Diese Seite wurde von der Cloud Translation API übersetzt.

Erste Schritte mit Terraform und Firebase

Firebase bietet jetzt Unterstützung für Terraform. Wenn Sie in einem Team arbeiten, das die Erstellung von Firebase-Projekten mit bestimmten bereitgestellten Ressourcen und aktivierten Diensten automatisieren und standardisieren möchte, ist die Verwendung von Terraform mit Firebase möglicherweise das Richtige für Sie.

Der grundlegende Workflow für die Verwendung von Terraform mit Firebase umfasst Folgendes:

Erstellen und Anpassen einer Terraform-Konfigurationsdatei (einer .tf-Datei), in der die Infrastruktur angegeben wird, die Sie bereitstellen möchten (d. h. Ressourcen, die Sie bereitstellen möchten, und Dienste, die Sie aktivieren möchten).
gcloud CLI-Befehle verwenden, die mit Terraform interagieren, um die in der Datei .tf angegebene Infrastruktur bereitzustellen.

Was kann ich mit Terraform und Firebase tun?

Im allgemeinen Beispiel-Workflow in diesem Leitfaden wird ein neues Firebase-Projekt mit einer Android-App erstellt. Mit Terraform können Sie aber noch viel mehr tun, z. B.:

Vorhandene Infrastruktur mit Terraform löschen und ändern.
Mit Terraform können Sie produktspezifische Konfigurationen und Aufgaben verwalten, z. B.:
- Firebase Authentication-Anbieter für Anmeldungen aktivieren
- Cloud Storage-Buckets oder Datenbankinstanzen erstellen und Firebase Security Rules für sie bereitstellen.
- Firebase App Hosting-Back-Ends, Builds und andere zugehörige Ressourcen erstellen.

Sie können für alle diese Aufgaben Standard-Terraform-Konfigurationsdateien und -Befehle verwenden. Dazu haben wir Terraform-Konfigurationsdateien für mehrere häufige Anwendungsfälle bereitgestellt.

Dieser Leitfaden und die derzeit verfügbaren Firebase-Ressourcen mit Terraform-Unterstützung sind die ersten Releases für die Unterstützung von Terraform durch Firebase. Wenn Sie Feedback haben oder ein Problem auftritt, würden wir uns freuen, wenn Sie sich bei uns melden. Melden Sie ein Problem im GitHub-Repository und geben Sie dabei den entsprechenden resource-Typ an.

Allgemeiner Workflow für die Verwendung von Terraform mit Firebase

Voraussetzungen

Dieser Leitfaden ist eine Einführung in die Verwendung von Terraform mit Firebase. Es wird daher davon ausgegangen, dass Sie grundlegende Kenntnisse in Terraform haben. Achten Sie darauf, dass Sie die folgenden Voraussetzungen erfüllen, bevor Sie mit diesem Workflow beginnen.

Installieren Sie Terraform und machen Sie sich anhand der offiziellen Tutorials mit Terraform vertraut.
Installieren Sie Google Cloud CLI (gcloud CLI). Melden Sie sich mit einem Nutzerkonto oder einem Dienstkonto an.
Anforderungen für Nutzerkonten und Dienstkonten ansehen
- Wenn Sie ein Nutzerkonto verwenden, müssen Sie die Firebase-Nutzungsbedingungen akzeptiert haben. Sie haben die Firebase-Nutzungsbedingungen akzeptiert, wenn Sie ein Firebase-Projekt in der Firebase-Konsole aufrufen können.
- Damit Terraform bestimmte Aktionen ausführen kann (z. B. Projekte erstellen), muss Folgendes zutreffen:
  - Das Nutzer- oder Dienstkonto muss den entsprechenden IAM-Zugriff für diese Aktionen haben.
  - Wenn der Nutzer oder das Dienstkonto Teil einer Google Cloud-Organisation ist, müssen die Organisationsrichtlinien dem Konto die Ausführung dieser Aktionen erlauben.

Schritt 1:Terraform-Konfigurationsdatei erstellen und anpassen

Eine Terraform-Konfigurationsdatei benötigt zwei Hauptabschnitte, die unten ausführlich beschrieben werden:

Ein provider-Einrichtungsabschnitt, der festlegt, auf welche Terraform-Ressourcen zugegriffen werden kann
Ein Abschnitt mit einzelnen resource-Blöcken, in denen angegeben wird, welche Infrastruktur erstellt werden soll

`provider` einrichten

Eine provider-Einrichtung ist unabhängig davon erforderlich, welche Firebase-Produkte oder ‑Dienste beteiligt sind.

Erstellen Sie in Ihrem lokalen Verzeichnis eine Terraform-Konfigurationsdatei (z. B. main.tf).

In dieser Anleitung verwenden Sie diese Konfigurationsdatei, um sowohl die provider-Einrichtung als auch die gesamte Infrastruktur anzugeben, die Terraform erstellen soll. Sie haben jedoch verschiedene Möglichkeiten, die Einrichtung des Anbieters einzubinden.
Ansichtsoptionen für die Einbeziehung der provider-Einrichtung
Sie haben folgende Möglichkeiten, eine provider-Einrichtung in den Rest Ihrer Terraform-Konfiguration einzubinden:
- Option 1:Fügen Sie sie oben in eine einzelne Terraform-Konfigurationsdatei (.tf) ein, wie in diesem Leitfaden beschrieben.
  - Verwenden Sie diese Option, wenn Sie gerade erst mit Terraform beginnen oder Terraform mit Firebase ausprobieren möchten.
- Option 2:Fügen Sie sie in eine separate .tf-Datei ein (z. B. eine provider.tf-Datei), getrennt von der .tf-Datei, in der Sie die zu erstellende Infrastruktur angeben (z. B. eine main.tf-Datei).
  - Verwenden Sie diese Option, wenn Sie Teil eines größeren Teams sind, das die Einrichtung standardisieren muss.
  - Beim Ausführen von Terraform-Befehlen müssen sich sowohl die Datei provider.tf als auch die Datei main.tf im selben Verzeichnis befinden.

