Mit der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) können Sie den Zugriff auf bestimmte Firebase- und Google-Ressourcen präzise steuern. Außerdem wird der Zugriff auf andere Ressourcen verhindert. Durch IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.
Eine ausführliche Beschreibung von IAM finden Sie in der Google Cloud IAM-Dokumentation.
Firebase IAM – Übersicht
Firebase bietet zusätzliche IAM-Optionen, die speziell für Firebase-Projekte und Ihre Projektmitglieder gelten.
Wenn ein authentifiziertes Projektmitglied eine Aktion in Firebase anfordert, trifft IAM eine Autorisierungsentscheidung darüber, ob das Projektmitglied die Berechtigung hat, die angeforderte Aktion an der Ressource auszuführen. Ob das Projektmitglied die Anfrage ausführen darf, hängt von der zugewiesenen Rolle ab. Jede Rolle besteht aus einer Sammlung von Berechtigungen. Projektmitglied gewähren, gewähren Sie diesem Projektmitglied alle Berechtigungen für für diese Rolle.
Projektmitglieder
Mit Firebase IAM weisen Sie Ihren Projektmitgliedern Rollen (und die zugehörigen Berechtigungen) zu. Projektmitglieder können folgende Typen haben:
- Google-Konto
- Dienstkonto
- Google-Gruppe
Rollen
Berechtigungen werden Ihren Projektmitgliedern über Rollen gewährt. Eine Rolle ist eine Sammlung von Berechtigungen: Wenn Sie einer Person eine Rolle Projektmitglieds erhalten, gewähren Sie diesem Projektmitglied alle Berechtigungen, enthält.
Firebase IAM unterstützt die folgenden Rollentypen:
Einfache Rollen: Grundlegende Rollen Inhaber, Bearbeiter und Betrachter (früher als "Primitive" Rollen).
Vordefinierte Rollen: Ausgewählte Firebase-spezifische Rollen, die eine detailliertere Zugriffssteuerung ermöglichen die einfachen Rollen. Firebase bietet:
Rollen auf Firebase-Ebene: Rollen, die vollständigen Lese-/Schreib- oder Lesezugriff auf alle Firebase-Produkte
Rollen für Produktkategorie: Rollen, die vollständigen Lese-/Schreib- oder Lesezugriff auf Gruppen von zu verbessern. Sie sind nach Google Analytics und allgemeinen Produktkategorien strukturiert.
Rollen auf Produktebene: Rollen, die vollständigen Lese-/Schreibzugriff oder Lesezugriff auf bestimmte Firebase-Produkte gewähren.
Benutzerdefinierte Rollen: vollständig angepasst Rollen, die Sie erstellen, um einen Satz von Berechtigungen anzupassen, der den spezifischen Anforderungen Anforderungen Ihrer Organisation.
Projektmitglieder und ihre Rollen verwalten
Projektmitglieder und ihre Rollen ansehen
Viele Ihrer Projektmitglieder und ihre Rollen finden Sie auf dem Tab Nutzer und Berechtigungen unter > Projekteinstellungen in der Firebase-Konsole. Beachten Sie Folgendes:- In der Firebase-Konsole werden nur Projektmitglieder aufgeführt, denen einfache Rolle (Inhaber, Bearbeiter, Zuschauer) oder Vordefinierte Firebase-Rolle. Die auf dieser Registerkarte aufgeführten Projektmitglieder sind die einzigen Projektmitglieder, die Zugriff auf das Firebase-Projekt in der Firebase Console.
- In der Firebase-Konsole werden keine Projektmitglieder aufgeführt, die Dienstkonten sind. Diese Projektmitglieder finden Sie auf der Seite IAM der Google Cloud-Console.
Projektmitgliedern eine Rolle zuweisen
Um die jedem Projektmitglied zugewiesene Rolle(n) verwalten zu können, müssen Sie Inhaber der Firebase sein
Projekt (oder Ihnen wird eine Rolle mit der Berechtigung
resourcemanager.projects.setIamPolicy
.
Rollen können an folgenden Stellen zugewiesen und verwaltet werden:
- Die Firebase-Konsole bietet eine vereinfachte Möglichkeit, Projektmitgliedern Rollen in der Tab „Nutzer und Berechtigungen“ von > Projekteinstellungen: In der Firebase-Konsole können Sie eine der einfachen Rollen (Inhaber, Bearbeiter, Betrachter), die Firebase-Rollen „Administrator“ oder „Betrachter“ oder eine der vordefinierten Rollen der Firebase-Produktkategorie zuweisen.
- Die Google Cloud-Console bietet eine umfangreiche Auswahl an Tools, mit denen Sie Projektmitgliedern auf der Seite IAM Rollen zuweisen können. In der Cloud Console können Sie auch benutzerdefinierte Rollen erstellen und verwalten sowie Dienstkonten Zugriff auf Ihr Projekt gewähren.
Beachten Sie, dass Projektmitglieder in der Google Cloud-Konsole als Hauptkonten bezeichnet werden.
Wenn der Inhaber Ihres Projekts seine Aufgaben nicht mehr ausführen kann (z. B. weil er Ihr Unternehmen verlassen hat) und Ihr Projekt nicht über eine Google Cloud-Organisation verwaltet wird (siehe nächster Abschnitt), können Sie sich an den Firebase-Support wenden und nachfragen, wie Sie Zugriff auf das Firebase-Projekt anfordern können.
Wenn ein Firebase-Projekt zu einer Google Cloud-Organisation gehört, hat es möglicherweise keinen Inhaber. Wenn Sie für Ihr Firebase-Projekt keinen Inhaber finden können, wenden Sie sich an die Person, die Ihr Organisation Google Cloud, um einen Inhaber für das Projekt zuzuweisen.