Gérer l'accès au projet avec Firebase IAM

Identity and Access Management (IAM) vous permet d'accorder un accès précis à des ressources Firebase et Google spécifiques, et d'empêcher tout accès non souhaité à d'autres ressources. IAM vous permet d'adopter le principe de sécurité du moindre privilège afin de n'accorder que l'accès nécessaire à vos ressources.

Pour obtenir une description détaillée d'IAM, consultez la documentation Google Cloud IAM.

Présentation de Firebase IAM

Firebase propose des options IAM supplémentaires spécifiques aux projets Firebase et aux membres de votre projet.

Lorsqu'un membre du projet authentifié demande une action dans Firebase, IAM détermine si ce membre est autorisé à effectuer l'opération demandée sur la ressource. La possibilité pour un membre du projet d'effectuer la demande dépend du rôle qui lui est attribué. Chaque rôle est un ensemble d'autorisations. Lorsque vous attribuez un rôle à un membre d'un projet, vous lui accordez toutes les autorisations associées.

Membres du projet

Firebase IAM vous permet d'attribuer des rôles (et les autorisations qui leur sont associées) aux membres de votre projet. Les membres d'un projet peuvent être des types suivants :

• Compte Google
• Compte de service
• Groupe Google

Rôles

Les autorisations sont accordées aux membres de votre projet via des rôles. Un rôle est un ensemble d'autorisations. Lorsque vous attribuez un rôle à un membre d'un projet, vous lui accordez toutes les autorisations contenues dans ce rôle.

Firebase IAM est compatible avec les types de rôles suivants :

• Rôles de base : rôles fondamentaux Propriétaire, Éditeur et Lecteur (anciennement appelés rôles "primitifs").

• Rôles prédéfinis : rôles Firebase spécifiques et sélectionnés qui permettent un contrôle des accès plus précis que les rôles de base. Firebase propose :

  • Rôles au niveau de Firebase : rôles qui accordent un accès complet en lecture/écriture ou en lecture seule à tous les produits Firebase.

  • Rôles liés aux catégories de produits : rôles qui accordent un accès complet en lecture/écriture ou en lecture seule à des groupes de produits. Elles sont structurées autour de Google Analytics et de catégories de produits générales.

  • Rôles au niveau du produit : rôles qui accordent un accès complet en lecture/écriture ou en lecture seule à des produits Firebase spécifiques.

• Rôles personnalisés : rôles entièrement personnalisés que vous créez pour adapter un ensemble d'autorisations aux besoins spécifiques de votre organisation.

Gérer les membres d'un projet et leurs rôles

Afficher les membres du projet et leurs rôles

Vous pouvez afficher de nombreux membres de votre projet et leurs rôles dans l'onglet Utilisateurs et autorisations de settings > Paramètres du projet dans la console Firebase. Remarques :

• La console Firebase ne liste que les membres du projet auxquels un rôle de base (propriétaire, éditeur ou lecteur) ou un rôle prédéfini Firebase a été attribué. Les membres du projet listés dans cet onglet sont les seuls à avoir accès au projet Firebase dans la console Firebase.
• La console Firebase ne liste pas les membres du projet qui sont des comptes de service. Vous pouvez consulter ces membres du projet sur la page IAM de la console Google Cloud.

Vous pouvez également afficher tous les membres de votre projet et leurs rôles sur la page IAM de la console Google Cloud.

Attribuer un rôle à un membre d'un projet

Pour gérer les rôles attribués à chaque membre du projet, vous devez être propriétaire du projet Firebase (ou disposer d'un rôle avec l'autorisation resourcemanager.projects.setIamPolicy).

Voici où vous pouvez attribuer et gérer des rôles :

• La console Firebase offre un moyen simplifié d'attribuer des rôles aux membres du projet dans l'onglet Utilisateurs et autorisations de settings > Paramètres du projet. Dans la console Firebase, vous pouvez attribuer l'un des rôles de base (propriétaire, éditeur, lecteur), les rôles d'administrateur/lecteur Firebase ou l'un des rôles prédéfinis Firebase par catégorie de produit.
• La console Google Cloud propose un large éventail d'outils permettant d'attribuer des rôles aux membres d'un projet sur la page IAM. Dans la console Cloud, vous pouvez également créer et gérer des rôles personnalisés, ainsi que donner aux comptes de service l'accès à votre projet.

  Notez que dans la consoleGoogle Cloud, les membres du projet sont appelés principaux.

Si le propriétaire de votre projet ne peut plus effectuer les tâches qui lui incombent (par exemple, s'il a quitté votre entreprise) et que votre projet n'est pas géré par le biais d'une organisation Google Cloud (voir le paragraphe suivant), vous pouvez contacter l'assistance Firebase pour savoir comment demander l'accès au projet Firebase.

Notez que si un projet Firebase fait partie d'une organisation Google Cloud, il est possible qu'il n'ait pas de propriétaire. Si vous ne parvenez pas à trouver de propriétaire pour votre projet Firebase, contactez la personne qui gère votre organisation Google Cloud pour qu'elle en attribue un.