Fügen Sie oben in der Datei main.tf die folgende provider-Einrichtung ein.

Sie müssen den google-beta-Anbieter verwenden, da dies ein Betarelease der Verwendung von Firebase mit Terraform ist. Seien Sie vorsichtig, wenn Sie sie in der Produktion verwenden.

# Terraform configuration to set up providers by version.
terraform {
  required_providers {
    google-beta = {
      source  = "hashicorp/google-beta"
      version = "~> 6.0"
    }
  }
}

# Configures the provider to use the resource block's specified project for quota checks.
provider "google-beta" {
  user_project_override = true
}

# Configures the provider to not use the resource block's specified project for quota checks.
# This provider should only be used during project creation and initializing services.
provider "google-beta" {
  alias = "no_user_project_override"
  user_project_override = false
}

Weitere Informationen zu den verschiedenen Arten von projektbezogenen Attributen (einschließlich des Projekts, das in dieser Anleitung als „Projekt für die Kontingentprüfung“ bezeichnet wird) bei der Verwendung von Terraform mit Firebase

Fahren Sie mit dem nächsten Abschnitt fort, um die Konfigurationsdatei fertigzustellen und anzugeben, welche Infrastruktur erstellt werden soll.

Mit `resource`-Blöcken festlegen, welche Infrastruktur erstellt werden soll

In Ihrer Terraform-Konfigurationsdatei (in dieser Anleitung die Datei main.tf) müssen Sie die gesamte Infrastruktur angeben, die Terraform erstellen soll. Das bedeutet, dass Sie alle Ressourcen, die Sie bereitstellen möchten, und alle Dienste, die Sie aktivieren möchten, angeben müssen. Hier finden Sie eine vollständige Liste aller Firebase-Ressourcen, die Terraform unterstützen.

Öffnen Sie Ihre main.tf-Datei.

Fügen Sie unter der Einrichtung von provider die folgende Konfiguration von resource-Blöcken ein.

In diesem einfachen Beispiel wird ein neues Firebase-Projekt und dann eine Firebase Android-App in diesem Projekt erstellt.

# Terraform configuration to set up providers by version.
...

# Configures the provider to use the resource block's specified project for quota checks.
...

# Configures the provider to not use the resource block's specified project for quota checks.
...

# Creates a new Google Cloud project.
resource "google_project" "default" {
  provider   = google-beta.no_user_project_override

  name       = "Project Display Name"
  project_id = "project-id-for-new-project"
  # Required for any service that requires the Blaze pricing plan
  # (like Firebase Authentication with GCIP)
  billing_account = "000000-000000-000000"

  # Required for the project to display in any list of Firebase projects.
  labels = {
    "firebase" = "enabled"
  }
}

# Enables required APIs.
resource "google_project_service" "default" {
  provider = google-beta.no_user_project_override
  project  = google_project.default.project_id
  for_each = toset([
    "cloudbilling.googleapis.com",
    "cloudresourcemanager.googleapis.com",
    "firebase.googleapis.com",
    # Enabling the ServiceUsage API allows the new project to be quota checked from now on.
    "serviceusage.googleapis.com",
  ])
  service = each.key

  # Don't disable the service if the resource block is removed by accident.
  disable_on_destroy = false
}

# Enables Firebase services for the new project created above.
resource "google_firebase_project" "default" {
  provider = google-beta
  project  = google_project.default.project_id

  # Waits for the required APIs to be enabled.
  depends_on = [
    google_project_service.default
  ]
}

# Creates a Firebase Android App in the new project created above.
resource "google_firebase_android_app" "default" {
  provider = google-beta

  project      = google_project.default.project_id
  display_name = "My Awesome Android app"
  package_name = "awesome.package.name"

  # Wait for Firebase to be enabled in the Google Cloud project before creating this App.
  depends_on = [
    google_firebase_project.default,
  ]
}

Eine ausführlich kommentierte Version dieser Beispielkonfigurationsdatei ansehen

Wenn Sie mit der Infrastruktur von Projekten und Apps als Ressourcen nicht vertraut sind, lesen Sie die folgende Dokumentation:

Firebase-Projekte
Referenzdokumentation für die Firebase-Projektverwaltung

# Terraform configuration to set up providers by version.
...

# Configures the provider to use the resource block's specified project for quota checks.
...

# Configures the provider to not use the resource block's specified project for quota checks.
...

# Creates a new Google Cloud project.
resource "google_project" "default" {
  # Use the provider that enables the setup of quota checks for a new project
  provider   = google-beta.no_user_project_override

  name            = "Project Display Name"        // learn more about the project name
  project_id      = "project-id-for-new-project"  // learn more about the project ID
  # Required for any service that requires the Blaze pricing plan
  # (like Firebase Authentication with GCIP)
  billing_account = "000000-000000-000000"

  # Required for the project to display in any list of Firebase projects.
  labels = {
    "firebase" = "enabled"  // learn more about the Firebase-enabled label
  }
}

# Enables required APIs.
resource "google_project_service" "default" {
  # Use the provider without quota checks for enabling APIS
  provider = google-beta.no_user_project_override
  project  = google_project.default.project_id
  for_each = toset([
    "cloudbilling.googleapis.com",
    "cloudresourcemanager.googleapis.com",
    "firebase.googleapis.com",
    # Enabling the ServiceUsage API allows the new project to be quota checked from now on.
    "serviceusage.googleapis.com",
  ])
  service = each.key

  # Don't disable the service if the resource block is removed by accident.
  disable_on_destroy = false
}

# Enables Firebase services for the new project created above.
# This action essentially "creates a Firebase project" and allows the project to use
# Firebase services (like Firebase Authentication) and
# Firebase tooling (like the Firebase console).
# Learn more about the relationship between Firebase projects and Google Cloud.
resource "google_firebase_project" "default" {
  # Use the provider that performs quota checks from now on
  provider = google-beta

  project  = google_project.default.project_id

  # Waits for the required APIs to be enabled.
  depends_on = [
    google_project_service.default
  ]
}

# Creates a Firebase Android App in the new project created above.
# Learn more about the relationship between Firebase Apps and Firebase projects.
resource "google_firebase_android_app" "default" {
  provider = google-beta

  project      = google_project.default.project_id
  display_name = "My Awesome Android app"  # learn more about an app's display name
  package_name = "awesome.package.name"    # learn more about an app's package name

  # Wait for Firebase to be enabled in the Google Cloud project before creating this App.
  depends_on = [
    google_firebase_project.default,
  ]
}

Schritt 2:Terraform-Befehle ausführen, um die angegebene Infrastruktur zu erstellen

Führen Sie die folgenden Befehle im selben Verzeichnis wie Ihre main.tf-Datei aus, um die in der Datei main.tf angegebenen Ressourcen bereitzustellen und die Dienste zu aktivieren. Ausführliche Informationen zu diesen Befehlen finden Sie in der Terraform-Dokumentation.

