इस पेज का अनुवाद Cloud Translation API से किया गया है.

किसी एक्सटेंशन के लिए सही ऐक्सेस सेट अप करना

किसी एक्सटेंशन को उसकी तय की गई कार्रवाइयां करने के लिए, Firebase, इंस्टॉल किए गए एक्सटेंशन के हर इंस्टेंस को सेवा खाते के ज़रिए, प्रोजेक्ट और उसके डेटा का सीमित ऐक्सेस देता है.

सेवा खाता क्या होता है?

सेवा खाता, Google उपयोगकर्ता खाते का एक खास टाइप होता है. यह किसी ऐसे उपयोगकर्ता को दिखाता है जो मानव नहीं है. हालांकि, उसके पास Google की सेवाओं के लिए, एपीआई कॉल करने की अनुमति होती है.

एक्सटेंशन इंस्टॉल करने के दौरान, Firebase प्रोजेक्ट में एक्सटेंशन के लिए एक सेवा खाता बनाता है. एक्सटेंशन के इंस्टॉल किए गए हर इंस्टेंस का अपना सेवा खाता होता है. अगर कोई एक्सटेंशन इंस्टेंस अनइंस्टॉल किया जाता है, तो Firebase एक्सटेंशन का सेवा खाता मिटा देता है.

एक्सटेंशन के लिए बनाए गए सेवा खाते इस फ़ॉर्मैट में होते हैं:

ext-extension-instance-id@project-id.iam.gserviceaccount.com

Firebase, एक्सटेंशन के सेवा खाते को खास भूमिकाएं (अनुमतियों के बंडल) असाइन करके, किसी प्रोजेक्ट और उसके डेटा के लिए एक्सटेंशन के ऐक्सेस को सीमित करता है. एक्सटेंशन बनाते समय, यह तय किया जाता है कि आपके एक्सटेंशन को काम करने के लिए किन भूमिकाओं की ज़रूरत है. इसके बाद, इन भूमिकाओं और extension.yaml फ़ाइल में इस बात की जानकारी दी जाती है कि आपके एक्सटेंशन को इन भूमिकाओं की ज़रूरत क्यों है (इस पेज पर सबसे नीचे उदाहरण देखें).

यह तय करना कि आपके एक्सटेंशन को किन भूमिकाओं की ज़रूरत है

एक्सटेंशन बनाते समय, यह तय किया जाता है कि उसे काम करने के लिए किस लेवल का ऐक्सेस चाहिए.

इंस्टॉलेशन के दौरान, Firebase CLI उपयोगकर्ता को हर भूमिका से मिले ऐक्सेस लेवल को स्वीकार करने के लिए कहता है. अगर आपके एक्सटेंशन में ज़रूरत से ज़्यादा भूमिकाओं का अनुरोध किया जाता है, तो हो सकता है कि उपयोगकर्ताओं के इसे इंस्टॉल करने की संभावना कम हो.

यह पता लगाएं कि आपका एक्सटेंशन किसी प्रॉडक्ट के साथ इंटरैक्ट करता है या नहीं:
- अगर आपका एक्सटेंशन किसी प्रॉडक्ट के साथ इंटरैक्ट करता है, तो आपको अपने एक्सटेंशन को उस प्रॉडक्ट का ऐक्सेस देना होगा.
  
  उदाहरण के लिए, अगर आपका एक्सटेंशन किसी Realtime Database इंस्टेंस में डेटा लिखता है, तो आपके एक्सटेंशन के पास Realtime Database भूमिका (खास तौर पर, firebasedatabase.admin) होनी चाहिए.
- अगर आपका एक्सटेंशन किसी प्रॉडक्ट से ट्रिगर होने वाले इवेंट को सिर्फ़ सुनता है, तो आपके एक्सटेंशन को उस प्रॉडक्ट से जुड़ी भूमिका की ज़रूरत नहीं है.
  
  उदाहरण के लिए, अगर आपका एक्सटेंशन किसी Realtime Database इंस्टेंस में डेटा लिखने पर ट्रिगर होता है (लेकिन डेटाबेस में कुछ नहीं लिखता), तो आपके एक्सटेंशन को Realtime Database भूमिका की ज़रूरत नहीं है.
आपका एक्सटेंशन किन प्रॉडक्ट के साथ इंटरैक्ट करता है, यह पता लगाने के बाद आपको यह तय करना होगा कि उस खास इंटरैक्शन के लिए कौनसी भूमिका की ज़रूरत होगी. कुछ प्रॉडक्ट, की गई कार्रवाई या कार्रवाई के सेट के आधार पर अलग-अलग भूमिकाएं देते हैं.

