Identity and Access Management (IAM) ti consente di concedere un accesso granulare a risorse Firebase e Google specifiche e impedisce l'accesso indesiderato ad altre risorse. IAM ti consente di adottare il principio di sicurezza del privilegio minimo , in modo da concedere solo l'accesso necessario alle tue risorse.
Per una descrizione dettagliata di IAM, leggi la documentazione di Google Cloud IAM .
Panoramica di Firebase IAM
Firebase offre opzioni IAM aggiuntive specifiche per i progetti Firebase e i membri del tuo progetto.
Quando un membro del progetto autenticato richiede un'azione in Firebase, IAM decide se il membro del progetto dispone o meno dell'autorizzazione per eseguire l'operazione richiesta sulla risorsa . Se al membro del progetto è consentito eseguire la richiesta dipende dal ruolo assegnato al membro del progetto. Ogni ruolo è una raccolta di autorizzazioni e quando assegni un ruolo a un membro del progetto, concedi a quel membro del progetto tutte le autorizzazioni per quel ruolo.
Membri del progetto
Utilizzando Firebase IAM, assegni ruoli (e le relative autorizzazioni) ai membri del tuo progetto. I membri del progetto possono essere delle seguenti tipologie :
- account Google
- Conto di servizio
- Gruppo Google
Ruoli
Le autorizzazioni vengono concesse ai membri del progetto tramite i ruoli . Un ruolo è una raccolta di autorizzazioni . Quando assegni un ruolo a un membro del progetto, concedi a quel membro del progetto tutte le autorizzazioni contenute nel ruolo.
Firebase IAM supporta i seguenti tipi di ruoli:
Ruoli di base : ruoli di Proprietario fondamentale, Editor e Visualizzatore (precedentemente chiamati ruoli "primitivi").
Ruoli predefiniti : ruoli specifici di Firebase curati che consentono un controllo degli accessi più granulare rispetto ai ruoli di base. Offerte Firebase:
Ruoli a livello di Firebase : ruoli che garantiscono l'accesso completo in lettura/scrittura o di sola lettura a tutti i prodotti Firebase.
Ruoli di categoria di prodotto : ruoli che garantiscono l'accesso completo in lettura/scrittura o di sola lettura a gruppi di prodotti. Sono strutturati attorno a Google Analytics e alle categorie generali di prodotti.
Ruoli a livello di prodotto : ruoli che garantiscono l'accesso completo in lettura/scrittura o di sola lettura a prodotti Firebase specifici .
Ruoli personalizzati : ruoli completamente personalizzati creati per personalizzare un insieme di autorizzazioni che soddisfino i requisiti specifici della tua organizzazione.
Latenza del cambio di ruolo
Se modifichi l'assegnazione del ruolo di un membro del progetto, potrebbero essere necessari fino a 5 minuti affinché la modifica abbia effetto.
Gestire i membri del progetto e i loro ruoli
Visualizza i membri del progetto e i loro ruoli
Puoi visualizzare molti membri del tuo progetto e i relativi ruoli nella scheda Utenti e autorizzazioni delle > Impostazioni progetto nella console Firebase. Tieni presente quanto segue:- La console Firebase elenca solo i membri del progetto a cui è assegnato un ruolo di base (proprietario, editor, visualizzatore) o un ruolo predefinito Firebase . I membri del progetto elencati in questa scheda sono gli unici membri del progetto che hanno accesso al progetto Firebase nella console Firebase.
- La console Firebase non elenca i membri del progetto che sono account di servizio. Visualizza questi membri del progetto nella pagina IAM della console Google Cloud.
Assegnare un ruolo a un membro del progetto
Per gestire i ruoli assegnati a ciascun membro del progetto, devi essere un proprietario del progetto Firebase (o essere assegnato a un ruolo con l'autorizzazione resourcemanager.projects.setIamPolicy
).
Ecco i luoghi in cui puoi assegnare e gestire i ruoli:
- La console Firebase offre un modo semplificato per assegnare ruoli ai membri del progetto nella scheda Utenti e autorizzazioni delle > Impostazioni progetto . Nella console Firebase, puoi assegnare uno qualsiasi dei ruoli di base (proprietario, editor, visualizzatore), i ruoli amministratore/visualizzatore Firebase o qualsiasi ruolo di categoria di prodotto predefinito Firebase .
- La console Google Cloud offre un ampio set di strumenti per assegnare ruoli ai membri del progetto nella pagina IAM . Nella console Cloud puoi anche creare e gestire ruoli personalizzati , nonché concedere agli account di servizio l'accesso al tuo progetto.
Tieni presente che nella console Google Cloud i membri del progetto sono chiamati entità .
Se il Proprietario del tuo progetto non può più svolgere le attività di un Proprietario (ad esempio, la persona ha lasciato la tua azienda) e il tuo progetto non è gestito tramite un'organizzazione Google Cloud (vedi paragrafo successivo), puoi contattare l'assistenza Firebase per avere assegnato un Proprietario temporaneo.
Tieni presente che se un progetto Firebase fa parte di un'organizzazione Google Cloud, potrebbe non avere un proprietario. Se non riesci a trovare un proprietario per il tuo progetto Firebase, contatta la persona che gestisce la tua organizzazione Google Cloud per assegnare un proprietario per il progetto.