Wenn Sie zum ersten Mal Terraform-Befehle im Verzeichnis ausführen, müssen Sie das Konfigurationsverzeichnis initialisieren und den Google Terraform-Anbieter installieren. Führen Sie dazu den folgenden Befehl aus:
```
terraform init
```
Erstellen Sie die in der Datei main.tf angegebene Infrastruktur, indem Sie den folgenden Befehl ausführen:
```
terraform apply
```
Prüfen Sie, ob alles wie erwartet bereitgestellt oder aktiviert wurde:
- Option 1:Führen Sie den folgenden Befehl aus, um die Konfiguration in Ihrem Terminal ausgeben zu lassen:
```
terraform show
```
- Option 2:Firebase-Projekt in der Firebase-Konsole ansehen

Firebase-Ressourcen mit Terraform-Unterstützung

Die folgenden Firebase- und Google-Ressourcen werden von Terraform unterstützt. Wir fügen ständig weitere Ressourcen hinzu. Wenn Sie die Ressource, die Sie mit Terraform verwalten möchten, nicht sehen, schauen Sie bald wieder nach, ob sie verfügbar ist, oder erstellen Sie eine Anfrage im GitHub-Repository.

Firebase-Projekte und ‑Apps verwalten

google_firebase_project: Firebase-Dienste in einem vorhandenen Google Cloud-Projekt aktivieren
Firebase-Apps
- google_firebase_apple_app – Firebase-App für Apple-Plattformen erstellen oder verwalten
- google_firebase_android_app – Firebase-Android-App erstellen oder verwalten
- google_firebase_web_app – Firebase-Web-App erstellen oder verwalten
Wichtig :Wenn Sie eine Firebase-App erstellen, müssen Sie auch die Codebasis Ihrer App für die Verwendung von Firebase konfigurieren. Dazu gehört, dass Sie die Firebase-Konfiguration Ihrer App und die Firebase SDKs für die Produkte hinzufügen, die Sie verwenden möchten.

Firebase Authentication

google_identity_platform_config: Aktivieren Sie Google Cloud Identity Platform (GCIP), das Backend für Firebase Authentication, und geben Sie Authentifizierungseinstellungen auf Projektebene an.
- Wenn Sie Firebase Authentication über Terraform konfigurieren möchten, müssen Sie GCIP aktivieren. Sehen Sie sich die .tf-Beispieldatei an, um zu erfahren, wie Sie Firebase Authentication einrichten.
- Für das Projekt, in dem Terraform GCIP und/oder Firebase Authentication aktiviert, muss der Blaze-Tarif gelten. Das Projekt muss also mit einem Cloud Billing-Konto verknüpft sein. Sie können dies programmatisch tun, indem Sie das Attribut billing_account in der google_project-Ressource festlegen.
- Diese Ressource ermöglicht auch weitere Konfigurationen, z. B. lokale Anmeldemethoden wie anonyme, E-Mail-/Passwort- und Telefonauthentifizierung sowie Blockierfunktionen und autorisierte Domains.
google_identity_platform_default_supported_idp_config: Konfigurieren Sie gängige föderierte Identitätsanbieter wie Google, Facebook oder Apple.
identity_platform_oauth_idp_config: Beliebige OAuth-Identitätsanbieterquellen (IdP) konfigurieren
google_identity_platform_inbound_saml_config – SAML-Integrationen konfigurieren

Noch nicht unterstützt:

Multi-Faktor-Authentifizierung (MFA) über Terraform konfigurieren

Firebase App Hosting

google_firebase_app_hosting_backend: Erstellen und Verwalten eines Firebase App Hosting-Back-Ends, einschließlich der GitHub-Repository-Verbindung und des Live-Branch für die kontinuierliche Bereitstellung.
google_firebase_app_hosting_build: Erstellt einen Build für ein Backend zu einem bestimmten Zeitpunkt und mit einem bestimmten Codebase-Referenz-Tag.
google_firebase_app_hosting_traffic: Einen Build bereitstellen oder die kontinuierliche GitHub-Bereitstellung konfigurieren.

Firebase Data Connect

google_firebase_data_connect_service – Data Connect-Dienst erstellen

Firebase Realtime Database

google_firebase_database_instance – Realtime Database-Instanz erstellen

Noch nicht unterstützt:

Firebase Realtime Database Security Rules über Terraform bereitstellen (Informationen zum Bereitstellen dieser RulesFirebase Realtime Database Security Rules

Cloud Firestore

google_firestore_database – Cloud Firestore-Instanz erstellen

Wichtig :Legen Sie das folgende Feld fest, um Cloud Firestore mit Firebase zu verwenden: type = "FIRESTORE_NATIVE"
google_firestore_index: Ermöglicht effiziente Abfragen für Cloud Firestore
google_firestore_document: Eine Cloud Firestore-Instanz mit einem bestimmten Dokument in einer Sammlung initialisieren

Wichtig:Verwenden Sie in diesem Seed-Dokument keine echten Endnutzer- oder Produktionsdaten.

Cloud Storage for Firebase

google_firebase_storage_bucket: Einen vorhandenen Cloud Storage-Bucket für Firebase-SDKs, die Authentifizierung und Firebase Security Rules zugänglich machen
google_storage_bucket_object – ein Objekt einem Cloud Storage-Bucket hinzufügen

Wichtig:Verwenden Sie in dieser Datei keine echten Endnutzer- oder Produktionsdaten.

