Bir uzantının belirtilen işlemleri gerçekleştirebilmesi için Firebase, yüklenen uzantının her örneğine hizmet hesabı aracılığıyla projeye ve verilerine sınırlı erişim izni verir.
Hizmet hesabı nedir?
Hizmet hesabı, özel bir Google kullanıcı hesabı türüdür. Google hizmetlerine yetkili API çağrıları yapabilen, insan harici bir kullanıcıyı temsil eder.
Firebase, bir uzantının yüklenmesi sırasında projede uzantı için bir hizmet hesabı oluşturur. Bir uzantının her yüklü örneğinin kendi hizmet hesabı vardır. Bir uzantı örneği kaldırılırsa Firebase, uzantının hizmet hesabını siler.
Uzantılar için oluşturulan hizmet hesapları şu biçimdedir:
ext-extension-instance-id@project-id.iam.gserviceaccount.com
Firebase, bir uzantının hizmet hesabına belirli roller (izin paketleri) atayarak uzantının bir projeye ve projenin verilerine erişimini sınırlar. Bir uzantı oluşturduğunuzda, uzantınızın çalışması için hangi rollerin gerekli olduğunu belirlersiniz. Ardından, bu rolleri ve uzantınızın bu rollere neden ihtiyaç duyduğunu extension.yaml dosyanızda listelersiniz (bu sayfanın alt kısmındaki örneğe bakın).
Uzantınızın hangi rolleri gerektirdiğini belirleme
Uzantınızı oluştururken uzantınızın çalışması için gereken erişim düzeyini belirlersiniz.
Yükleme sırasında Firebase CLI, kullanıcıdan her rolün verdiği erişim düzeyini kabul etmesini ister. Uzantınızın aslında ihtiyaç duyduğundan daha fazla rol istemesi, kullanıcıların uzantıyı yükleme olasılığını azaltabilir.
Uzantınızın bir ürünle etkileşime girip girmediğini belirleyin:
Uzantınız bir ürünle etkileşimde bulunuyorsa uzantınıza bu ürüne erişim izni vermeniz gerekir.
Örneğin, uzantınız bir Realtime Database örneğine veri yazıyorsa, uzantınızın bir Realtime Database rolü (özellikle
firebasedatabase.admin) olması gerekir.Uzantınız yalnızca bir üründen tetikleyici bir etkinliği dinliyorsa, uzantınızın bu ürünle ilişkili bir role ihtiyacı yoktur.
Örneğin, uzantınız bir Realtime Database örneğine yazma işleminde tetikleniyorsa (ancak veritabanına herhangi bir şey yazmıyorsa) uzantınızın Realtime Database rolüne ihtiyacı yoktur.
Uzantınızın hangi ürünlerle etkileşimde bulunduğunu belirledikten sonra, söz konusu etkileşim için hangi rolün gerekli olduğuna karar vermeniz gerekir. Bazı ürünler, gerçekleştirilen işleme veya işlem grubuna bağlı olarak farklı roller sunar.
Örneğin, uzantınızın bir Cloud Storage paketle etkileşim kurduğunu varsayalım.
storage.objectCreatorrolü, uzantının Cloud Storage paketinde bir nesne oluşturmasına izin verir ancak bu rol, uzantının nesneleri görüntülemesine, silmesine veya üzerine yazmasına izin vermez. Uzantının bu ek işlemleri gerçekleştirebilmesi içinstorage.objectAdminrolünü atamanız gerekir.
Uzantınızın hizmet hesabına atayabileceğiniz tüm desteklenen rolleri görüntülemek için bu sayfanın alt kısmındaki bölüme bakın. Her rolün açıklaması ve verilen izinler hakkında bilgi edinmek için Firebase belgelerini veya Google Cloud belgelerini ziyaret edin. Google Cloud Console'un IAM ve Yönetici panelinde de rolleri arayabilirsiniz.
Uzantılara rol atama
Uzantınızın çalışması için gereken IAM rollerini extension.yaml dosyanızın roles bölümünde listeleyin.
