Quản lý quyền truy cập vào dự án bằng giải pháp quản lý danh tính và quyền truy cập (IAM) của Firebase

Quản lý danh tính và quyền truy cập (IAM) cho phép bạn cấp quyền truy cập chi tiết vào các tài nguyên cụ thể của Firebase và Google, đồng thời ngăn chặn hành vi truy cập không mong muốn vào các tài nguyên khác. IAM cho phép bạn áp dụng nguyên tắc bảo mật về đặc quyền tối thiểu, nhờ đó bạn chỉ cấp quyền truy cập cần thiết vào tài nguyên của mình.

Để biết nội dung mô tả chi tiết về IAM, hãy đọc Google Cloudtài liệu về IAM.

Tổng quan về IAM của Firebase

Firebase cung cấp các lựa chọn IAM bổ sung dành riêng cho dự án Firebase và các thành viên dự án của bạn.

Khi một thành viên dự án đã xác thực yêu cầu một hành động trong Firebase, IAM sẽ đưa ra quyết định uỷ quyền về việc thành viên dự án có quyền thực hiện thao tác được yêu cầu trên tài nguyên hay không. Việc thành viên dự án có được phép thực hiện yêu cầu hay không phụ thuộc vào vai trò được chỉ định của thành viên dự án. Mỗi vai trò là một tập hợp các quyền và khi chỉ định một vai trò cho một thành viên dự án, bạn đang cấp cho thành viên dự án đó tất cả các quyền của vai trò đó.

Thành viên dự án

Khi sử dụng IAM của Firebase, bạn sẽ chỉ định vai trò (và các quyền vốn có của vai trò đó) cho các thành viên dự án. Thành viên dự án có thể thuộc các loại sau:

• Tài khoản Google
• Tài khoản dịch vụ
• Nhóm trên Google Groups

Vai trò

Quyền được cấp cho các thành viên dự án của bạn thông qua vai trò. Vai trò là một tập hợp các quyền. Khi chỉ định một vai trò cho một thành viên dự án, bạn sẽ cấp cho thành viên dự án đó tất cả các quyền mà vai trò đó có.

Firebase IAM hỗ trợ các loại vai trò sau:

• Vai trò cơ bản: Vai trò Chủ sở hữu, Người chỉnh sửa và Người xem cơ bản (trước đây gọi là vai trò "nguyên thuỷ").

• Vai trò được xác định trước: Các vai trò dành riêng cho Firebase được tuyển chọn, cho phép kiểm soát quyền truy cập chi tiết hơn so với các vai trò cơ bản. Firebase cung cấp:

  • Vai trò ở cấp Firebase: Vai trò cấp quyền truy cập chỉ đọc/ghi đầy đủ hoặc chỉ đọc vào tất cả các sản phẩm của Firebase.

  • Vai trò danh mục sản phẩm: Vai trò cấp quyền truy cập đầy đủ để đọc/ghi hoặc chỉ đọc cho các nhóm sản phẩm. Các danh mục này được cấu trúc dựa trên Google Analytics và danh mục sản phẩm chung.

  • Vai trò ở cấp sản phẩm: Vai trò cấp quyền truy cập chỉ đọc/ghi đầy đủ hoặc chỉ đọc vào một số sản phẩm cụ thể của Firebase.

• Vai trò tuỳ chỉnh: Vai trò hoàn toàn tuỳ chỉnh mà bạn tạo để điều chỉnh một nhóm quyền đáp ứng các yêu cầu cụ thể của tổ chức.

Quản lý thành viên dự án và vai trò của họ

Xem các thành viên dự án và vai trò của họ

Bạn có thể xem nhiều thành viên dự án và vai trò của họ trong thẻ Người dùng và quyền của settings > Cài đặt dự án trong bảng điều khiển Firebase. Xin lưu ý những điều sau:

• Bảng điều khiển Firebase chỉ liệt kê những thành viên dự án được chỉ định vai trò cơ bản (Chủ sở hữu, Người chỉnh sửa, Người xem) hoặc vai trò được xác định trước của Firebase. Các thành viên dự án có trong thẻ này là những thành viên dự án duy nhất có quyền truy cập vào dự án Firebase trong bảng điều khiển Firebase.
• Bảng điều khiển Firebase không liệt kê các thành viên dự án là tài khoản dịch vụ. Xem các thành viên dự án này trong trang IAM của bảng điều khiển Google Cloud.

Ngoài ra, bạn có thể xem tất cả các thành viên dự án và vai trò của họ trên trang IAM của bảng điều khiển Google Cloud.

Chỉ định vai trò cho một thành viên dự án

Để quản lý(các) vai trò được chỉ định cho từng thành viên dự án, bạn phải là Chủ sở hữu dự án Firebase (hoặc được chỉ định một vai trò có quyền resourcemanager.projects.setIamPolicy).

Sau đây là những nơi bạn có thể chỉ định và quản lý vai trò:

• Firebase cung cấp một cách thức đơn giản để chỉ định vai trò cho các thành viên dự án trong thẻ Người dùng và quyền của settings > Cài đặt dự án. Trong bảng điều khiển Firebase, bạn có thể chỉ định bất kỳ vai trò cơ bản nào (Chủ sở hữu, Người chỉnh sửa, Người xem), vai trò Quản trị viên/Người xem Firebase hoặc bất kỳ vai trò danh mục sản phẩm được xác định trước trên Firebase nào.
• Bảng điều khiển Google Cloud cung cấp một bộ công cụ mở rộng để chỉ định vai trò cho các thành viên dự án trên trang IAM. Trong bảng điều khiển Cloud, bạn cũng có thể tạo và quản lý vai trò tuỳ chỉnh, cũng như cấp cho tài khoản dịch vụ quyền truy cập vào dự án của bạn.

  Xin lưu ý rằng trong bảng điều khiển Google Cloud, các thành viên dự án được gọi là chủ thể.

Nếu Chủ sở hữu dự án của bạn không thể thực hiện các nhiệm vụ của Chủ sở hữu nữa (ví dụ: người đó đã rời khỏi công ty của bạn) và dự án của bạn không được quản lý thông qua một tổ chức Google Cloud (xem đoạn tiếp theo), thì bạn có thể liên hệ với Nhóm hỗ trợ Firebase và hỏi họ về cách yêu cầu quyền truy cập vào dự án Firebase.

Xin lưu ý rằng nếu một dự án Firebase là một phần của tổ chức Google Cloud, thì dự án đó có thể không có Chủ sở hữu. Nếu bạn không tìm được Chủ sở hữu cho dự án Firebase của mình, hãy liên hệ với người quản lý tổ chức Google Cloud của bạn để chỉ định một Chủ sở hữu cho dự án.