Firebase Security Rules (für Cloud Firestore und Cloud Storage)

Firebase Realtime Database verwendet ein anderes Bereitstellungssystem für seine Firebase Security Rules.

google_firebaserules_ruleset: Definiert Firebase Security Rules, die für eine Cloud Firestore-Instanz oder einen Cloud Storage-Bucket gelten.
google_firebaserules_release: Bestimmte Regelsätze für eine Cloud Firestore-Instanz oder einen Cloud Storage-Bucket bereitstellen

Wichtig :Eine ruleset wird erst wirksam, wenn im zuletzt bereitgestellten release angegeben ist, dass ruleset für die Cloud Firestore-Instanz und/oder den Cloud Storage-Bucket gelten soll.

Firebase App Check

google_firebase_app_check_service_config: App Check-Durchsetzung für einen Dienst aktivieren
google_firebase_app_check_app_attest_config – Apple-Plattform-App beim App Attest-Anbieter registrieren
google_firebase_app_check_device_check_config – Apple-Plattform-App beim DeviceCheck-Anbieter registrieren
google_firebase_app_check_play_integrity_config – Android-App beim Play Integrity-Anbieter registrieren
google_firebase_app_check_recaptcha_enterprise_config: Registrieren Sie eine Web-App beim reCAPTCHA Enterprise-Anbieter.
google_firebase_app_check_recaptcha_v3_config: Registrieren Sie eine Web-App beim reCAPTCHA v3-Anbieter.
google_firebase_app_check_debug_token – Debug-Tokens zum Testen verwenden

Firebase Extensions

google_firebase_extensions_instance: Installieren oder Aktualisieren einer Instanz von Firebase Extension

Beispielhafte Terraform-Konfigurationsdateien für häufige Anwendungsfälle

Firebase Authentication mit GCIP einrichten

Mit dieser Konfiguration wird ein neues Google Cloud-Projekt erstellt, das Projekt wird einem Cloud Billing-Konto zugeordnet (für Firebase Authentication mit GCIP ist der Blaze-Tarif erforderlich), Firebase-Dienste werden für das Projekt aktiviert, Firebase Authentication mit GCIP wird eingerichtet und drei verschiedene App-Typen werden für das Projekt registriert.

Das Aktivieren von GCIP ist erforderlich, um Firebase Authentication über Terraform einzurichten.

# Creates a new Google Cloud project.
resource "google_project" "auth" {
  provider  = google-beta.no_user_project_override
  folder_id = "folder-id-for-new-project"
  name            = "Project Display Name"
  project_id      = "project-id-for-new-project"

  # Associates the project with a Cloud Billing account
  # (required for Firebase Authentication with GCIP).
  billing_account = "000000-000000-000000"
}

# Enables required APIs.
resource "google_project_service" "auth" {
  provider = google-beta.no_user_project_override
  project  = google_project.auth.project_id
  for_each = toset([
    "cloudbilling.googleapis.com",
    "cloudresourcemanager.googleapis.com",
    "serviceusage.googleapis.com",
    "identitytoolkit.googleapis.com",
  ])
  service = each.key

  # Don't disable the service if the resource block is removed by accident.
  disable_on_destroy = false
}

# Enables Firebase services for the new project created above.
resource "google_firebase_project" "auth" {
  provider = google-beta
  project  = google_project.auth.project_id

  depends_on = [
    google_project_service.auth,
  ]
}

# Creates an Identity Platform config.
# Also enables Firebase Authentication with Identity Platform in the project if not.
resource "google_identity_platform_config" "auth" {
  provider = google-beta
  project  = google_firebase_project.auth.project

  # Auto-deletes anonymous users
  autodelete_anonymous_users = true

  # Configures local sign-in methods, like anonymous, email/password, and phone authentication.
  sign_in {
    allow_duplicate_emails = true

    anonymous {
      enabled = true
    }

    email {
      enabled = true
      password_required = false
    }

    phone_number {
      enabled = true
      test_phone_numbers = {
        "+11231231234" = "000000"
      }
    }
  }

  # Sets an SMS region policy.
  sms_region_config {
    allowlist_only {
      allowed_regions = [
        "US",
        "CA",
      ]
    }
  }

  # Configures blocking functions.
  blocking_functions {
    triggers {
      event_type = "beforeSignIn"
      function_uri = "https://us-east1-${google_project.auth.project_id}.cloudfunctions.net/before-sign-in"
    }
    forward_inbound_credentials {
      refresh_token = true
      access_token = true
      id_token = true
    }
  }

  # Configures a temporary quota for new signups for anonymous, email/password, and phone number.
  quota {
    sign_up_quota_config {
      quota = 1000
      start_time = ""
      quota_duration = "7200s"
    }
  }

  # Configures authorized domains.
  authorized_domains = [
    "localhost",
    "${google_project.auth.project_id}.firebaseapp.com",
    "${google_project.auth.project_id}.web.app",
  ]
}

# Creates a Firebase Android App in the new project created above.
resource "google_firebase_android_app" "auth" {
  provider     = google-beta
  project      = google_firebase_project.auth.project
  display_name = "My Android app"
  package_name = "android.package.name"
}

# Creates a Firebase Apple-platforms App in the new project created above.
resource "google_firebase_apple_app" "auth" {
  provider     = google-beta
  project      = google_firebase_project.auth.project
  display_name = "My Apple app"
  bundle_id    = "apple.app.12345"
}

# Creates a Firebase Web App in the new project created above.
resource "google_firebase_web_app" "auth" {
  provider     = google-beta
  project      = google_firebase_project.auth.project
  display_name = "My Web app"
}

Firebase Data Connect-Dienst bereitstellen

Mit dieser Konfiguration wird ein neues Google Cloud-Projekt erstellt, Firebase-Dienste für das Projekt werden aktiviert und ein Data Connect-Dienst wird bereitgestellt.

