已授予 Firebase 擴充功能的權限

為讓 Firebase Extension 執行指定動作，Firebase 會透過服務帳戶，授予已安裝擴充功能的每個例項有限的專案和資料存取權。

什麼是服務帳戶？

服務帳戶是一種特殊的 Google 使用者帳戶，代表有權透過 Google API 存取資料的非真人使用者。

安裝擴充功能時，Firebase 會在專案中建立服務帳戶。每個已安裝的擴充功能執行個體都有自己的服務帳戶。

Firebase 會為擴充功能的服務帳戶指派特定角色 (權限組合)，藉此限制專案和資料的存取權。擴充功能運作所需的角色是由 Firebase 在擴充功能開發期間決定。安裝時，Firebase 會將這些角色指派給擴充功能的服務帳戶，您不應修改、新增或刪除任何指派的角色 (否則已安裝的擴充功能將無法正常運作)。不過，您可以解除安裝擴充功能，這樣一來，服務帳戶 (及其存取權) 就會一併刪除。

為擴充功能建立的服務帳戶格式為： ext-extension-instance-id@project-id.iam.gserviceaccount.com。

如要查看與 Firebase 專案相關聯的所有服務帳戶，請前往「settings 專案設定」的「服務帳戶」分頁。

權限與角色

開發擴充功能時，Firebase 會判斷擴充功能運作所需的存取層級。

Firebase 會明確列出 Firebase 應在安裝擴充功能期間，指派給擴充功能服務帳戶的角色 (權限組合)，藉此定義存取層級。

每個角色 (及其固有權限) 都以特定產品或服務為基礎。角色範例包括 firebasehosting.admin、bigquery.dataEditor 和 firebasedatabase.admin。Firebase 會在擴充功能的規格檔案 (extension.yaml 檔案) 中列出擴充功能所需的角色。

如果是官方 Firebase 擴充功能，Firebase 會徹底檢查這份角色清單，確保擴充功能的存取權嚴格限制在擴充功能工作範圍內。您也可以在Firebase Extensions資訊主頁查看擴充功能的詳細資料頁面，或查看其README檔案，自行檢查並確認授予擴充功能的存取權。

瞭解各角色包含的權限：

• Firebase 產品層級角色
• Google Cloud 角色

解除安裝擴充功能會怎麼樣？

從專案解除安裝擴充功能時，Firebase 會刪除為該擴充功能執行個體建立的服務帳戶。刪除服務帳戶後，擴充功能就無法在專案中執行，因為擴充功能不再擁有專案或資料的存取權。