Identity and Access Management (IAM) ช่วยให้คุณมอบสิทธิ์เข้าถึงแบบละเอียด ทรัพยากร Firebase และ Google รวมถึงป้องกันการเข้าถึงทรัพยากรอื่นที่ไม่พึงประสงค์ IAM ให้คุณนำ หลักความปลอดภัยของสิทธิ์ขั้นต่ำ เพื่อให้คุณเข้าถึงทรัพยากรที่จำเป็นเท่านั้น
สำหรับคำอธิบายโดยละเอียดเกี่ยวกับ IAM โปรดอ่าน เอกสาร Google Cloud IAM
ภาพรวม Firebase IAM
Firebase มีตัวเลือก IAM เพิ่มเติมที่เฉพาะเจาะจงสำหรับโปรเจ็กต์ Firebase และสมาชิกโปรเจ็กต์ของคุณ
เมื่อสมาชิกโปรเจ็กต์ที่ตรวจสอบสิทธิ์แล้วขอให้ดำเนินการ Firebase, IAM จะตัดสินใจเรื่องการให้สิทธิ์เพื่อดูว่าสมาชิกโปรเจ็กต์หรือไม่ มีสิทธิ์ในการดำเนินการตามที่ขอ การดำเนินการใน ทรัพยากร สมาชิกโปรเจ็กต์ได้รับอนุญาตให้ดำเนินการหรือไม่ คำขอขึ้นอยู่กับบทบาทที่ได้รับมอบหมายของสมาชิกโปรเจ็กต์ แต่ละบทบาทคือคอลเล็กชันของสิทธิ์ และเมื่อคุณมอบหมายบทบาทให้กับ สมาชิกโปรเจ็กต์ คุณกำลังให้สิทธิ์ทั้งหมดแก่สมาชิกโปรเจ็กต์นั้น บทบาทนั้น
สมาชิกโปรเจ็กต์
เมื่อใช้ Firebase IAM คุณจะกำหนดบทบาท (และสิทธิ์ตามแฝง) ให้กับ สมาชิกโปรเจ็กต์ สมาชิกโปรเจ็กต์อาจเป็นบุคคลต่อไปนี้ ประเภท
- บัญชี Google
- บัญชีบริการ
- กลุ่ม Google
บทบาท
สมาชิกโครงการจะได้รับสิทธิ์ผ่านทาง บทบาท บทบาทคือคอลเล็กชันของ สิทธิ์ เมื่อคุณกำหนดบทบาทให้กับ สมาชิกโปรเจ็กต์ คุณให้สิทธิ์ทั้งหมดที่บทบาทนั้นกับสมาชิกโปรเจ็กต์ มี
Firebase IAM รองรับบทบาทประเภทต่อไปนี้
บทบาทพื้นฐานมีดังนี้ บทบาทเจ้าของ ผู้แก้ไข และผู้ดูขั้นพื้นฐาน (เดิมเรียกว่า "พื้นฐาน" บทบาท)
บทบาทที่กำหนดไว้ล่วงหน้า: บทบาทเฉพาะ Firebase ที่ดูแลจัดการซึ่งเปิดใช้การควบคุมการเข้าถึงที่ละเอียดกว่า เกี่ยวกับบทบาทพื้นฐาน Firebase นำเสนอสิ่งต่อไปนี้
บทบาทระดับ Firebase: บทบาทที่ให้สิทธิ์การเข้าถึงแบบอ่าน/เขียนหรืออ่านอย่างเดียวแก่ทั้งหมด ผลิตภัณฑ์ Firebase
บทบาทหมวดหมู่ผลิตภัณฑ์: บทบาทที่ให้สิทธิ์การเข้าถึงแบบอ่าน/เขียนหรือสิทธิ์การอ่านอย่างเดียวสำหรับกลุ่มของ Google อีกด้วย โดยใช้โครงสร้างตาม Google Analytics และแบบทั่วไป หมวดหมู่ผลิตภัณฑ์
บทบาทระดับผลิตภัณฑ์: บทบาทที่ให้สิทธิ์เข้าถึงแบบอ่าน/เขียนแบบเต็มหรือแบบอ่านอย่างเดียวแก่รายการที่เจาะจง ผลิตภัณฑ์ Firebase
บทบาทที่กำหนดเอง: ปรับแต่งทั้งหมด ที่คุณสร้างขึ้นเพื่อปรับแต่งชุดของสิทธิ์ที่ตรงกับ ขององค์กร