उदाहरण के लिए, मान लें कि आपका एक्सटेंशन किसी Cloud Storage बकेट के साथ इंटरैक्ट करता है. storage.objectCreator भूमिका की मदद से, एक्सटेंशन किसी Cloud Storage बकेट में ऑब्जेक्ट बन सकता है. हालांकि, इस भूमिका की मदद से, एक्सटेंशन ऑब्जेक्ट को न तो देख सकता है, न मिटा सकता है और न ही उसमें बदलाव कर सकता है. एक्सटेंशन को उन दूसरी कार्रवाइयों के लिए चालू करने के लिए, आपको storage.objectAdmin की भूमिका असाइन करनी होगी.

इस पेज पर सबसे नीचे दिए गए सेक्शन में, काम करने वाली उन सभी भूमिकाओं के बारे में जानें जिन्हें अपने एक्सटेंशन के सेवा खाते को असाइन किया जा सकता है. हर भूमिका के ब्यौरे और दी गई अनुमतियों के बारे में जानने के लिए, Firebase से जुड़े दस्तावेज़ या Google Cloud के दस्तावेज़ पर जाएं. Google Cloud Console के आईएएम और एडमिन पैनल में भी भूमिकाएं देखी जा सकती हैं.

किसी एक्सटेंशन को भूमिकाएं असाइन करने का तरीका

अपनी extension.yaml फ़ाइल के roles सेक्शन में, एक्सटेंशन के ऑपरेट करने के लिए ज़रूरी IAM भूमिकाओं की सूची बनाएं.

यहां एक ऐसे एक्सटेंशन का उदाहरण दिया गया है जो किसी तय किए गए Firebase Realtime Database पाथ को सुनता है. ट्रिगर किए जाने पर, एक्सटेंशन एक उपयोगकर्ता खाते के ईमेल (Firebase Authentication के साथ इंटरैक्शन) को अपडेट करता है और एक सूचना (Firebase Cloud Messaging के साथ इंटरैक्शन) भेजता है. इन बातों पर ध्यान दें:

भले ही, एक्सटेंशन किसी Realtime Database इवेंट से ट्रिगर होता हो, लेकिन firebasedatabase.admin भूमिका सूची में नहीं है. ऐसा इसलिए है, क्योंकि सुनने को इंटरैक्शन नहीं माना जाता.
एक्सटेंशन, Authentication और Cloud Messaging के साथ इंटरैक्ट करता है. इसलिए, एक्सटेंशन के पास उन प्रॉडक्ट (firebaseauth.admin और firebasenotifications.admin) को ऐक्सेस करने के लिए भूमिकाएं होनी चाहिए.

# extension.yaml
...

# Roles assigned to the extension's service account by Firebase during installation
roles:
  - role: firebaseauth.admin
    reason: Required to update the email address of the user account

  - role: firebasenotifications.admin
    reason: Required to send a notification that the email address has been updated

...

अपनी extension.yaml फ़ाइल में, एक्सटेंशन के सेवा खाते को भूमिका असाइन करने के लिए, नीचे दिए गए फ़ील्ड का इस्तेमाल करें:

फ़ील्ड टाइप जानकारी

role
(ज़रूरी है) स्ट्रिंग IAM भूमिका का नाम, जिसकी ज़रूरत एक्सटेंशन के काम करने के लिए है

फ़ील्ड	टाइप	जानकारी
`role` (ज़रूरी है)	स्ट्रिंग	IAM भूमिका का नाम, जिसकी ज़रूरत एक्सटेंशन के काम करने के लिए है
`reason` (ज़रूरी है)	स्ट्रिंग	इस बारे में खास जानकारी कि एक्सटेंशन को भूमिका से मिले ऐक्सेस की ज़रूरत क्यों है ज़रूरत के मुताबिक जानकारी दें, ताकि उपयोगकर्ता यह समझ सके कि एक्सटेंशन, भूमिका का इस्तेमाल कैसे करता है.
`resource` (ज़रूरी नहीं)	स्ट्रिंग	इस भूमिका को किस संसाधन की IAM नीति में जोड़ना चाहिए. अगर इसे छोड़ा जाता है, तो यह डिफ़ॉल्ट रूप से `projects/${project_id}` पर सेट होती है. `projects/` और `projects//buckets/*` को वैल्यू के तौर पर इस्तेमाल किया जा सकता है.

