Aby rozszerzenie mogło wykonywać określone działania, Firebase przyznaje każdemu wystąpieniu zainstalowanego rozszerzenia ograniczony dostęp do projektu i jego danych za pomocą konta usługi.
Co to jest konto usługi?
Konto usługi to specjalny rodzaj konta użytkownika Google. Przedstawia on użytkownika, który nie jest człowiekiem, może wykonywać autoryzowane wywołania interfejsu API usług Google.
Podczas instalowania rozszerzenia Firebase tworzy konto usługi dla w projekcie. Każda zainstalowana instancja rozszerzenia ma własne konto usługi. Jeśli instancja rozszerzenia zostanie odinstalowana, Firebase usunie konta usługi rozszerzenia.
Konta usługi utworzone na potrzeby rozszerzeń mają format:
ext-extension-instance-id@project-id.iam.gserviceaccount.com
Firebase ogranicza dostęp rozszerzenia do projektu i jego danych przez przypisanie
konkretnych ról (pakietów uprawnień),
z kontem usługi rozszerzenia. Podczas tworzenia rozszerzenia musisz określić, jakich ról wymaga ono do działania, a potem podać te role i uzasadnić, dlaczego rozszerzenie ich potrzebuje w pliku extension.yaml
(patrz przykład na dole tej strony).
Określ role wymagane przez rozszerzenie
Podczas tworzenia rozszerzenia określasz poziom dostępu, którego potrzebuje ono do działania.
Podczas instalacji interfejs wiersza poleceń Firebase prosi użytkownika o zaakceptowanie poziom dostępu przyznany przez daną rolę. Jeśli rozszerzenie wymaga większej liczby ról użytkownicy mogą być mniej skłonni do jej zainstalowania.
Sprawdź, czy rozszerzenie współpracuje z produktem:
Jeśli rozszerzenie wchodzi w interakcję z produktem, musisz określić dostęp rozszerzenia do danej usługi.
Jeśli na przykład rozszerzenie zapisuje dane w instancji Realtime Database, to rozszerzenie wymaga roli Realtime Database (w szczególności
firebasedatabase.admin
).Jeśli rozszerzenie tylko nasłuchuje na potrzeby wywołania zdarzenia z produktu, nie musi mieć roli powiązanej z tym produktem.
Jeśli na przykład rozszerzenie uruchamia się przy zapisie w elemencie Realtime Database (ale nie zapisuje niczego w bazie danych), rozszerzenie nie wymaga roli Realtime Database.
Po ustaleniu, z którymi produktami wchodzi w interakcje z rozszerzeniem, określić, jaka rola jest wymagana w przypadku danej interakcji. Niektóre produkty oferują różne role w zależności od działania lub zestawu działań przeprowadzonych przez nas działań.
Załóżmy na przykład, że rozszerzenie wchodzi w interakcję z elementem Cloud Storage zasobnika. Rola w usłudze
storage.objectCreator
umożliwi rozszerzeniu utworzyć obiekt w zasobniku Cloud Storage, ale ta rola nie zezwala na dostęp , aby wyświetlać, usuwać lub zastępować obiekty. Aby umożliwić rozszerzeniu wykonywanie tych dodatkowych działań, musisz przypisać mu rolęstorage.objectAdmin
.
Zapoznaj się z sekcją u dołu tej strony, aby poznać wszystkie obsługiwanych ról, które możesz przypisać do usługi rozszerzenia koncie. Więcej informacji o opisie każdej roli i przyznanych uprawnieniach znajdziesz na stronie dokumentację Firebase lub dokumentacji Google Cloud. Role możesz też sprawdzić w panelu Administracja konsoli Google Cloud.
Jak przypisać role do rozszerzenia
W sekcji roles
wymień role uprawnień wymagane do działania rozszerzenia
z pliku extension.yaml
.
