使用 Firebase IAM 管理项目访问权限

Google Cloud Platform (GCP) 提供身份和访问权限管理 (IAM),借此,您可以授予对特定 GCP 资源的细化访问权限,并阻止对其他资源的不必要访问。IAM 允许您采用最小权限安全原则,因此您只需授予对您的资源的必要访问权限即可。

如需详细了解 GCP IAM,请参阅 IAM 文档

Firebase IAM 概览

Firebase 提供了额外的 IAM 选项,专用于 Firebase 项目与您的成员。

当经过身份验证的成员在 Firebase 中请求执行某个操作时,IAM 会制定有关该成员是否有权资源执行所请求操作的授权决策。成员是否有权执行相应请求取决于该成员分配到的角色。每个角色均对应一组权限,为成员分配某个角色即为其授予该角色包含的所有权限。

成员

通过使用 Firebase IAM,您可以为成员分配角色(及其固有权限)。成员可以是以下三种类型

  • Google 帐号
  • 服务帐号
  • Google 群组

角色

一个角色对应一组权限

您不是直接为成员分配特定的权限,而应该为他们分配角色。 为成员分配了某个角色,即为其授予该角色包含的所有权限。

Firebase IAM 支持以下类型的角色:

  • 原初角色OwnerEditorViewer 三种基础角色。

  • 预定义角色:特定于 Firebase 的精选角色,可提供比原初角色更精细的访问权限控制。

  • 自定义角色:您为了定制一组满足具体组织要求的权限而创建的完全自定义的角色。

角色更改延迟时间

如果您更改成员的角色分配,更改后的角色最多可能需要 5 分钟时间才能生效。