reason
(ज़रूरी है)

स्ट्रिंग

इस बारे में खास जानकारी कि एक्सटेंशन को भूमिका से मिले ऐक्सेस की ज़रूरत क्यों है

ज़रूरत के मुताबिक जानकारी दें, ताकि उपयोगकर्ता यह समझ सके कि एक्सटेंशन, भूमिका का इस्तेमाल कैसे करता है.

resource
(ज़रूरी नहीं)

स्ट्रिंग

इस भूमिका को किस संसाधन की IAM नीति में जोड़ना चाहिए. अगर इसे छोड़ा जाता है, तो यह डिफ़ॉल्ट रूप से projects/${project_id} पर सेट होती है.

projects/* और projects/*/buckets/* को वैल्यू के तौर पर इस्तेमाल किया जा सकता है.

भूमिकाओं का दायरा कम करें

एक्सटेंशन को कम से कम अधिकारों के सिद्धांत का पालन करना चाहिए. साथ ही, सिर्फ़ उन रिसॉर्स के ऐक्सेस का अनुरोध करना चाहिए जिनकी उन्हें ज़रूरत है. role.resource फ़ील्ड का इस्तेमाल करके, एक्सटेंशन के ऐक्सेस के दायरे को सीमित किया जा सकता है. उदाहरण के लिए, अगर आपके एक्सटेंशन को Cloud Storage की किसी बकेट में ऑब्जेक्ट लिखने हैं, तो यहां दी गई भूमिका का इस्तेमाल किया जा सकता है:

roles:
  - role: storage.objectCreator
    reason: Needed in order to write
    resource: projects/${PROJECT_ID}/buckets/${STORAGE_BUCKET}

इससे एक्सटेंशन, सिर्फ़ उस बकेट को ऐक्सेस कर पाता है जिसकी उसे ज़रूरत होती है. साथ ही, वह उसी प्रोजेक्ट में मौजूद अन्य बकेट को ऐक्सेस नहीं कर पाता.

यह फ़ील्ड प्रोजेक्ट (projects/{project_id}) और स्टोरेज बकेट (projects/{project_id}/buckets/{bucket_id}) के साथ काम करता है.

एक्सटेंशन के लिए इस्तेमाल की जा सकने वाली भूमिकाएं

यहां दी गई टेबल में, Firebase प्रॉडक्ट के साथ इंटरैक्ट करने के लिए, काम करने वाली आईएएम भूमिकाओं की सूची दी गई है. इस टेबल में मौजूद ज़्यादातर भूमिकाएं, Firebase प्रॉडक्ट-लेवल की भूमिकाएं हैं. हालांकि, कुछ भूमिकाओं को सीधे Google Cloud मैनेज करता है. खास तौर पर, Cloud Firestore और Cloud Storage.

Firebase के प्रॉडक्ट

अगर आपका एक्सटेंशन इनके साथ इंटरैक्ट करता है, तो...	इनमें से कोई एक भूमिका असाइन करें...
Cloud Firestore	datastore.importExportAdmin datastore.indexAdmin datastore.owner datastore.user datastore.viewer
Cloud Storage for Firebase	storage.admin storage.objectAdmin storage.objectCreator storage.objectViewer
Firebase App Distribution	firebaseappdistro.admin firebaseappdistro.viewer
Firebase Authentication	firebaseauth.admin firebaseauth.viewer
Firebase A/B Testing	firebaseabt.admin firebaseabt.viewer
Firebase Cloud Messaging	firebasenotifications.admin firebasenotifications.viewer ध्यान दें: फ़िलहाल, एक्सटेंशन में ऐसी कोई भी भूमिका नहीं है जिससे, FCM मैसेज भेजने की अनुमति मिलती हो. फ़िलहाल, समाधान के तौर पर, मैसेज भेजने के लिए FCM REST API का इस्तेमाल किया जा सकता है.
Firebase Crashlytics	firebasecrashlytics.admin firebasecrashlytics.viewer
Firebase Hosting	firebasehosting.admin firebasehosting.viewer
Firebase In-App Messaging	firebaseinappmessaging.admin firebaseinappmessaging.viewer
Firebase ML	firebaseml.admin firebaseml.viewer
Firebase Performance Monitoring	firebaseperformance.viewer firebaseperformance.reader firebaseperformance.Write
Firebase Realtime Database	firebasedatabase.admin firebasedatabase.viewer
सुरक्षा के नियम	firebaseTerms.viewer firebaserules.developer firebaserules.deployer
Google Analytics	firebaseanalytics.admin firebaseanalytics.viewer