# Creates a new Google Cloud project.
resource "google_project" "dataconnect" {
  provider   = google-beta.no_user_project_override
  folder_id  = "folder-id-for-new-project"
  name       = "Project Display Name"
  project_id = "project-id-for-new-project"

  # Associates the project with a Cloud Billing account
  # (required to use Firebase Data Connect).
  billing_account = "000000-000000-000000"

  # Required for the project to display in a list of Firebase projects.
  labels = {
    "firebase" = "enabled"
  }
}

# Enables required APIs.
resource "google_project_service" "services" {
  provider = google-beta.no_user_project_override
  project  = google_project.dataconnect.project_id
  for_each = toset([
    "serviceusage.googleapis.com",
    "cloudresourcemanager.googleapis.com",
    "firebasedataconnect.googleapis.com",
  ])
  service = each.key

  # Don't disable the service if the resource block is removed by accident.
  disable_on_destroy = false
}

# Enables Firebase services for the new project created earlier.
resource "google_firebase_project" "dataconnect" {
  provider = google-beta
  project  = google_project.dataconnect.project_id

  depends_on = [google_project_service.services]
}

# Create a Firebase Data Connect service
resource "google_firebase_data_connect_service" "dataconnect-default" {
  project         = google_firebase_project.dataconnect.project
  location        = "name-of-region-for-service"
  service_id      = "${google_firebase_project.dataconnect.project}-default-fdc"
  deletion_policy = "DEFAULT"
}

Standardmäßige Firebase Realtime Database-Instanz bereitstellen

Mit dieser Konfiguration wird ein neues Google Cloud-Projekt erstellt, Firebase-Dienste für das Projekt werden aktiviert, die Standard-Realtime Database-Instanz des Projekts wird bereitgestellt und drei verschiedene App-Typen werden für das Projekt registriert.

# Creates a new Google Cloud project.
resource "google_project" "rtdb" {
  provider   = google-beta.no_user_project_override
  folder_id  = "folder-id-for-new-project"
  name       = "Project Display Name"
  project_id = "project-id-for-new-project"
}

# Enables required APIs.
resource "google_project_service" "rtdb" {
  provider = google-beta.no_user_project_override
  project  = google_project.rtdb.project_id
  for_each = toset([
    "serviceusage.googleapis.com",
    "cloudresourcemanager.googleapis.com",
    "firebasedatabase.googleapis.com",
  ])
  service = each.key

  # Don't disable the service if the resource block is removed by accident.
  disable_on_destroy = false
}

# Enables Firebase services for the new project created above.
resource "google_firebase_project" "rtdb" {
  provider = google-beta
  project  = google_project.rtdb.project_id

  depends_on = [google_project_service.rtdb]
}

# Provisions the default Realtime Database default instance.
resource "google_firebase_database_instance" "database" {
  provider    = google-beta
  project     = google_firebase_project.rtdb.project
  # See available locations: https://firebase.google.com/docs/database/locations
  region      = "name-of-region"
  # This value will become the first segment of the database's URL.
  instance_id = "${google_project.rtdb.project_id}-default-rtdb"
  type        = "DEFAULT_DATABASE"
}

# Creates a Firebase Android App in the new project created above.
resource "google_firebase_android_app" "rtdb" {
  provider     = google-beta
  project      = google_firebase_project.rtdb.project
  display_name = "My Android app"
  package_name = "android.package.name"
}

# Creates a Firebase Apple-platforms App in the new project created above.
resource "google_firebase_apple_app" "rtdb" {
  provider     = google-beta
  project      = google_firebase_project.rtdb.project
  display_name = "My Apple app"
  bundle_id    = "apple.app.12345"
}

# Creates a Firebase Web App in the new project created above.
resource "google_firebase_web_app" "rtdb" {
  provider     = google-beta
  project      = google_firebase_project.rtdb.project
  display_name = "My Web app"
}

Mehrere Firebase Realtime Database-Instanzen bereitstellen

Mit dieser Konfiguration wird ein neues Google Cloud-Projekt erstellt, das Projekt wird einem Cloud Billing-Konto zugeordnet (für mehrere Realtime Database-Instanzen ist der Blaze-Tarif erforderlich), Firebase-Dienste werden für das Projekt aktiviert, mehrere Realtime Database-Instanzen werden bereitgestellt (einschließlich der Standard-Realtime Database-Instanz des Projekts) und drei verschiedene App-Typen werden für das Projekt registriert.

# Creates a new Google Cloud project.
resource "google_project" "rtdb-multi" {
  provider   = google-beta.no_user_project_override
  folder_id  = "folder-id-for-new-project"
  name       = "Project Display Name"
  project_id = "project-id-for-new-project"

  # Associate the project with a Cloud Billing account
  # (required for multiple Realtime Database instances).
  billing_account = "000000-000000-000000"
}

# Enables required APIs.
resource "google_project_service" "rtdb-multi" {
  provider = google-beta.no_user_project_override
  project  = google_project.rtdb-multi.project_id
  for_each = toset([
    "cloudbilling.googleapis.com",
    "serviceusage.googleapis.com",
    "cloudresourcemanager.googleapis.com",
    "firebasedatabase.googleapis.com",
  ])
  service = each.key

  # Don't disable the service if the resource block is removed by accident.
  disable_on_destroy = false
}

# Enables Firebase services for the new project created above.
resource "google_firebase_project" "rtdb-multi" {
  provider = google-beta
  project  = google_project.rtdb-multi.project_id

  depends_on = [google_project_service.rtdb-multi]
}

# Provisions the default Realtime Database default instance.
resource "google_firebase_database_instance" "database-default" {
  provider    = google-beta
  project     = google_firebase_project.rtdb-multi.project
  # See available locations: https://firebase.google.com/docs/database/locations
  region      = "name-of-region"
  # This value will become the first segment of the database's URL.
  instance_id = "${google_project.rtdb-multi.project_id}-default-rtdb"
  type        = "DEFAULT_DATABASE"
}

