Mit Identity and Access Management (IAM) können Sie detaillierten Zugriff auf bestimmte Firebase- und Google-Ressourcen gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern. Mit IAM können Sie das Sicherheitsprinzip der geringsten Rechte übernehmen, sodass Sie nur den erforderlichen Zugriff auf Ihre Ressourcen gewähren.
Eine detaillierte Beschreibung von IAM finden Sie in der Dokumentation zu Google Cloud IAM .
Übersicht über Firebase IAM
Firebase bietet zusätzliche IAM-Optionen, die speziell für Firebase-Projekte und Ihre Projektmitglieder gelten.
Wenn ein authentifiziertes Projektmitglied eine Aktion in Firebase anfordert, trifft IAM eine Autorisierungsentscheidung darüber, ob das Projektmitglied berechtigt ist, den angeforderten Vorgang für die Ressource auszuführen. Ob das Projektmitglied die Anfrage ausführen darf, hängt von der dem Projektmitglied zugewiesenen Rolle ab. Jede Rolle ist eine Sammlung von Berechtigungen. Wenn Sie einem Projektmitglied eine Rolle zuweisen, erteilen Sie diesem Projektmitglied alle Berechtigungen für diese Rolle.
Projektmitglieder
Mit Firebase IAM weisen Sie Ihren Projektmitgliedern Rollen (und die damit verbundenen Berechtigungen) zu. Projektmitglieder können folgender Art sein:
- Google Benutzerkonto
- Dienstkonto
- Google-Gruppe
Rollen
Berechtigungen werden Ihren Projektmitgliedern über Rollen gewährt. Eine Rolle ist eine Sammlung von Berechtigungen . Wenn Sie einem Projektmitglied eine Rolle zuweisen, erteilen Sie diesem Projektmitglied alle Berechtigungen, die die Rolle enthält.
Firebase IAM unterstützt die folgenden Rollentypen:
Grundlegende Rollen : Grundlegende Eigentümer- , Herausgeber- und Betrachterrollen (früher als „primitive“ Rollen bezeichnet).
Vordefinierte Rollen : Kuratierte Firebase-spezifische Rollen, die eine detailliertere Zugriffskontrolle als die Basisrollen ermöglichen. Firebase bietet:
Rollen auf Firebase-Ebene : Rollen, die vollständigen Lese-/Schreibzugriff oder nur Lesezugriff auf alle Firebase-Produkte gewähren.
Produktkategorierollen : Rollen, die vollständigen Lese-/Schreibzugriff oder nur Lesezugriff auf Produktgruppen gewähren. Sie sind nach Google Analytics und allgemeinen Produktkategorien strukturiert.
Rollen auf Produktebene : Rollen, die vollständigen Lese-/Schreibzugriff oder nur Lesezugriff auf bestimmte Firebase-Produkte gewähren.
Benutzerdefinierte Rollen : Vollständig angepasste Rollen, die Sie erstellen, um eine Reihe von Berechtigungen anzupassen, die den spezifischen Anforderungen Ihrer Organisation entsprechen.
Latenz beim Rollenwechsel
Wenn Sie die Rollenzuweisung eines Projektmitglieds ändern, kann es bis zu 5 Minuten dauern, bis die Änderung wirksam wird.
Verwalten Sie Projektmitglieder und ihre Rollen
Projektmitglieder und ihre Rollen anzeigen
Sie können viele Ihrer Projektmitglieder und ihre Rollen auf der Registerkarte „Benutzer und Berechtigungen“ unter “ > „Projekteinstellungen“ in der Firebase-Konsole anzeigen. Beachte das Folgende:- Die Firebase-Konsole listet nur Projektmitglieder auf, denen eine Basisrolle (Eigentümer, Bearbeiter, Betrachter) oder eine vordefinierte Firebase-Rolle zugewiesen ist. Die auf dieser Registerkarte aufgeführten Projektmitglieder sind die einzigen Projektmitglieder, die Zugriff auf das Firebase-Projekt in der Firebase-Konsole haben.
- Die Firebase-Konsole listet keine Projektmitglieder auf, die Dienstkonten sind. Sehen Sie sich diese Projektmitglieder auf der IAM- Seite der Google Cloud Console an.
Weisen Sie einem Projektmitglied eine Rolle zu
Um die jedem Projektmitglied zugewiesenen Rollen zu verwalten, müssen Sie Eigentümer des Firebase-Projekts sein (oder Ihnen muss eine Rolle mit der Berechtigung resourcemanager.projects.setIamPolicy
zugewiesen sein).
Hier finden Sie die Orte, an denen Sie Rollen zuweisen und verwalten können:
- Die Firebase-Konsole bietet eine vereinfachte Möglichkeit, Projektmitgliedern auf der Registerkarte Benutzer und Berechtigungen von > Projekteinstellungen Rollen zuzuweisen. In der Firebase-Konsole können Sie jede der grundlegenden Rollen (Eigentümer, Bearbeiter, Betrachter), die Firebase-Administrator-/Betrachterrollen oder eine der vordefinierten Firebase-Produktkategorierollen zuweisen.
- Die Google Cloud Console bietet eine umfangreiche Reihe von Tools zum Zuweisen von Rollen zu Projektmitgliedern auf der IAM- Seite . In der Cloud-Konsole können Sie auch benutzerdefinierte Rollen erstellen und verwalten sowie Dienstkonten Zugriff auf Ihr Projekt gewähren.
Beachten Sie, dass Projektmitglieder in der Google Cloud Console als Prinzipale bezeichnet werden.
Wenn der Eigentümer Ihres Projekts die Aufgaben eines Eigentümers nicht mehr ausführen kann (z. B. weil die Person Ihr Unternehmen verlassen hat) und Ihr Projekt nicht über eine Google Cloud-Organisation verwaltet wird (siehe nächster Absatz), können Sie sich an den Firebase-Support wenden ein vorübergehender Eigentümer zugewiesen.
Beachten Sie, dass ein Firebase-Projekt, wenn es Teil einer Google Cloud-Organisation ist, möglicherweise keinen Eigentümer hat. Wenn Sie keinen Eigentümer für Ihr Firebase-Projekt finden, wenden Sie sich an die Person, die Ihre Google Cloud-Organisation verwaltet, um einen Eigentümer für das Projekt zuzuweisen.