้ดูของ Firebase หรือบทบาท ตามหมวดหมู่ผลิตภัณฑ์ที่กำหนดไว้ล่วงหน้าของ Firebase ได้ -
คอนโซล Google Cloud มีชุดเครื่องมือที่ครอบคลุมสำหรับการกำหนดบทบาท
ให้กับสมาชิกโปรเจ็กต์ในหน้า IAM และผู้ดูแลระบบ
IAM
นอกจากนี้ คุณยังสร้างและจัดการ
บทบาทที่กำหนดเอง รวมถึงให้สิทธิ์เข้าถึงโปรเจ็กต์แก่
บัญชีบริการได้ด้วย
โปรดทราบว่าในคอนโซล Google Cloud เราเรียกสมาชิกโปรเจ็กต์ว่า ผู้รับสิทธิ์
หากเจ้าของโปรเจ็กต์ไม่สามารถทำงานของเจ้าของได้อีกต่อไป (เช่น บุคคลดังกล่าวออกจากบริษัทของคุณ) และโปรเจ็กต์ไม่ได้จัดการผ่าน องค์กร Google Cloud (ดูย่อหน้าถัดไป) คุณสามารถ ติดต่อทีมสนับสนุนของ Firebase และสอบถามวิธีขอสิทธิ์เข้าถึงโปรเจ็กต์ Firebase ได้
โปรดทราบว่าหากโปรเจ็กต์ Firebase เป็นส่วนหนึ่งขององค์กร Google Cloud โปรเจ็กต์ดังกล่าวอาจ ไม่มีเจ้าของ หากคุณไม่พบเจ้าของโปรเจ็กต์ Firebase โปรดติดต่อบุคคลที่จัดการองค์กรGoogle Cloud เพื่อกำหนดเจ้าของให้กับโปรเจ็กต์