เวลาในการตอบสนองของการเปลี่ยนบทบาท
หากคุณเปลี่ยนการมอบหมายบทบาทของสมาชิกโปรเจ็กต์ ระบบอาจใช้เวลาถึง 5 นาที การเปลี่ยนแปลงจึงจะมีผล
จัดการสมาชิกโปรเจ็กต์และบทบาทของสมาชิก
ดูสมาชิกโปรเจ็กต์และบทบาทของสมาชิก
คุณดูสมาชิกโปรเจ็กต์หลายคนและบทบาทของพวกเขาได้ใน แท็บผู้ใช้และสิทธิ์ ของ > การตั้งค่าโปรเจ็กต์ใน คอนโซล Firebase ข้อควรทราบมีดังนี้- คอนโซล Firebase จะแสดงเฉพาะสมาชิกโปรเจ็กต์ที่ได้รับสิทธิ์ บทบาทพื้นฐาน (เจ้าของ ผู้แก้ไข Viewer) หรือ บทบาทที่กำหนดไว้ล่วงหน้าของ Firebase สมาชิกโปรเจ็กต์ที่แสดงในแท็บนี้คือสมาชิกโปรเจ็กต์กลุ่มเดียวที่มี สิทธิ์เข้าถึงโปรเจ็กต์ Firebase ในคอนโซล Firebase
- คอนโซล Firebase จะไม่แสดงสมาชิกโปรเจ็กต์ที่เป็นบริการ บัญชี ดูสมาชิกโปรเจ็กต์เหล่านี้ใน หน้า IAM ของคอนโซล Google Cloud
มอบหมายบทบาทให้กับสมาชิกโปรเจ็กต์
คุณต้องเป็นเจ้าของ Firebase จึงจะจัดการบทบาทที่กำหนดให้กับสมาชิกโปรเจ็กต์แต่ละคนได้
โปรเจ็กต์ (หรือได้รับการมอบหมายบทบาทที่มีสิทธิ์
resourcemanager.projects.setIamPolicy).
คุณกำหนดและจัดการบทบาทได้ดังต่อไปนี้
- คอนโซล Firebase มอบวิธีง่ายๆ ในการกำหนดบทบาทให้กับสมาชิกโปรเจ็กต์ใน แท็บผู้ใช้และสิทธิ์ ของ > การตั้งค่าโปรเจ็กต์ ในคอนโซล Firebase คุณสามารถกำหนด บทบาทพื้นฐาน (เจ้าของ ผู้แก้ไข ผู้ดู) บทบาทผู้ดูแลระบบ/ผู้ดู Firebase หรือ รายการใดรายการหนึ่งด้านล่างนี้ หมวดหมู่ผลิตภัณฑ์ที่กำหนดไว้ล่วงหน้าของ Firebase บทบาท
- คอนโซล Google Cloud มีชุดเครื่องมือจำนวนมากเพื่อกำหนดบทบาทให้กับสมาชิกโปรเจ็กต์
ในช่วง
หน้า IAM ใน Cloud Console คุณยังสามารถสร้าง
และจัดการ
บทบาทที่กำหนดเอง รวมถึงมอบบัญชีบริการ
เข้าถึงโปรเจ็กต์ของคุณ
โปรดทราบว่าในคอนโซล Google Cloud สมาชิกโปรเจ็กต์จะเรียกว่าผู้ใช้หลัก
หากเจ้าของโปรเจ็กต์ของคุณไม่สามารถดำเนินงานของเจ้าของได้อีก (ตัวอย่างเช่น บุคคล ออกจากบริษัทแล้ว) และโปรเจ็กต์ไม่ได้รับการจัดการผ่านองค์กร Google Cloud (โปรดดูถัดไป ย่อหน้า) คุณสามารถ ติดต่อทีมสนับสนุน Firebase กำหนดเจ้าของชั่วคราวแล้ว
โปรดทราบว่าหากโปรเจ็กต์ Firebase เป็นส่วนหนึ่งขององค์กร Google Cloud โปรเจ็กต์นั้นอาจไม่มีเจ้าของ หากไม่พบเจ้าของโปรเจ็กต์ Firebase โปรดติดต่อผู้ที่จัดการ องค์กร Google Cloud เพื่อมอบหมายเจ้าของโปรเจ็กต์