จัดการการเข้าถึงโปรเจ็กต์ด้วย Firebase IAM

Identity and Access Management (IAM) ช่วยให้คุณให้สิทธิ์เข้าถึงแบบละเอียดแก่ทรัพยากร Firebase และ Google ที่เฉพาะเจาะจงได้ และป้องกันการเข้าถึงทรัพยากรอื่นๆ ที่ไม่ต้องการ IAM ช่วยให้คุณนำหลักการให้สิทธิ์ขั้นต่ำที่สุดมาใช้ได้ จึงให้เฉพาะสิทธิ์เข้าถึงทรัพยากรที่จำเป็น

อ่านคำอธิบายโดยละเอียดของ IAM ได้ในGoogle Cloudเอกสารประกอบของ IAM

ภาพรวมของ Firebase IAM

Firebase มีตัวเลือก IAM เพิ่มเติมที่เฉพาะเจาะจงสำหรับโปรเจ็กต์ Firebase และสมาชิกในโปรเจ็กต์

เมื่อสมาชิกโปรเจ็กต์ที่ได้รับการตรวจสอบสิทธิ์ขอให้ดำเนินการใน Firebase แล้ว IAM จะตัดสินใจให้สิทธิ์ว่าสมาชิกโปรเจ็กต์มีสิทธิ์ในการดำเนินการที่ขอ ในทรัพยากรหรือไม่ การอนุญาตให้สมาชิกโปรเจ็กต์ดำเนินการตามคำขอหรือไม่นั้นขึ้นอยู่กับบทบาทที่กำหนดให้กับสมาชิกโปรเจ็กต์ แต่ละบทบาทคือชุดสิทธิ์ และเมื่อมอบหมายบทบาทให้กับสมาชิกโปรเจ็กต์ คุณจะมอบสิทธิ์ทั้งหมดสำหรับบทบาทนั้นให้กับสมาชิกโปรเจ็กต์รายดังกล่าว

สมาชิกโปรเจ็กต์

การใช้ Firebase IAM จะช่วยให้คุณกำหนดบทบาท (และสิทธิ์ที่มีมากับบทบาท) ให้กับสมาชิกในโปรเจ็กต์ได้ สมาชิกโปรเจ็กต์อาจมีประเภทต่อไปนี้

• บัญชี Google
• บัญชีบริการ
• Google Group

บทบาท

สมาชิกในโปรเจ็กต์จะได้รับสิทธิ์ผ่านบทบาท บทบาทคือคอลเล็กชันของสิทธิ์ เมื่อมอบหมายบทบาทให้สมาชิกโปรเจ็กต์ คุณจะมอบสิทธิ์ทั้งหมดที่บทบาทนั้นมีให้แก่สมาชิกโปรเจ็กต์รายดังกล่าว

Firebase IAM รองรับบทบาทประเภทต่อไปนี้

• บทบาทพื้นฐาน: บทบาทเจ้าของ ผู้แก้ไข และผู้ดูพื้นฐาน (เดิมเรียกว่าบทบาท "พื้นฐาน")

• บทบาทที่กำหนดไว้ล่วงหน้า: บทบาทที่ดูแลจัดการเฉพาะ Firebase ซึ่งช่วยให้ควบคุมการเข้าถึงได้ละเอียดกว่า บทบาทพื้นฐาน Firebase มีบริการต่อไปนี้

  • บทบาทระดับ Firebase: บทบาทที่ให้สิทธิ์การอ่าน/การเขียนหรือสิทธิ์การอ่านอย่างเดียวสำหรับผลิตภัณฑ์ Firebase ทั้งหมด

  • บทบาทหมวดหมู่ผลิตภัณฑ์: บทบาทที่ให้สิทธิ์การอ่าน/เขียนแบบเต็มหรือสิทธิ์การอ่านอย่างเดียวแก่กลุ่ม ผลิตภัณฑ์ โดยมีโครงสร้างตามGoogle Analyticsและหมวดหมู่สินค้าทั่วไป

  • บทบาทระดับผลิตภัณฑ์: บทบาทที่ให้สิทธิ์การอ่าน/การเขียนหรือสิทธิ์การอ่านอย่างเดียวสำหรับผลิตภัณฑ์ Firebase ที่เฉพาะเจาะจง

