Gestisci l'accesso al progetto con Firebase IAM

Identity and Access Management (IAM) ti consente di concedere un accesso granulare a risorse Firebase e Google specifiche e impedisce l'accesso indesiderato ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo , in modo da concedere solo l'accesso necessario alle tue risorse.

Per una descrizione dettagliata di IAM, leggi la documentazione di Google Cloud IAM .

Panoramica di Firebase IAM

Firebase offre opzioni IAM aggiuntive specifiche per i progetti Firebase e i membri del tuo progetto.

Quando un membro del progetto autenticato richiede un'azione in Firebase, IAM decide se il membro del progetto dispone o meno dell'autorizzazione per eseguire l'operazione richiesta sulla risorsa . Se al membro del progetto è consentito eseguire la richiesta dipende dal ruolo assegnato al membro del progetto. Ogni ruolo è una raccolta di autorizzazioni e quando assegni un ruolo a un membro del progetto, concedi a quel membro del progetto tutte le autorizzazioni per quel ruolo.

Membri del progetto

Utilizzando Firebase IAM, assegni ruoli (e le relative autorizzazioni) ai membri del tuo progetto. I membri del progetto possono essere delle seguenti tipologie :

  • account Google
  • Conto di servizio
  • Gruppo Google

Ruoli

Le autorizzazioni vengono concesse ai membri del progetto tramite i ruoli . Un ruolo è una raccolta di autorizzazioni . Quando assegni un ruolo a un membro del progetto, concedi a quel membro del progetto tutte le autorizzazioni contenute nel ruolo.

Firebase IAM supporta i seguenti tipi di ruoli:

  • Ruoli di base : ruoli di Proprietario fondamentale, Editor e Visualizzatore (precedentemente chiamati ruoli "primitivi").

  • Ruoli predefiniti : ruoli specifici di Firebase curati che consentono un controllo degli accessi più granulare rispetto ai ruoli di base. Offerte Firebase:

    • Ruoli a livello di Firebase : ruoli che garantiscono l'accesso completo in lettura/scrittura o di sola lettura a tutti i prodotti Firebase.

    • Ruoli di categoria di prodotto : ruoli che garantiscono l'accesso completo in lettura/scrittura o di sola lettura a gruppi di prodotti. Sono strutturati attorno a Google Analytics e alle categorie generali di prodotti.

    • Ruoli a livello di prodotto : ruoli che garantiscono l'accesso completo in lettura/scrittura o di sola lettura a prodotti Firebase specifici .

  • Ruoli personalizzati : ruoli completamente personalizzati creati per personalizzare un insieme di autorizzazioni che soddisfino i requisiti specifici della tua organizzazione.

Latenza del cambio di ruolo

Se modifichi l'assegnazione del ruolo di un membro del progetto, potrebbero essere necessari fino a 5 minuti affinché la modifica abbia effetto.

Gestire i membri del progetto e i loro ruoli

Visualizza i membri del progetto e i loro ruoli

Puoi visualizzare molti membri del tuo progetto e i relativi ruoli nella scheda Utenti e autorizzazioni delle > Impostazioni progetto nella console Firebase. Tieni presente quanto segue:
  • La console Firebase elenca solo i membri del progetto a cui è assegnato un ruolo di base (proprietario, editor, visualizzatore) o un ruolo predefinito Firebase . I membri del progetto elencati in questa scheda sono gli unici membri del progetto che hanno accesso al progetto Firebase nella console Firebase.
  • La console Firebase non elenca i membri del progetto che sono account di servizio. Visualizza questi membri del progetto nella pagina IAM della console Google Cloud.
In alternativa, puoi visualizzare tutti i membri del tuo progetto e i loro ruoli nella pagina IAM della console Google Cloud.

Assegnare un ruolo a un membro del progetto

Per gestire i ruoli assegnati a ciascun membro del progetto, devi essere un proprietario del progetto Firebase (o essere assegnato a un ruolo con l'autorizzazione resourcemanager.projects.setIamPolicy ).

Ecco i luoghi in cui puoi assegnare e gestire i ruoli:

Se il Proprietario del tuo progetto non può più svolgere le attività di un Proprietario (ad esempio, la persona ha lasciato la tua azienda) e il tuo progetto non è gestito tramite un'organizzazione Google Cloud (vedi paragrafo successivo), puoi contattare l'assistenza Firebase per avere assegnato un Proprietario temporaneo.

Tieni presente che se un progetto Firebase fa parte di un'organizzazione Google Cloud, potrebbe non avere un proprietario. Se non riesci a trovare un proprietario per il tuo progetto Firebase, contatta la persona che gestisce la tua organizzazione Google Cloud per assegnare un proprietario per il progetto.