# Provisions an additional Realtime Database instance.
resource "google_firebase_database_instance" "database-additional" {
  provider    = google-beta
  project     = google_firebase_project.rtdb-multi.project
  # See available locations: https://firebase.google.com/docs/projects/locations#rtdb-locations
  # This location doesn't need to be the same as the default database instance.
  region      = "name-of-region"
  # This value will become the first segment of the database's URL.
  instance_id = "name-of-additional-database-instance"
  type        = "USER_DATABASE"
}

# Creates a Firebase Android App in the new project created above.
resource "google_firebase_android_app" "rtdb-multi" {
  provider     = google-beta
  project      = google_firebase_project.rtdb-multi.project
  display_name = "My Android app"
  package_name = "android.package.name"
}

# Creates a Firebase Apple-platforms App in the new project created above.
resource "google_firebase_apple_app" "rtdb-multi" {
  provider     = google-beta
  project      = google_firebase_project.rtdb-multi.project
  display_name = "My Apple app"
  bundle_id    = "apple.app.12345"
}

# Creates a Firebase Web App in the new project created above.
resource "google_firebase_web_app" "rtdb-multi" {
  provider     = google-beta
  project      = google_firebase_project.rtdb-multi.project
  display_name = "My Web app"
}

Standard-Cloud Firestore-Instanz bereitstellen

Mit dieser Konfiguration wird ein neues Google Cloud-Projekt erstellt, Firebase-Dienste für das Projekt werden aktiviert, die Standard-Cloud Firestore-Instanz des Projekts wird bereitgestellt und drei verschiedene App-Typen werden für das Projekt registriert.

Außerdem wird Firebase Security Rules für die Standardinstanz Cloud Firestore bereitgestellt, ein Cloud Firestore-Index erstellt und ein Cloud Firestore-Dokument mit Seed-Daten hinzugefügt.

# Creates a new Google Cloud project.
resource "google_project" "firestore" {
  provider   = google-beta.no_user_project_override
  folder_id  = "folder-id-for-new-project"
  name       = "Project Display Name"
  project_id = "project-id-for-new-project"
}

# Enables required APIs.
resource "google_project_service" "firestore" {
  provider = google-beta.no_user_project_override
  project  = google_project.firestore.project_id
  for_each = toset([
    "cloudresourcemanager.googleapis.com",
    "serviceusage.googleapis.com",
    "firestore.googleapis.com",
    "firebaserules.googleapis.com",
  ])
  service = each.key

  # Don't disable the service if the resource block is removed by accident.
  disable_on_destroy = false
}

# Enables Firebase services for the new project created above.
resource "google_firebase_project" "firestore" {
  provider = google-beta
  project  = google_project.firestore.project_id

  depends_on = [google_project_service.firestore]
}

# Provisions the Firestore database instance.
resource "google_firestore_database" "firestore" {
  provider                    = google-beta
  project                     = google_firebase_project.firestore.project
  name                        = "(default)"
  # See available locations: https://firebase.google.com/docs/firestore/locations
  location_id                 = "name-of-region"
  # "FIRESTORE_NATIVE" is required to use Firestore with Firebase SDKs, authentication, and Firebase Security Rules.
  type                        = "FIRESTORE_NATIVE"
  concurrency_mode            = "OPTIMISTIC"
}

# Creates a ruleset of Firestore Security Rules from a local file.
resource "google_firebaserules_ruleset" "firestore" {
  provider = google-beta
  project  = google_firestore_database.firestore.project
  source {
    files {
      name = "firestore.rules"
      # Write security rules in a local file named "firestore.rules".
      # Learn more: https://firebase.google.com/docs/firestore/security/get-started
      content = file("firestore.rules")
    }
  }
}

# Releases the ruleset for the Firestore instance.
resource "google_firebaserules_release" "firestore" {
  provider     = google-beta
  name         = "cloud.firestore"  # must be cloud.firestore
  ruleset_name = google_firebaserules_ruleset.firestore.name
  project      = google_firestore_database.firestore.project
}

# Adds a new Firestore index.
resource "google_firestore_index" "indexes" {
  provider = google-beta
  project  = google_firestore_database.firestore.project

  collection  = "quiz"
  query_scope = "COLLECTION"

  fields {
    field_path = "question"
    order      = "ASCENDING"
  }

  fields {
    field_path = "answer"
    order      = "ASCENDING"
  }
}

# Adds a new Firestore document with seed data.
# Don't use real end-user or production data in this seed document.
resource "google_firestore_document" "doc" {
  provider    = google-beta
  project     = google_firestore_database.firestore.project
  collection  = "quiz"
  document_id = "question-1"
  fields      = "{\"question\":{\"stringValue\":\"Favorite Database\"},\"answer\":{\"stringValue\":\"Firestore\"}}"
}

# Creates a Firebase Android App in the new project created above.
resource "google_firebase_android_app" "firestore" {
  provider     = google-beta
  project      = google_firebase_project.firestore.project
  display_name = "My Android app"
  package_name = "android.package.name"
}

# Creates a Firebase Apple-platforms App in the new project created above.
resource "google_firebase_apple_app" "firestore" {
  provider     = google-beta
  project      = google_firebase_project.firestore.project
  display_name = "My Apple app"
  bundle_id    = "apple.app.12345"
}

# Creates a Firebase Web App in the new project created above.
resource "google_firebase_web_app" "firestore" {
  provider     = google-beta
  project      = google_firebase_project.firestore.project
  display_name = "My Web app"
}

Dies ist das Regelset von Cloud Firestore Security Rules, das sich in einer lokalen Datei namens firestore.rules befinden sollte.

rules_version = '2';
service cloud.firestore {
  match /databases/{database}/documents {
    match /some_collection/{document} {
      allow read, create, update: if request.auth != null;
    }
  }
}

Standard-Cloud Storage-Bucket bereitstellen

Zusätzliche Cloud Storage-Buckets bereitstellen

Durch diese Konfiguration wird ein neues Google Cloud-Projekt erstellt, das Projekt wird einem Cloud Billing-Konto zugewiesen (für zusätzliche Buckets ist der Blaze-Tarif erforderlich), Firebase-Dienste werden für das Projekt aktiviert, zusätzliche, nicht standardmäßige Cloud Storage-Buckets werden bereitgestellt und drei verschiedene App-Typen werden für das Projekt registriert.