• บทบาทที่กำหนดเอง: บทบาทที่กำหนดเองอย่างเต็มรูปแบบ ซึ่งคุณสร้างขึ้นเพื่อปรับแต่งชุดสิทธิ์ให้ตรงตามข้อกำหนดเฉพาะ ขององค์กร

จัดการสมาชิกในโปรเจ็กต์และบทบาทของสมาชิก

ดูสมาชิกในโปรเจ็กต์และบทบาทของสมาชิก

คุณสามารถดูสมาชิกในโปรเจ็กต์และบทบาทของสมาชิกได้หลายคนใน settings การตั้งค่า > แท็บผู้ใช้และสิทธิ์ ของคอนโซล Firebase ข้อควรทราบมีดังนี้

• Firebase คอนโซลจะแสดงเฉพาะสมาชิกโปรเจ็กต์ที่ได้รับมอบหมายบทบาทพื้นฐาน (เจ้าของ ผู้แก้ไข ผู้ดู) หรือบทบาทที่กำหนดไว้ล่วงหน้าของ Firebase สมาชิกโปรเจ็กต์ที่แสดงในแท็บนี้เป็นสมาชิกโปรเจ็กต์เพียงกลุ่มเดียวที่มีสิทธิ์เข้าถึงโปรเจ็กต์ Firebase ในFirebaseคอนโซล
• Firebase คอนโซลจะไม่แสดงสมาชิกโปรเจ็กต์ที่เป็นบัญชีบริการ ดูสมาชิกโปรเจ็กต์เหล่านี้ในIAM และผู้ดูแลระบบ > หน้า IAM ของคอนโซล Google Cloud

หรือคุณจะดูสมาชิกทั้งหมดในโปรเจ็กต์และบทบาทของสมาชิก ได้ในหน้า IAM และผู้ดูแลระบบ > IAM ของคอนโซล Google Cloud

มอบหมายบทบาทให้กับสมาชิกในโปรเจ็กต์

หากต้องการจัดการบทบาทที่กำหนดให้กับสมาชิกโปรเจ็กต์แต่ละคน คุณต้องเป็นเจ้าของโปรเจ็กต์ Firebase (หรือได้รับมอบหมายบทบาทที่มีสิทธิ์ resourcemanager.projects.setIamPolicy)

คุณมอบหมายและจัดการบทบาทได้ในส่วนต่อไปนี้

• Firebase คอนโซลมีวิธีที่ง่ายขึ้นในการมอบหมายบทบาทให้สมาชิกโปรเจ็กต์ในsettings การตั้งค่า > แท็บผู้ใช้และสิทธิ์ คุณสามารถมอบหมายบทบาท บทบาทพื้นฐาน (เจ้าของ ผู้แก้ไข ผู้ดู) บทบาท ผู้ดูแลระบบ/ผู้ดู Firebase หรือบทบาท บทบาทที่กำหนดไว้ล่วงหน้าสำหรับหมวดหมู่ผลิตภัณฑ์ Firebase
• Google Cloud คอนโซลมีชุดเครื่องมือมากมายสำหรับมอบหมายบทบาท ให้กับสมาชิกในโปรเจ็กต์ในIAM และผู้ดูแลระบบ หน้า IAM นอกจากนี้ คุณยังสร้างและจัดการบทบาทที่กำหนดเอง รวมถึงให้สิทธิ์เข้าถึงโปรเจ็กต์แก่บัญชีบริการได้ด้วย

  โปรดทราบว่าในGoogle Cloudคอนโซล เราเรียกสมาชิกโปรเจ็กต์ว่าผู้ใช้หลัก

หากเจ้าของโปรเจ็กต์ไม่สามารถดำเนินการในฐานะเจ้าของได้อีกต่อไป (เช่น บุคคลนั้นลาออกจากบริษัท) และโปรเจ็กต์ไม่ได้จัดการผ่าน Google Cloud องค์กร (ดูย่อหน้าถัดไป) คุณสามารถติดต่อทีมสนับสนุนของ Firebase และสอบถามวิธีขอสิทธิ์เข้าถึงโปรเจ็กต์ Firebase

โปรดทราบว่าหากโปรเจ็กต์ Firebase เป็นส่วนหนึ่งของGoogle Cloud องค์กร โปรเจ็กต์ดังกล่าวอาจ ไม่มีเจ้าของ หากไม่พบเจ้าของโปรเจ็กต์ Firebase โปรดติดต่อผู้ที่จัดการองค์กร Google Cloud เพื่อมอบหมายเจ้าของโปรเจ็กต์