Google Cloud के प्रॉडक्ट

Google Cloud दस्तावेज़ में इन भूमिकाओं के बारे में जानें.

अगर आपका एक्सटेंशन इनके साथ इंटरैक्ट करता है, तो...	इनमें से कोई एक भूमिका असाइन करें...
कार्रवाइयां	actions.Admin actions.Viewer
Apigee	apigee.analyticsAgent apigee.analyticsEditor apigee.analyticsViewer apigee.apiCreator apigee.deployer apigee.developerAdmin apigee.readOnlyAdmin apigee.synchronizerManager
App Engine	appengine.appAdmin appengine.appViewer appengine.codeViewer appengine.deployer appengine.serviceAdmin
AutoML	automl.editor automl.predictor automl.viewer
BigQuery	bigquery.connectionAdmin bigquery.connectionUser bigquery.dataEditor bigquery.dataOwner bigquery.dataViewer bigquery.jobUser bigquery.metadataViewer bigquery.readSessionUser bigquery.user
Cloud Bigtable	bigtable.reader bigtable.user bigtable.viewer
बिलिंग	Billing.viewer
Hangouts पर की गई चैट	chat.owner chat.reader
क्लाउड ऐसेट	Cloudasset.owner cloudasset.viewer
Cloud Data Fusion	datafusion.admin datafusion.viewer
Cloud Debugger	clouddebugger.agent clouddebugger.user
Cloud Functions	cloudfunctions.invoker cloudfunctions.viewer
Cloud IAP	iap.admin iap.httpsResourceAccessor iap.settingsAdmin iap.tunnelResourceAccessor
Cloud IoT	cloudiot.deviceController cloudiot.editor cloudiot.provisioner cloudiot.viewer
Stackdriver Profiler	cloudprofiler.agent cloudprofiler.user
Cloud Scheduler	cloudscheduler.admin cloudscheduler.jobRunner cloudscheduler.viewer
Cloud Security Scanner	cloudsecurityscanner.संपादक cloudsecurityscanner.बैकअपर cloudsecurityscanner.viewer
Cloud SQL	cloudsql.client cloudsql.संपादक cloudsql.viewer
Cloud Trace	cloudtrace.admin cloudtrace.agent cloudtrace.user
डेटाफ़्लो	dataflow.developer dataflow.viewer dataflow.worker
Dialogflow	डायलॉगflow.admin Dialogflow.client Dialogflow.reader
Cloud का डेटा लीक होने की रोकथाम	dlp.reader dlp.user
रिपोर्ट करते समय गड़बड़ी हुई	errorreporting.user errorreporting.viewer errorreporting.writer
Eventarc	eventarc.publisher eventarc.eventReceiver
Cloud Filestore	file.Editor file.viewer
लॉगिंग	Log.configWriter log.logWriter log.privateLogViewer log.viewer
मशीन लर्निंग इंजन	ml.developer ml.jobOwner ml.modelOwner ml.modelUser ml.operationOwner ml.viewer
निगरानी	monitoring.editor monitoring.metricWriter monitoring.viewer
AI Notebooks	notebooks.admin notebooks.viewer
Pub/Sub	pubsub.editor pubsub.publisher pubsub.subscriber pubsub.viewer
Memorystore रेडिस	redis.editor redis.viewer
Cloud Run	run.invoker
स्रोत	source.reader source.writer
Cloud Spanner	spanner.databaseAdmin spanner.databaseReader spanner.databaseUser spanner.viewer
सेवा उपयोग	serviceusage.apiKeysMetadataViewer
Cloud Storage ट्रांसफ़र सेवा	storagetransfer.user storagetransfer.viewer
क्लाउड ट्रांसकोडर	transcoder.admin transcoder.viewer
Vertex AI	aiplatform.user
अन्य	Identity Toolkit.admin Id Toolkit.viewer