Außerdem wird Firebase Security Rules für jeden Cloud Storage-Bucket bereitgestellt und eine Datei in einen der Cloud Storage-Buckets hochgeladen.

# Creates a new Google Cloud project.
resource "google_project" "storage-multi" {
  provider  = google-beta.no_user_project_override
  folder_id = "folder-id-for-new-project"
  name            = "Project Display Name"
  project_id      = "project-id-for-new-project"

  # Associates the project with a Cloud Billing account
  # (required for multiple Cloud Storage buckets).
  billing_account = "000000-000000-000000"
}

# Enables required APIs.
resource "google_project_service" "storage-multi" {
  provider = google-beta.no_user_project_override
  project  = google_project.storage-multi.project_id
  for_each = toset([
    "cloudbilling.googleapis.com",
    "serviceusage.googleapis.com",
    "cloudresourcemanager.googleapis.com",
    "firebaserules.googleapis.com",
    "firebasestorage.googleapis.com",
    "storage.googleapis.com",
  ])
  service = each.key

  # Don't disable the service if the resource block is removed by accident.
  disable_on_destroy = false
}

# Enables Firebase services for the new project created above.
resource "google_firebase_project" "storage-multi" {
  provider = google-beta
  project  = google_project.storage-multi.project_id

  depends_on = [google_project_service.storage-multi]
}

# Provisions a Cloud Storage bucket.
resource "google_storage_bucket" "bucket-1" {
  provider = google-beta
  project  = google_firebase_project.storage-multi.project
  name     = "name-of-storage-bucket"
  # See available locations: https://cloud.google.com/storage/docs/locations#available-locations
  location = "name-of-region-for-bucket"
}

# Provisions an additional Cloud Storage bucket.
resource "google_storage_bucket" "bucket-2" {
  provider = google-beta
  project  = google_firebase_project.storage-multi.project
  name     = "name-of-additional-storage-bucket"
  # See available locations: https://cloud.google.com/storage/docs/locations#available-locations
  # This location does not need to be the same as the existing Storage bucket.
  location = "name-of-region-for-additional-bucket"
}

# Makes the first Storage bucket accessible for Firebase SDKs, authentication, and Firebase Security Rules.
resource "google_firebase_storage_bucket" "bucket-1" {
  provider  = google-beta
  project   = google_firebase_project.storage-multi.project
  bucket_id = google_storage_bucket.bucket-1.name
}

# Makes the additional Storage bucket accessible for Firebase SDKs, authentication, and Firebase Security Rules.
resource "google_firebase_storage_bucket" "bucket-2" {
  provider  = google-beta
  project   = google_firebase_project.storage-multi.project
  bucket_id = google_storage_bucket.bucket-2.name
}

# Creates a ruleset of Firebase Security Rules from a local file.
resource "google_firebaserules_ruleset" "storage-multi" {
  provider = google-beta
  project  = google_firebase_project.storage-multi.project
  source {
    files {
      # Write security rules in a local file named "storage.rules"
      # Learn more: https://firebase.google.com/docs/storage/security/get-started
      name    = "storage.rules"
      content = file("storage.rules")
    }
  }
}

# Releases the ruleset to the first Storage bucket.
resource "google_firebaserules_release" "bucket-1" {
  provider     = google-beta
  name         = "firebase.storage/${google_storage_bucket.bucket-1.name}"
  ruleset_name = "projects/${google_project.storage-multi.project_id}/rulesets/${google_firebaserules_ruleset.storage-multi.name}"
  project      = google_firebase_project.storage-multi.project
}

# Releases the ruleset to the additional Storage bucket.
resource "google_firebaserules_release" "bucket-2" {
  provider     = google-beta
  name         = "firebase.storage/${google_storage_bucket.bucket-2.name}"
  ruleset_name = "projects/${google_project.storage-multi.project_id}/rulesets/${google_firebaserules_ruleset.storage-multi.name}"
  project      = google_firebase_project.storage-multi.project
}

# Uploads a new file to the first Storage bucket.
# Do not use real end-user or production data in this file.
resource "google_storage_bucket_object" "cat-picture-multi" {
  provider = google-beta
  name     = "cat.png"
  source   = "path/to/cat.png"
  bucket   = google_storage_bucket.bucket-1.name
}

# Creates a Firebase Android App in the new project created above.
resource "google_firebase_android_app" "storage-multi" {
  provider     = google-beta
  project      = google_firebase_project.storage-multi.project
  display_name = "My Android app"
  package_name = "android.package.name"
}

# Creates a Firebase Apple-platforms App in the new project created above.
resource "google_firebase_apple_app" "storage-multi" {
  provider     = google-beta
  project      = google_firebase_project.storage-multi.project
  display_name = "My Apple app"
  bundle_id    = "apple.app.12345"
}

# Creates a Firebase Web App in the new project created above.
resource "google_firebase_web_app" "storage-multi" {
  provider     = google-beta
  project      = google_firebase_project.storage-multi.project
  display_name = "My Web app"
}

Dies ist das Regelset von Cloud Storage Security Rules, das sich in einer lokalen Datei namens storage.rules befinden sollte.

rules_version = '2';
service firebase.storage {
  match /b/{bucket}/o {
    match /some_folder/{fileName} {
      allow read, write: if request.auth != null;
    }
  }
}

API-Ressource mit Firebase App Check schützen

Mit dieser Konfiguration wird ein neues Google Cloud-Projekt erstellt, Firebase-Dienste für das Projekt werden aktiviert und die Durchsetzung von Firebase App Check für Cloud Firestore wird eingerichtet und aktiviert, sodass nur über Ihre Android-App darauf zugegriffen werden kann.