Belirli bir Firebase Realtime Database yolunu dinleyen bir uzantı örneğini aşağıda bulabilirsiniz. Tetiklendiğinde uzantı, kullanıcı hesabı e-postasını (Firebase Authentication ile etkileşim) günceller ve bildirim gönderir (Firebase Cloud Messaging ile etkileşim). Aşağıdakilere dikkat edin:
- Uzantı, Realtime Database etkinliğinden tetiklenmesine rağmen
firebasedatabase.adminrolü listelenmez (dinleme, etkileşim olarak kabul edilmez). - Uzantı Authentication ve Cloud Messaging ile etkileşimde bulunduğundan, bu ürünlere erişmek için roller gerektirir (sırasıyla
firebaseauth.adminvefirebasenotifications.admin).
# extension.yaml
...
# Roles assigned to the extension's service account by Firebase during installation
roles:
- role: firebaseauth.admin
reason: Required to update the email address of the user account
- role: firebasenotifications.admin
reason: Required to send a notification that the email address has been updated
...
extension.yaml dosyanızda, bir uzantının hizmet hesabına rol atamak için aşağıdaki alanları kullanın:
| Alan | Tür | Açıklama |
|---|---|---|
role(zorunlu) |
dize | Uzantının çalışması için gereken IAM rolünün adı |
reason(zorunlu) |
dize |
Uzantının, role göre verilen erişime neden ihtiyaç duyduğuna dair kısa açıklama Kullanıcının uzantının rolü nasıl kullandığını anlayabilmesi için yeterli ayrıntı sağladığınızdan emin olun. |
resource(isteğe bağlı) |
dize |
Bu rolün hangi kaynağın IAM politikasına ekleneceği. Atlanırsa varsayılan olarak
|
Rollerin kapsamını daraltma
Uzantılar, en düşük ayrıcalık ilkesine uymalı ve yalnızca ihtiyaç duydukları kaynaklara erişim isteğinde bulunmalıdır.
role.resource alanını kullanarak bir uzantının erişim kapsamını sınırlayabilirsiniz.
Örneğin, uzantınızın bir Cloud Storage paketine nesne yazması gerekiyorsa aşağıdaki rolü kullanabilirsiniz:
roles:
- role: storage.objectCreator
reason: Needed in order to write
resource: projects/${PROJECT_ID}/buckets/${STORAGE_BUCKET}
Bu sayede uzantı, aynı projedeki diğerleri yerine yalnızca ihtiyacı olan pakete erişebilir.
Bu alan projeleri (projects/{project_id}) ve depolama paketlerini (projects/{project_id}/buckets/{bucket_id}) destekler.
Uzantılar için desteklenen roller
Aşağıdaki tabloda, Firebase ürünleriyle etkileşim için desteklenen IAM rolleri listelenmiştir. Bu tablodaki rollerin çoğu Firebase ürün düzeyindeki rollerdir ancak bazıları doğrudan Google Cloud tarafından yönetilir (özellikle Cloud Firestore ve Cloud Storage).
Firebase ürünleri
| Uzantınız aşağıdakilerle etkileşime giriyorsa... | Aşağıdaki rollerden birini atayın... |
|---|---|
| Cloud Firestore |
datastore.importExportAdmin datastore.indexAdmin datastore.owner datastore.user datastore.viewer |
| Cloud Storage for Firebase |
storage.admin storage.objectAdmin storage.objectCreator storage.objectViewer |
| Firebase App Distribution |
firebaseappdistro.admin firebaseappdistro.viewer |
| Firebase Authentication |
firebaseauth.admin firebaseauth.viewer |
| Firebase A/B Testing |
firebaseabt.admin firebaseabt.viewer |
| Firebase Cloud Messaging |
firebasenotifications.admin firebasenotifications.viewer |
| Firebase Crashlytics |
firebasecrashlytics.admin firebasecrashlytics.viewer |
| Firebase Hosting |
firebasehosting.admin firebasehosting.viewer |
| Firebase In-App Messaging |
firebaseinappmessaging.admin firebaseinappmessaging.viewer |
| Firebase ML |
firebaseml.admin firebaseml.viewer |
| Firebase Performance Monitoring |
firebaseperformance.viewer firebaseperformance.reader firebaseperformance.writer |
| Firebase Realtime Database |
firebasedatabase.admin firebasedatabase.viewer |
| Güvenlik kuralları |
firebaserules.viewer firebaserules.developer firebaserules.deployer |
| Google Analytics |
firebaseanalytics.admin firebaseanalytics.viewer |
Google Cloud ürünleri
Bu roller hakkında daha fazla bilgiyi Google Cloud belgelerinde bulabilirsiniz.
