ניהול זהות וגישה (IAM) מאפשר לך להעניק גישה פרטנית למשאבים ספציפיים של Firebase ו-Google ומונע גישה לא רצויה למשאבים אחרים. IAM מאפשר לך לאמץ את עקרון האבטחה של הרשאות הקטנות ביותר , כך שאתה מעניק רק את הגישה הדרושה למשאבים שלך.
לתיאור מפורט של IAM, קרא את התיעוד של Google Cloud IAM .
סקירה כללית של Firebase IAM
Firebase מציע אפשרויות IAM נוספות הספציפיות לפרויקטים של Firebase ולחברי הפרויקט שלך.
כאשר חבר פרויקט מאומת מבקש פעולה ב-Firebase, IAM מקבל החלטת הרשאה אם לחבר הפרויקט יש הרשאה לבצע את הפעולה המבוקשת במשאב . האם חבר הפרויקט רשאי לבצע את הבקשה תלוי בתפקיד שהוקצה לחבר הפרויקט . כל תפקיד הוא אוסף של הרשאות, וכאשר אתה מקצה תפקיד לחבר פרויקט, אתה מעניק לאותו חבר פרויקט את כל ההרשאות עבור תפקיד זה.
חברי הפרויקט
באמצעות Firebase IAM, אתה מקצה תפקידים (וההרשאות המובנות שלהם) לחברי הפרויקט שלך. חברי הפרויקט יכולים להיות מהסוגים הבאים:
- חשבון גוגל
- חשבון שירות
- קבוצת גוגל
תפקידים
הרשאות ניתנות לחברי הפרויקט שלך באמצעות תפקידים . תפקיד הוא אוסף של הרשאות . כאשר אתה מקצה תפקיד לחבר פרויקט, אתה מעניק לאותו חבר פרויקט את כל ההרשאות שהתפקיד מכיל.
Firebase IAM תומך בסוגי התפקידים הבאים:
תפקידים בסיסיים : תפקידי בעלים , עורך וצופה (שנקראו בעבר תפקידים "פרימיטיביים").
תפקידים מוגדרים מראש : תפקידים שנאספו ספציפיים ל-Firebase המאפשרים בקרת גישה מפורטת יותר מהתפקידים הבסיסיים. Firebase מציע:
תפקידים ברמת Firebase : תפקידים המעניקים גישת קריאה/כתיבה מלאה או גישה לקריאה בלבד לכל מוצרי Firebase.
תפקידים בקטגוריית מוצר : תפקידים המעניקים גישת קריאה/כתיבה מלאה או קריאה בלבד לקבוצות של מוצרים. הם בנויים סביב Google Analytics וקטגוריות מוצרים כלליות.
תפקידים ברמת המוצר : תפקידים המעניקים גישת קריאה/כתיבה מלאה או גישה לקריאה בלבד למוצרי Firebase ספציפיים .
תפקידים מותאמים אישית : תפקידים מותאמים אישית לחלוטין שאתה יוצר כדי להתאים קבוצה של הרשאות העונות על הדרישות הספציפיות של הארגון שלך.
חביון שינוי תפקיד
אם תשנה את הקצאת התפקיד של חבר פרויקט, ייתכן שיחלפו עד 5 דקות עד שהשינוי ייכנס לתוקף.
ניהול חברי הפרויקט ותפקידיהם
הצג את חברי הפרויקט ואת תפקידיהם
אתה יכול להציג רבים מחברי הפרויקט שלך ואת התפקידים שלהם בכרטיסייה משתמשים והרשאות של > הגדרות פרויקט במסוף Firebase. שימו לב לדברים הבאים:- מסוף Firebase מפרט רק חברי פרויקט שהוקצו להם תפקיד בסיסי (בעלים, עורך, מציג) או תפקיד מוגדר מראש של Firebase . חברי הפרויקט המפורטים בכרטיסייה זו הם חברי הפרויקט היחידים שיש להם גישה לפרויקט Firebase במסוף Firebase.
- מסוף Firebase אינו מפרט את חברי הפרויקט שהם חשבונות שירות. הצג את חברי הפרויקט האלה בדף IAM של מסוף Google Cloud.
הקצה תפקיד לחבר בפרויקט
כדי לנהל את התפקידים שהוקצו לכל חבר בפרויקט, עליך להיות בעלים של פרויקט Firebase (או להקצות לו תפקיד עם ההרשאה resourcemanager.projects.setIamPolicy
).
להלן המקומות שבהם תוכל להקצות ולנהל תפקידים:
- מסוף Firebase מציע דרך פשוטה להקצות תפקידים לחברי הפרויקט בכרטיסייה משתמשים והרשאות של > הגדרות פרויקט . במסוף Firebase, אתה יכול להקצות כל אחד מהתפקידים הבסיסיים (בעלים, עורך, מציג), תפקידי Firebase Admin/Viewer או כל אחד מתפקידי קטגוריית המוצר המוגדרים מראש של Firebase .
- מסוף Google Cloud מציע קבוצה נרחבת של כלים להקצאת תפקידים לחברי הפרויקט בדף IAM . במסוף הענן, תוכל גם ליצור ולנהל תפקידים מותאמים אישית , כמו גם לתת לחשבונות שירות גישה לפרויקט שלך.
שימו לב שבמסוף Google Cloud, חברי הפרויקט נקראים מנהלים .
אם הבעלים של הפרויקט שלך לא יכול עוד לבצע את המשימות של בעלים (לדוגמה, האדם עזב את החברה שלך) והפרויקט שלך אינו מנוהל באמצעות ארגון Google Cloud (ראה הפסקה הבאה), תוכל לפנות לתמיכה של Firebase כדי לקבל בעלים זמני שהוקצה.
שים לב שאם פרויקט Firebase הוא חלק מארגון Google Cloud, ייתכן שאין לו בעלים. אם אינך מצליח למצוא בעלים לפרויקט Firebase שלך, צור קשר עם האדם שמנהל את ארגון Google Cloud שלך כדי להקצות בעלים לפרויקט.