Zarządzaj dostępem do projektów za pomocą uprawnień Firebase

Zarządzanie tożsamością i dostępem (IAM) umożliwia przyznawanie szczegółowego dostępu do określonych zasobów Firebase i Google oraz zapobiega niepożądanemu dostępowi do innych zasobów. IAM umożliwia przyjęcie zasady bezpieczeństwa najmniejszych uprawnień , dzięki czemu przyznajesz tylko niezbędny dostęp do swoich zasobów.

Szczegółowy opis uprawnień znajdziesz w dokumentacji Google Cloud IAM .

Omówienie uprawnień Firebase

Firebase oferuje dodatkowe opcje uprawnień, które są specyficzne dla projektów Firebase i członków Twojego projektu.

Gdy uwierzytelniony członek projektu żąda działania w Firebase, IAM podejmuje decyzję autoryzacyjną dotyczącą tego, czy członek projektu ma uprawnienia do wykonania żądanej operacji na zasobie . To, czy członek projektu może wykonać żądanie, zależy od przypisanej mu roli . Każda rola jest zbiorem uprawnień i przypisując rolę członkowi projektu, przyznajesz temu członkowi projektu wszystkie uprawnienia związane z tą rolą.

Członkowie projektu

Korzystając z Firebase IAM, przypisujesz role (i związane z nimi uprawnienia) członkom projektu. Członkowie projektu mogą należeć do następujących typów :

  • konto Google
  • Konto serwisowe
  • Grupa Google'a

Role

Uprawnienia są nadawane członkom projektu poprzez role . Rola to zbiór uprawnień . Przypisując rolę członkowi projektu, przyznajesz temu członkowi projektu wszystkie uprawnienia zawarte w tej roli.

Firebase IAM obsługuje następujące typy ról:

  • Role podstawowe : Role podstawowego właściciela , redaktora i przeglądającego (wcześniej zwane rolami „prymitywnymi”).

  • Predefiniowane role : wybrane role specyficzne dla Firebase, które umożliwiają bardziej szczegółową kontrolę dostępu niż role podstawowe. Firebase oferuje:

    • Role na poziomie Firebase : role, które zapewniają pełny dostęp do odczytu/zapisu lub dostęp tylko do odczytu do wszystkich produktów Firebase.

    • Role w kategorii produktów : role, które zapewniają pełny dostęp do odczytu/zapisu lub dostęp tylko do odczytu do grup produktów. Są one zorganizowane wokół Google Analytics i ogólnych kategorii produktów.

    • Role na poziomie produktu : role, które zapewniają pełny dostęp do odczytu/zapisu lub dostęp tylko do odczytu do określonych produktów Firebase.

  • Role niestandardowe : w pełni dostosowane role tworzone w celu dostosowania zestawu uprawnień spełniających określone wymagania Twojej organizacji.

Opóźnienie zmiany roli

Jeśli zmienisz przypisanie roli członka projektu, zastosowanie zmiany może zająć do 5 minut.

Zarządzaj członkami projektu i ich rolami

Wyświetl członków projektu i ich role

Możesz wyświetlić wielu członków projektu i ich role na karcie Użytkownicy i uprawnienia w > Ustawienia projektu w konsoli Firebase. Zwróć uwagę na następujące kwestie:
  • Konsola Firebase wyświetla tylko listę członków projektu, którym przypisano podstawową rolę (Właściciel, Edytor, Przeglądający) lub predefiniowaną rolę Firebase . Członkowie projektu wymienieni na tej karcie są jedynymi członkami projektu, którzy mają dostęp do projektu Firebase w konsoli Firebase.
  • Konsola Firebase nie wyświetla listy członków projektu będących kontami usług. Wyświetl tych członków projektu na stronie uprawnień w konsoli Google Cloud.
Możesz też wyświetlić wszystkich członków projektu i ich role na stronie IAM w konsoli Google Cloud.

Przypisz rolę członkowi projektu

Aby zarządzać rolami przypisanymi do każdego członka projektu, musisz być właścicielem projektu Firebase (lub mieć przypisaną rolę z uprawnieniem resourcemanager.projects.setIamPolicy ).

Oto miejsca, w których możesz przypisywać role i zarządzać nimi:

Jeśli właściciel Twojego projektu nie może już wykonywać zadań właściciela (na przykład osoba odeszła z Twojej firmy), a Twój projekt nie jest zarządzany za pośrednictwem organizacji Google Cloud (patrz następny akapit), możesz skontaktować się z pomocą techniczną Firebase, aby uzyskać przydzielony tymczasowy Właściciel.

Pamiętaj, że jeśli projekt Firebase jest częścią organizacji Google Cloud, może nie mieć właściciela. Jeśli nie możesz znaleźć właściciela projektu Firebase, skontaktuj się z osobą zarządzającą Twoją organizacją Google Cloud, aby przypisał właściciela do projektu.