Verwalten Sie den Projektzugriff mit Firebase IAM

Mit Identity and Access Management (IAM) können Sie detaillierten Zugriff auf bestimmte Firebase- und Google-Ressourcen gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern. Mit IAM können Sie das Sicherheitsprinzip der geringsten Rechte übernehmen, sodass Sie nur den erforderlichen Zugriff auf Ihre Ressourcen gewähren.

Eine detaillierte Beschreibung von IAM finden Sie in der Dokumentation zu Google Cloud IAM .

Übersicht über Firebase IAM

Firebase bietet zusätzliche IAM-Optionen, die speziell für Firebase-Projekte und Ihre Projektmitglieder gelten.

Wenn ein authentifiziertes Projektmitglied eine Aktion in Firebase anfordert, trifft IAM eine Autorisierungsentscheidung darüber, ob das Projektmitglied berechtigt ist, den angeforderten Vorgang für die Ressource auszuführen. Ob das Projektmitglied die Anfrage ausführen darf, hängt von der dem Projektmitglied zugewiesenen Rolle ab. Jede Rolle ist eine Sammlung von Berechtigungen. Wenn Sie einem Projektmitglied eine Rolle zuweisen, erteilen Sie diesem Projektmitglied alle Berechtigungen für diese Rolle.

Projektmitglieder

Mit Firebase IAM weisen Sie Ihren Projektmitgliedern Rollen (und die damit verbundenen Berechtigungen) zu. Projektmitglieder können folgender Art sein:

  • Google Benutzerkonto
  • Dienstkonto
  • Google-Gruppe

Rollen

Berechtigungen werden Ihren Projektmitgliedern über Rollen gewährt. Eine Rolle ist eine Sammlung von Berechtigungen . Wenn Sie einem Projektmitglied eine Rolle zuweisen, erteilen Sie diesem Projektmitglied alle Berechtigungen, die die Rolle enthält.

Firebase IAM unterstützt die folgenden Rollentypen:

  • Grundlegende Rollen : Grundlegende Eigentümer- , Herausgeber- und Betrachterrollen (früher als „primitive“ Rollen bezeichnet).

  • Vordefinierte Rollen : Kuratierte Firebase-spezifische Rollen, die eine detailliertere Zugriffskontrolle als die Basisrollen ermöglichen. Firebase bietet:

    • Rollen auf Firebase-Ebene : Rollen, die vollständigen Lese-/Schreibzugriff oder nur Lesezugriff auf alle Firebase-Produkte gewähren.

    • Produktkategorierollen : Rollen, die vollständigen Lese-/Schreibzugriff oder nur Lesezugriff auf Produktgruppen gewähren. Sie sind nach Google Analytics und allgemeinen Produktkategorien strukturiert.

    • Rollen auf Produktebene : Rollen, die vollständigen Lese-/Schreibzugriff oder nur Lesezugriff auf bestimmte Firebase-Produkte gewähren.

  • Benutzerdefinierte Rollen : Vollständig angepasste Rollen, die Sie erstellen, um eine Reihe von Berechtigungen anzupassen, die den spezifischen Anforderungen Ihrer Organisation entsprechen.

Latenz beim Rollenwechsel

Wenn Sie die Rollenzuweisung eines Projektmitglieds ändern, kann es bis zu 5 Minuten dauern, bis die Änderung wirksam wird.

Verwalten Sie Projektmitglieder und ihre Rollen

Projektmitglieder und ihre Rollen anzeigen

Sie können viele Ihrer Projektmitglieder und ihre Rollen auf der Registerkarte „Benutzer und Berechtigungen“ unter “ > „Projekteinstellungen“ in der Firebase-Konsole anzeigen. Beachte das Folgende:
  • Die Firebase-Konsole listet nur Projektmitglieder auf, denen eine Basisrolle (Eigentümer, Bearbeiter, Betrachter) oder eine vordefinierte Firebase-Rolle zugewiesen ist. Die auf dieser Registerkarte aufgeführten Projektmitglieder sind die einzigen Projektmitglieder, die Zugriff auf das Firebase-Projekt in der Firebase-Konsole haben.
  • Die Firebase-Konsole listet keine Projektmitglieder auf, die Dienstkonten sind. Sehen Sie sich diese Projektmitglieder auf der IAM- Seite der Google Cloud Console an.
Alternativ können Sie alle Ihre Projektmitglieder und ihre Rollen auf der IAM- Seite der Google Cloud Console anzeigen.

Weisen Sie einem Projektmitglied eine Rolle zu

Um die jedem Projektmitglied zugewiesenen Rollen zu verwalten, müssen Sie Eigentümer des Firebase-Projekts sein (oder Ihnen muss eine Rolle mit der Berechtigung resourcemanager.projects.setIamPolicy zugewiesen sein).

Hier finden Sie die Orte, an denen Sie Rollen zuweisen und verwalten können:

Wenn der Eigentümer Ihres Projekts die Aufgaben eines Eigentümers nicht mehr ausführen kann (z. B. weil die Person Ihr Unternehmen verlassen hat) und Ihr Projekt nicht über eine Google Cloud-Organisation verwaltet wird (siehe nächster Absatz), können Sie sich an den Firebase-Support wenden ein vorübergehender Eigentümer zugewiesen.

Beachten Sie, dass ein Firebase-Projekt, wenn es Teil einer Google Cloud-Organisation ist, möglicherweise keinen Eigentümer hat. Wenn Sie keinen Eigentümer für Ihr Firebase-Projekt finden, wenden Sie sich an die Person, die Ihre Google Cloud-Organisation verwaltet, um einen Eigentümer für das Projekt zuzuweisen.