Oto przykład rozszerzenia, które nasłuchuje określonej ścieżki Firebase Realtime Database. Po uruchomieniu rozszerzenie aktualizuje konto użytkownika e-mail (interakcja z użytkownikiem Firebase Authentication) i wysyła powiadomienie (interakcja dzięki Firebase Cloud Messaging). Uwaga:
- Chociaż rozszerzenie uruchamia zdarzenie Realtime Database, rola
firebasedatabase.admin
nie jest wymieniona (nasłuchiwanie nie jest uważane za interakcję). - Rozszerzenie wchodzi w interakcje z tagami Authentication i Cloud Messaging, więc
wymaga uprawnień dostępu do tych usług (
firebaseauth.admin
ifirebasenotifications.admin
).
# extension.yaml
...
# Roles assigned to the extension's service account by Firebase during installation
roles:
- role: firebaseauth.admin
reason: Required to update the email address of the user account
- role: firebasenotifications.admin
reason: Required to send a notification that the email address has been updated
...
W pliku extension.yaml
użyj tych pól, aby przypisać rolę użytkownikowi
konto usługi rozszerzenia:
Pole | Typ | Opis |
---|---|---|
role (wymagane) |
ciąg znaków | nazwa roli uprawnień wymaganej przez rozszerzenie do działania |
reason (wymagane) |
ciąg znaków |
Krótki opis powodu, dla którego rozszerzenie potrzebuje dostępu przyznane przez rolę Pamiętaj, aby podać wystarczająco dużo szczegółów, aby użytkownik wiedział, jak rozszerzenie używa tej roli. |
resource (opcjonalnie) |
ciąg znaków |
Do którego zasobu zasada uprawnień należy dodać tę rolę. Jeśli go pominiesz, przyjmie on domyślnie wartość
Obsługiwane wartości to |
Ogranicz zakres ról
Rozszerzenia powinny być zgodne z zasadą jak najmniejszych uprawnień i powinny być wysyłane tylko
dostęp do potrzebnych zasobów.
Zakres dostępu rozszerzenia możesz ograniczyć w polu role.resource
.
Jeśli na przykład Twoje rozszerzenie musi zapisywać obiekty w zasobniku Cloud Storage, możesz użyć tej roli:
roles:
- role: storage.objectCreator
reason: Needed in order to write
resource: projects/${PROJECT_ID}/buckets/${STORAGE_BUCKET}
Dzięki temu rozszerzenie ma dostęp tylko do zasobnika, którego potrzebuje, a nie do innych zasobników w tym samym projekcie.
To pole obsługuje projekty (projects/{project_id}
) i zasobniki usługi Storage (projects/{project_id}/buckets/{bucket_id}
).
Obsługiwane role rozszerzeń
W tabeli poniżej znajdziesz obsługiwane role uprawnień umożliwiające interakcję z Firebase usług. Większość ról w tej tabeli jest Role na poziomie usługi Firebase, ale niektórymi z nich zarządza bezpośrednio Google Cloud (w szczególności Cloud Firestore i Cloud Storage).
Usługi Firebase
Jeśli Twoje rozszerzenie wchodzi w interakcję z: | Przypisz jedną z tych ról... |
---|---|
Cloud Firestore |
datastore.importExportAdmin datastore.indexAdmin datastore.owner datastore.user datastore.viewer |
Cloud Storage for Firebase |
storage.admin storage.objectAdmin storage.objectCreator storage.objectViewer |
Firebase App Distribution |
firebaseappdistro.admin firebaseappdistro.viewer |
Firebase Authentication |
firebaseauth.admin firebaseauth.viewer |
Firebase A/B Testing |
firebaseabt.admin firebaseabt.viewer |
Firebase Cloud Messaging |
firebasenotifications.admin firebasenotifications.viewer |
Firebase Crashlytics |
firebasecrashlytics.admin firebasecrashlytics.viewer |
Firebase Hosting |
firebasehosting.admin firebasehosting.viewer |
Firebase In-App Messaging |
firebaseinappmessaging.admin firebaseinappmessaging.viewer |
Firebase ML |
firebaseml.admin Firebaseml.viewer |
Firebase Performance Monitoring |
firebaseperformance.viewer firebaseperformance.reader firebaseperformance.writer |
Firebase Realtime Database |
firebasedatabase.admin firebasedatabase.viewer |
Reguły zabezpieczeń |
firebaserules.viewer firebaserules.developer firebaserules.deployer |
Google Analytics |
firebaseanalytics.admin firebaseanalytics.viewer |
Usługi Google Cloud
Więcej informacji o tych rolach znajdziesz w dokumentacji Google Cloud.
