จัดการการเข้าถึงโปรเจ็กต์ด้วย Firebase IAM

Identity and Access Management (IAM) ช่วยให้คุณให้สิทธิ์เข้าถึงแบบละเอียดแก่ทรัพยากร Firebase และ Google ที่เฉพาะเจาะจง และป้องกันการเข้าถึงทรัพยากรอื่นๆ ที่ไม่ต้องการได้ IAM ช่วยให้คุณนำหลักการให้สิทธิ์ขั้นต่ำที่สุดมาใช้ได้ จึงให้เฉพาะสิทธิ์เข้าถึงทรัพยากรที่จำเป็น

อ่านคำอธิบายโดยละเอียดของ IAM ได้ในGoogle Cloudเอกสารประกอบของ IAM

ภาพรวมของ Firebase IAM

Firebase มีตัวเลือก IAM เพิ่มเติมที่เฉพาะเจาะจงสำหรับโปรเจ็กต์ Firebase และสมาชิกในโปรเจ็กต์

เมื่อสมาชิกโปรเจ็กต์ที่ได้รับการตรวจสอบสิทธิ์ขอให้ดำเนินการใน Firebase แล้ว IAM จะตัดสินใจให้สิทธิ์ว่าสมาชิกโปรเจ็กต์มีสิทธิ์ในการดำเนินการที่ขอ ในทรัพยากรหรือไม่ การอนุญาตให้สมาชิกโปรเจ็กต์ดำเนินการตามคำขอหรือไม่นั้นขึ้นอยู่กับบทบาทที่กำหนดให้กับสมาชิกโปรเจ็กต์ แต่ละบทบาทคือชุดสิทธิ์ และเมื่อมอบหมายบทบาทให้กับสมาชิกโปรเจ็กต์ คุณจะมอบสิทธิ์ทั้งหมดสำหรับบทบาทนั้นให้กับสมาชิกโปรเจ็กต์รายดังกล่าว

สมาชิกโปรเจ็กต์

การใช้ Firebase IAM จะช่วยให้คุณมอบหมายบทบาท (และสิทธิ์ที่มีมากับบทบาท) ให้กับสมาชิกในโปรเจ็กต์ได้ สมาชิกโปรเจ็กต์อาจมีประเภทต่อไปนี้

• บัญชี Google
• บัญชีบริการ
• Google Group

บทบาท

สมาชิกในโปรเจ็กต์จะได้รับสิทธิ์ผ่านบทบาท บทบาทคือคอลเล็กชันของสิทธิ์ เมื่อมอบหมายบทบาทให้สมาชิกโปรเจ็กต์ คุณจะมอบสิทธิ์ทั้งหมดที่บทบาทนั้นมีให้แก่สมาชิกโปรเจ็กต์รายดังกล่าว

Firebase IAM รองรับบทบาทประเภทต่อไปนี้

• บทบาทพื้นฐาน: บทบาทเจ้าของ ผู้แก้ไข และผู้ดูขั้นพื้นฐาน (เดิมเรียกว่าบทบาท "พื้นฐาน")

• บทบาทที่กำหนดไว้ล่วงหน้า: บทบาทเฉพาะของ Firebase ที่ดูแลจัดการซึ่งช่วยให้ควบคุมการเข้าถึงได้ละเอียดกว่า บทบาทพื้นฐาน Firebase มีบริการต่อไปนี้

  • บทบาทระดับ Firebase: บทบาทที่ให้สิทธิ์การอ่าน/การเขียนโดยสมบูรณ์หรือสิทธิ์การอ่านอย่างเดียวสำหรับผลิตภัณฑ์ Firebase ทั้งหมด

  • บทบาทหมวดหมู่ผลิตภัณฑ์: บทบาทที่ให้สิทธิ์การอ่าน/เขียนแบบเต็มหรือสิทธิ์การอ่านอย่างเดียวแก่กลุ่ม ผลิตภัณฑ์ โดยมีโครงสร้างตามGoogle Analyticsและหมวดหมู่สินค้าทั่วไป

  • บทบาทระดับผลิตภัณฑ์: บทบาทที่ให้สิทธิ์การอ่าน/การเขียนหรือสิทธิ์การอ่านอย่างเดียวสำหรับผลิตภัณฑ์ Firebase เฉพาะ

