Projektzugriff mit Firebase IAM verwalten

Mit der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) können Sie den Zugriff auf bestimmte Firebase- und Google-Ressourcen präzise steuern. Außerdem wird der Zugriff auf andere Ressourcen verhindert. Durch IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.

Eine ausführliche Beschreibung von IAM finden Sie in der Google Cloud-IAM-Dokumentation.

Firebase IAM – Übersicht

Firebase bietet zusätzliche IAM-Optionen, die speziell für Firebase-Projekte und Ihre Projektmitglieder gelten.

Wenn ein authentifiziertes Projektmitglied eine Aktion in Firebase anfordert, trifft IAM eine Autorisierungsentscheidung darüber, ob das Projektmitglied die Berechtigung hat, den angeforderten Vorgang für die Ressource auszuführen. Ob das Projektmitglied die Anfrage ausführen darf, hängt von der zugewiesenen Rolle des Projektmitglieds ab. Jede Rolle ist eine Sammlung von Berechtigungen. Wenn Sie einem Projektmitglied eine Rolle zuweisen, gewähren Sie diesem Projektmitglied alle Berechtigungen für diese Rolle.

Projektmitglieder

Mit Firebase IAM weisen Sie Ihren Projektmitgliedern Rollen (und die damit verbundenen Berechtigungen) zu. Projektmitglieder können die folgenden Typen haben:

• Google-Konto
• Dienstkonto
• Google-Gruppe

Rollen

Berechtigungen werden Ihren Projektmitgliedern über Rollen gewährt. Eine Rolle ist eine Sammlung von Berechtigungen. Wenn Sie einem Projektmitglied eine Rolle zuweisen, gewähren Sie diesem alle mit ihr verbundenen Berechtigungen.

Firebase IAM unterstützt die folgenden Rollentypen:

• Einfache Rollen: Die grundlegenden Rollen Inhaber, Bearbeiter und Betrachter (früher als „einfache“ Rollen bezeichnet).

• Vordefinierte Rollen: Spezielle Firebase-Rollen, die eine präzisere Zugriffssteuerung als die einfachen Rollen ermöglichen. Firebase bietet:

  • Rollen auf Firebase-Ebene: Rollen, die vollständigen Lese-/Schreibzugriff oder nur Lesezugriff auf alle Firebase-Produkte gewähren.

  • Rollen für Produktkategorien: Rollen, die vollständigen Lese-/Schreibzugriff oder nur Lesezugriff auf Produktgruppen gewähren. Sie sind um Google Analytics und allgemeine Produktkategorien strukturiert.

  • Rollen auf Produktebene: Rollen, die vollständigen Lese-/Schreibzugriff oder nur Lesezugriff auf bestimmte Firebase-Produkte gewähren.

• Benutzerdefinierte Rollen: Vollständig angepasste Rollen, die Sie erstellen, um einen Satz von Berechtigungen an die spezifischen Anforderungen Ihrer Organisation anzupassen.

Projektmitglieder und ihre Rollen verwalten

Projektmitglieder und ihre Rollen ansehen

Viele Ihrer Projektmitglieder und ihre Rollen können Sie in der Firebase-Konsole unter settings > Projekteinstellungen auf dem Tab Nutzer und Berechtigungen aufrufen. Beachten Sie Folgendes:

• In der Firebase-Konsole werden nur Projektmitglieder mit einer einfachen Rolle (Inhaber, Bearbeiter, Betrachter) oder einer vordefinierten Firebase-Rolle aufgeführt. Die auf diesem Tab aufgeführten Projektmitglieder sind die einzigen Projektmitglieder, die in der Firebase Console Zugriff auf das Firebase-Projekt haben.
• In der Firebase Console werden keine Projektmitglieder aufgeführt, die Dienstkonten sind. Sie können diese Projektmitglieder auf der Seite IAM der Google Cloud-Konsole ansehen.

Alternativ können Sie alle Projektmitglieder und ihre Rollen auf der Seite IAM der Google Cloud-Konsole ansehen.

Projektmitgliedern Rollen zuweisen

Wenn Sie die Rollen verwalten möchten, die den einzelnen Projektmitgliedern zugewiesen sind, müssen Sie Inhaber des Firebase-Projekts sein oder eine Rolle mit der Berechtigung resourcemanager.projects.setIamPolicy haben.

Hier können Sie Rollen zuweisen und verwalten:

• Die Firebase-Konsole bietet eine vereinfachte Möglichkeit, Projektmitgliedern Rollen zuzuweisen. Klicken Sie dazu auf settings > Projekteinstellungen und dann auf den Tab „Nutzer und Berechtigungen“. In der Firebase-Konsole können Sie eine der einfachen Rollen (Inhaber, Bearbeiter, Betrachter), die Firebase-Administrator-/Betrachterrollen oder eine der vordefinierten Firebase-Rollen für Produktkategorien zuweisen.
• Die Google Cloud-Konsole bietet eine Vielzahl von Tools, mit denen Sie Projektmitgliedern auf der Seite IAM Rollen zuweisen können. In der Cloud-Konsole können Sie auch benutzerdefinierte Rollen erstellen und verwalten sowie Dienstkonten Zugriff auf Ihr Projekt gewähren.

  In der Google Cloud-Console werden Projektmitglieder als Principals bezeichnet.

Wenn der Inhaber Ihres Projekts die Aufgaben eines Inhabers nicht mehr ausführen kann (z. B. weil die Person Ihr Unternehmen verlassen hat) und Ihr Projekt nicht über eine Google Cloud-Organisation verwaltet wird (siehe nächster Absatz), können Sie den Firebase-Support kontaktieren und sich erkundigen, wie Sie Zugriff auf das Firebase-Projekt beantragen können.

Wenn ein Firebase-Projekt Teil einer Google Cloud-Organisation ist, hat es möglicherweise keinen Inhaber. Wenn Sie keinen Inhaber für Ihr Firebase-Projekt finden können, wenden Sie sich an die Person, die Ihre Google Cloud-Organisation verwaltet, um einen Inhaber für das Projekt zuzuweisen.