Jeśli rozszerzenie wchodzi w interakcje z... | Przypisz jedną z tych ról... |
---|---|
Działania |
actions.Admin actions.Viewer |
Apigee |
apigee.analyticsAgent apigee.analyticsEditor apigee.analyticsViewer apigee.apiCreator apigee.deployer apigee.developerAdmin apigee.readOnlyAdmin apigee.synchronizerManager |
App Engine |
appengine.appAdmin appengine.appViewer appengine.codeViewer appengine.deployer appengine.serviceAdmin |
AutoML |
edytor automl.editor automl.predictor automl.viewer |
BigQuery |
bigquery.connectionAdmin bigquery.connectionUser bigquery.dataEditor bigquery.dataOwner bigquery.dataViewer bigquery.jobUser bigquery.metadataViewer bigquery.readSessionUser bigquery.user |
Cloud Bigtable |
bigtable.reader bigtable.user bigtable.viewer |
Płatności | billing.viewer |
Czaty w Hangouts |
chat.owner chat.reader |
Zasoby w chmurze |
cloudasset.owner cloudasset.viewer |
Cloud Data Fusion |
datafusion.admin datafusion.viewer |
Cloud Debugger |
clouddebugger.agent clouddebugger.user |
Cloud Functions |
cloudfunctions.invoker cloudfunctions.viewer |
Cloud IAP |
iap.admin iap.httpsResourceAccessor iap.settingsAdmin iap.tunnelResourceAccessor |
Cloud IoT |
Cloudiot.deviceController cloudiot.editor cloudiot.provisioner cloudiot.viewer |
Stackdriver Profiler |
cloudprofiler.agent cloudprofiler.user |
Cloud Scheduler |
cloudscheduler.admin cloudscheduler.jobRunner cloudscheduler.viewer |
Cloud Security Scanner |
edytor cloudsecurityscanner.editor cloudsecurityscanner.runner cloudsecurityscanner.viewer |
Cloud SQL |
cloudsql.client cloudsql.editor cloudsql.viewer |
Cloud Trace |
cloudtrace.admin cloudtrace.agent cloudtrace.user |
Dataflow |
dataflow.developer dataflow.viewer dataflow.worker |
Dialogflow |
dialogflow.admin dialogflow.client dialogflow.reader |
Cloud Data Loss Prevention |
dlp.reader dlp.user |
Raportowanie błędów |
errorreporting.user errorreporting.viewer errorreporting.writer |
Eventarc |
eventarc.publisher eventarc.eventReceiver |
Cloud Filestore |
file.editor file.viewer |
Logowanie |
Logging.configWriter Logging.logWriter Logging.privateLogViewer Logging.viewer |
Machine Learning Engine |
ml.developer ml.jobOwner ml.modelOwner Użytkownik ml.model ml.operationOwner ml.viewer |
Monitorowanie |
edytor monitorowania. monitoring.metricWriter monitoring.viewer |
Notatki AI |
notebooks.admin notebooks.viewer |
Pub/Sub |
edytor pubsub.editor pubsub.publisher pubsub.subscriber pubsub.viewer |
Memorystore Redis |
redis.editor redis.viewer |
Cloud Run | run.invoker |
Źródło |
source.reader source.writer |
Cloud Spanner |
spanner.databaseAdmin spanner.databaseReader spanner.databaseUser spanner.viewer |
Wykorzystanie usług | serviceusage.apiKeysMetadataViewer |
Usługa transferu Cloud Storage |
storagetransfer.user storagetransfer.viewer |
Transkoder Cloud |
transkoder.admin transkoder.viewer |
Vertex AI | aiplatform.user |
Inne |
identity Toolkit.admin identity Toolkit.viewer |