| Uzantınız aşağıdakilerle etkileşime giriyorsa... | Aşağıdaki rollerden birini atayın... |
|---|---|
| İşlemler |
actions.Admin actions.Viewer |
| Apigee |
apigee.analyticsAgent apigee.analyticsEditor apigee.analyticsViewer apigee.apiCreator apigee.deployer apigee.developerAdmin apigee.readOnlyAdmin apigee.synchronizerManager |
| App Engine |
appengine.appAdmin appengine.appViewer appengine.codeViewer appengine.deployer appengine.serviceAdmin |
| AutoML |
automl.editor automl.predictor automl.viewer |
| BigQuery |
bigquery.connectionAdmin bigquery.connectionUser bigquery.dataEditor bigquery.dataOwner bigquery.dataViewer bigquery.jobUser bigquery.metadataViewer bigquery.readSessionUser bigquery.user |
| Cloud Bigtable |
bigtable.reader bigtable.user bigtable.viewer |
| Faturalandırma | billing.viewer |
| Hangouts Chat |
chat.owner chat.reader |
| Bulut Öğesi |
cloudasset.owner cloudasset.viewer |
| Cloud Data Fusion |
datafusion.admin datafusion.viewer |
| Cloud Debugger |
clouddebugger.agent clouddebugger.user |
| Cloud Functions |
cloudfunctions.invoker cloudfunctions.viewer |
| Cloud IAP |
iap.admin iap.httpsResourceAccessor iap.settingsAdmin iap.tunnelResourceAccessor |
| Cloud IoT |
cloudiot.deviceController cloudiot.editor cloudiot.provisioner cloudiot.viewer |
| Stackdriver Profiler |
cloudprofiler.agent cloudprofiler.user |
| Cloud Scheduler |
cloudscheduler.admin cloudscheduler.jobRunner cloudscheduler.viewer |
| Cloud Security Scanner |
cloudsecurityscanner.editor cloudsecurityscanner.runner cloudsecurityscanner.viewer |
| Cloud SQL |
cloudsql.client cloudsql.editor cloudsql.viewer |
| Cloud Trace |
cloudtrace.admin cloudtrace.agent cloudtrace.user |
| Dataflow |
dataflow.developer dataflow.viewer dataflow.worker |
| Dialogflow |
dialogflow.admin dialogflow.client dialogflow.reader |
| Cloud Data Loss Prevention |
dlp.reader dlp.user |
| Error Reporting |
errorreporting.user errorreporting.viewer errorreporting.writer |
| Eventarc |
eventarc.publisher eventarc.eventReceiver |
| Cloud Filestore |
file.editor file.viewer |
| Günlük Kaydı |
logging.configWriter logging.logWriter logging.privateLogViewer logging.viewer |
| Machine Learning Engine |
ml.developer ml.jobOwner ml.modelOwner ml.modelUser ml.operationOwner ml.viewer |
| İzleme |
monitoring.editor monitoring.metricWriter monitoring.viewer |
| AI Not Defterleri |
notebooks.admin notebooks.viewer |
| Pub/Sub |
pubsub.editor pubsub.publisher pubsub.subscriber pubsub.viewer |
| Memorystore Redis |
redis.editor redis.viewer |
| Cloud Run | run.invoker |
| Kaynak |
source.reader source.writer |
| Cloud Spanner |
spanner.databaseAdmin spanner.databaseReader spanner.databaseUser spanner.viewer |
| Hizmet Kullanımı | serviceusage.apiKeysMetadataViewer |
| Cloud Depolama Aktarım Hizmeti |
storagetransfer.user storagetransfer.viewer |
| Cloud Transcoder |
transcoder.admin transcoder.viewer |
| Vertex AI | aiplatform.user |
| Diğer |
identitytoolkit.admin identitytoolkit.viewer |