Zarządzanie dostępem do projektów za pomocą uprawnień Firebase

Usługa Identity and Access Management (IAM) umożliwia przyznawanie szczegółowego dostępu do określonych zasobów Firebase i Google oraz zapobiega niepożądanemu dostępowi do innych zasobów. IAM umożliwia wdrożenie zasady jak najmniejszych uprawnień, która polega na przyznawaniu wyłącznie niezbędnych praw dostępu do zasobów.

Szczegółowy opis uprawnień znajdziesz w Google Clouddokumentacji uprawnień.

Przegląd uprawnień Firebase

Firebase oferuje dodatkowe opcje IAM, które są przeznaczone specjalnie dla projektów Firebase i członków projektu.

Gdy uwierzytelniony członek projektu zażąda działania w Firebase, IAM podejmuje decyzję o autoryzacji, czy członek projektu ma uprawnienia do wykonania żądanej operacji na zasobie. To, czy uczestnik projektu może wykonać żądanie, zależy od przypisanej mu roli. Każda rola to zbiór uprawnień. Przypisując rolę do członka projektu, przyznajesz mu wszystkie uprawnienia związane z tą rolą.

Członkowie projektu

Za pomocą usługi Firebase IAM możesz przypisywać role (i ich uprawnienia) członkom projektu. Uczestnicy projektu mogą być tych rodzajów:

• Konto Google
• Konto usługi
• Grupa Google

Google Cloud

Role

Uprawnienia są przyznawane członkom projektu za pomocą ról. Rola to zbiór uprawnień. Przypisanie roli członkowi projektu oznacza przyznanie mu wszystkich uprawnień zawartych w tej roli.

Firebase IAM obsługuje te typy ról:

• Role podstawowe: podstawowe role Właściciel, Edytujący i Wyświetlający (wcześniej nazywane rolami „podstawowymi”).

• Role wstępnie zdefiniowane: wyselekcjonowane role specyficzne dla Firebase, które umożliwiają bardziej szczegółową kontrolę dostępu niż role podstawowe. Firebase oferuje:

  • Role na poziomie Firebase: role, które przyznają pełne uprawnienia do odczytu i zapisu lub dostęp tylko do odczytu do wszystkich usług Firebase.

  • Role w kategorii produktów: role, które przyznają pełny dostęp do odczytu i zapisu lub dostęp tylko do odczytu do grup produktów. Są one podzielone na Google Analytics i ogólne kategorie produktów.

  • Role na poziomie produktu: role, które przyznają pełne uprawnienia do zapisu i odczytu lub tylko do odczytu w przypadku określonych produktów Firebase.

• Role niestandardowe: w pełni dostosowane role, które tworzysz, aby dopasować zestaw uprawnień do konkretnych wymagań organizacji.

Zarządzanie członkami projektu i ich rolami

Wyświetlanie członków projektu i ich ról

Wielu członków projektu i ich role możesz wyświetlić na karcie Użytkownicy i uprawnienia w sekcji settings > Ustawienia projektu w Firebase konsoli. Uwaga:

• Firebase Konsola wyświetla tylko członków projektu, którym przypisano poziom podstawowy (właściciel, edytujący, wyświetlający) lub rolę zdefiniowaną Firebase. Członkowie projektu wymienieni na tej karcie to jedyni członkowie projektu, którzy mają dostęp do projektu w Firebase w konsoli Firebase.
• W konsoli Firebase nie są wyświetlani członkowie projektu, którzy są kontami usługi. Wyświetl tych członków projektu na stronie Uprawnienia w konsoli Google Cloud.

Możesz też wyświetlić wszystkich członków projektu i ich role na stronie Uprawnienia w konsoli Google Cloud.

Przypisywanie roli członkowi projektu

Aby zarządzać rolami przypisanymi do poszczególnych członków projektu, musisz być właścicielem projektu Firebase (lub mieć przypisaną rolę z uprawnieniem resourcemanager.projects.setIamPolicy).

Role możesz przypisywać i nimi zarządzać w tych miejscach:

• Firebase Konsola oferuje uproszczony sposób przypisywania ról do uczestników projektu na karcie Użytkownicy i uprawnienia w sekcji settings > Ustawienia projektu. W konsoli Firebase możesz przypisać dowolną z ról podstawowych (właściciel, edytujący, wyświetlający), ról administratora lub wyświetlającego Firebase albo dowolną z predefiniowanych ról w kategorii usług Firebase.
• Konsola Google Cloud oferuje szeroki zestaw narzędzi do przypisywania ról członkom projektu na stronie Uprawnienia. W konsoli Cloud możesz też tworzyć role niestandardowe i nimi zarządzać, a także przyznawać kontom usługi dostęp do projektu.

  Pamiętaj, że w konsoli Google Cloud członkowie projektu są nazywani podmiotami.

Jeśli właściciel projektu nie może już wykonywać zadań właściciela (np. osoba opuściła Twoją firmę), a projekt nie jest zarządzany w ramach Google Cloudorganizacji (patrz następny akapit), możesz skontaktować się z zespołem pomocy Firebase i zapytać, jak poprosić o dostęp do projektu w Firebase.

Pamiętaj, że jeśli projekt w Firebase należy do Google Cloudorganizacji, może nie mieć właściciela. Jeśli nie możesz znaleźć właściciela projektu w Firebase, skontaktuj się z osobą, która zarządza Twoją Google Cloudorganizacją, aby przypisać właściciela projektu.