• บทบาทที่กำหนดเอง: บทบาทที่ปรับแต่งอย่างเต็มรูปแบบ ซึ่งคุณสร้างขึ้นเพื่อปรับแต่งชุดสิทธิ์ให้ตรงตามข้อกำหนดเฉพาะ ขององค์กร

จัดการสมาชิกในโปรเจ็กต์และบทบาทของสมาชิก

ดูสมาชิกในโปรเจ็กต์และบทบาทของสมาชิก

คุณดูสมาชิกในโปรเจ็กต์และบทบาทของสมาชิกได้หลายคนในแท็บผู้ใช้และสิทธิ์ ของ settings > การตั้งค่าโปรเจ็กต์ใน Firebase คอนโซล ข้อควรทราบมีดังนี้

• Firebase คอนโซลจะแสดงเฉพาะสมาชิกโปรเจ็กต์ที่ได้รับมอบหมาย บทบาทพื้นฐาน (เจ้าของ ผู้แก้ไข ผู้ดู) หรือ บทบาทที่กำหนดล่วงหน้าของ Firebase สมาชิกโปรเจ็กต์ที่แสดงในแท็บนี้เป็นสมาชิกโปรเจ็กต์เพียงกลุ่มเดียวที่มีสิทธิ์เข้าถึงโปรเจ็กต์ Firebase ในFirebaseคอนโซล
• Firebase คอนโซลจะไม่แสดงสมาชิกโปรเจ็กต์ที่เป็นบัญชีบริการ ดูสมาชิกโปรเจ็กต์เหล่านี้ได้ใน หน้า IAM ของคอนโซล Google Cloud

หรือจะดูสมาชิกทั้งหมดของโปรเจ็กต์และบทบาทของสมาชิกเหล่านั้นในหน้า IAM ของคอนโซล Google Cloud ก็ได้

มอบหมายบทบาทให้กับสมาชิกในโปรเจ็กต์

หากต้องการจัดการบทบาทที่กำหนดให้กับสมาชิกโปรเจ็กต์แต่ละคน คุณต้องเป็นเจ้าของโปรเจ็กต์ Firebase (หรือได้รับมอบหมายบทบาทที่มีสิทธิ์ resourcemanager.projects.setIamPolicy)

คุณมอบหมายและจัดการบทบาทได้ในส่วนต่อไปนี้

• Firebase คอนโซลมีวิธีที่ง่ายขึ้นในการมอบหมายบทบาทให้กับสมาชิกโปรเจ็กต์ในแท็บผู้ใช้และสิทธิ์ ของ settings > การตั้งค่าโปรเจ็กต์ ในFirebaseคอนโซล คุณสามารถกำหนดบทบาทพื้นฐาน (เจ้าของ ผู้แก้ไข ผู้ดู) บทบาทผู้ดูแลระบบ/ผู้ดู Firebase หรือบทบาทที่กำหนดไว้ล่วงหน้าสำหรับหมวดหมู่ผลิตภัณฑ์ Firebase
• Google Cloud คอนโซลมีชุดเครื่องมือมากมายสำหรับกำหนดบทบาทให้กับสมาชิกในโปรเจ็กต์ ในหน้า IAM ในCloudคอนโซล คุณยังสร้าง และจัดการ บทบาทที่กำหนดเอง รวมถึงให้สิทธิ์เข้าถึงโปรเจ็กต์แก่บัญชีบริการได้ด้วย

  โปรดทราบว่าในGoogle Cloudคอนโซล เราเรียกสมาชิกโปรเจ็กต์ว่าผู้รับสิทธิ์

หากเจ้าของโปรเจ็กต์ไม่สามารถดำเนินการในฐานะเจ้าของได้อีกต่อไป (เช่น บุคคลนั้นลาออกจากบริษัท) และโปรเจ็กต์ไม่ได้จัดการผ่านGoogle Cloud องค์กร (ดูย่อหน้าถัดไป) คุณสามารถติดต่อทีมสนับสนุนของ Firebase และสอบถามวิธีขอสิทธิ์เข้าถึงโปรเจ็กต์ Firebase

โปรดทราบว่าหากโปรเจ็กต์ Firebase เป็นส่วนหนึ่งขององค์กร Google Cloud โปรเจ็กต์ดังกล่าวอาจไม่มีเจ้าของ หากไม่พบเจ้าของโปรเจ็กต์ Firebase โปรดติดต่อผู้ที่จัดการ Google Cloud องค์กรเพื่อมอบหมายเจ้าของโปรเจ็กต์