# Creates a new Google Cloud project.
resource "google_project" "appcheck" {
  provider   = google-beta.no_user_project_override
  folder_id  = "folder-id-for-new-project"
  name       = "Project Display Name"
  project_id = "project-id-for-new-project"
}

# Enables required APIs.
resource "google_project_service" "services" {
  provider = google-beta.no_user_project_override
  project  = google_project.appcheck.project_id
  for_each = toset([
    "cloudresourcemanager.googleapis.com",
    "firebase.googleapis.com",
    "firebaseappcheck.googleapis.com",
    "firestore.googleapis.com",
    "serviceusage.googleapis.com",
  ])
  service = each.key

  # Don't disable the service if the resource block is removed by accident.
  disable_on_destroy = false
}

# Enables Firebase services for the new project created earlier.
resource "google_firebase_project" "appcheck" {
  provider = google-beta
  project  = google_project.appcheck.project_id

  depends_on = [google_project_service.services]
}

# Provisions the Firestore database instance.
resource "google_firestore_database" "database" {
  provider = google-beta
  project  = google_firebase_project.appcheck.project
  name     = "(default)"
  # See available locations: https://firebase.google.com/docs/projects/locations#default-cloud-location
  location_id = "name-of-region"
  # "FIRESTORE_NATIVE" is required to use Firestore with Firebase SDKs, authentication, and Firebase Security Rules.
  type             = "FIRESTORE_NATIVE"
  concurrency_mode = "OPTIMISTIC"
}

# Creates a Firebase Android App in the new project created earlier.
resource "google_firebase_android_app" "appcheck" {
  provider     = google-beta
  project      = google_firebase_project.appcheck.project
  display_name = "Play Integrity app"
  package_name = "package.name.playintegrity"
  sha256_hashes = [
    # TODO: insert your Android app's SHA256 certificate
  ]
}

# Register the Android app with the Play Integrity provider
resource "google_firebase_app_check_play_integrity_config" "appcheck" {
  provider = google-beta
  project  = google_firebase_project.appcheck.project
  app_id   = google_firebase_android_app.appcheck.app_id

  depends_on = [google_firestore_database.database]

  lifecycle {
    precondition {
      condition     = length(google_firebase_android_app.appcheck.sha256_hashes) > 0
      error_message = "Provide a SHA-256 certificate on the Android App to use App Check"
    }
  }
}

# Enable enforcement of App Check for Firestore
resource "google_firebase_app_check_service_config" "firestore" {
  provider = google-beta

  project    = google_firebase_project.appcheck.project
  service_id = "firestore.googleapis.com"

  depends_on = [google_project_service.services]
}

Firebase Extension-Instanz installieren

Durch diese Konfiguration wird ein neues Google Cloud-Projekt erstellt, Firebase-Dienste für das Projekt werden aktiviert und eine neue Instanz von Firebase Extension wird im Projekt installiert. Wenn die Instanz bereits vorhanden ist, werden ihre Parameter anhand der in der Konfiguration angegebenen Werte aktualisiert.

# Creates a new Google Cloud project.
resource "google_project" "extensions" {
  provider   = google-beta.no_user_project_override
  folder_id  = "folder-id-for-new-project"
  name       = "Project Display Name"
  project_id = "project-id-for-new-project"

  # Associates the project with a Cloud Billing account
  # (required to use Firebase Extensions).
  billing_account = "000000-000000-000000"
}

# Enables required APIs.
resource "google_project_service" "extensions" {
  provider = google-beta.no_user_project_override
  project  = google_project.extensions.project_id
  for_each = toset([
    "cloudbilling.googleapis.com",
    "cloudresourcemanager.googleapis.com",
    "serviceusage.googleapis.com",
    "firebase.googleapis.com",
    "firebaseextensions.googleapis.com",
  ])
  service = each.key

  # Don't disable the service if the resource block is removed by accident.
  disable_on_destroy = false
}

# Enables Firebase services for the new project created above.
resource "google_firebase_project" "extensions" {
  provider = google-beta
  project  = google_project.extensions.project_id

  depends_on = [
    google_project_service.extensions,
  ]
}

# Installs an instance of the "Translate Text in Firestore" extension.
# Or updates the extension if the specified instance already exists.
resource "google_firebase_extensions_instance" "translation" {
  provider = google-beta
  project = google_firebase_project.extensions.project

  instance_id = "translate-text-in-firestore"
  config {
    extension_ref = "firebase/firestore-translate-text"

    params = {
      COLLECTION_PATH      = "posts/comments/translations"
      DO_BACKFILL          = true
      LANGUAGES            = "ar,en,es,de,fr"
      INPUT_FIELD_NAME     = "input"
      LANGUAGES_FIELD_NAME = "languages"
      OUTPUT_FIELD_NAME    = "translated"
    }

    system_params = {
      "firebaseextensions.v1beta.function/location"                   = "us-central1"
      "firebaseextensions.v1beta.function/memory"                     = "256"
      "firebaseextensions.v1beta.function/minInstances"               = "0"
      "firebaseextensions.v1beta.function/vpcConnectorEgressSettings" = "VPC_CONNECTOR_EGRESS_SETTINGS_UNSPECIFIED"
    }
  }
}

Firebase AI Logic aktivieren und schützen

Mit dieser Konfiguration wird ein neues Google Cloud-Projekt erstellt, Firebase-Dienste für das Projekt aktiviert, einschließlich Firebase AI Logic, und die Erzwingung von Firebase App Check für Firebase AI Logic eingerichtet und aktiviert, sodass nur über Ihre Apps darauf zugegriffen werden kann.

# Creates a new Google Cloud project.
resource "google_project" "vertex" {
  provider   = google-beta.no_user_project_override
  folder_id  = "folder-id-for-new-project"
  name       = "Project Display Name"
  project_id = "project-id-for-new-project"

  # Associate the project with a Cloud Billing account
  # (required for Vertex AI in Firebase).
  billing_account = "000000-000000-000000"
}

# Enables required APIs.
resource "google_project_service" "services" {
  provider   = google-beta.no_user_project_override

  project  = google_project.vertex.project_id
  for_each = toset([
    "cloudresourcemanager.googleapis.com",
    "firebase.googleapis.com",
    "serviceusage.googleapis.com",
    # Required APIs for Vertex AI in Firebase
    "aiplatform.googleapis.com",
    "firebasevertexai.googleapis.com",
    # App Check is recommended to protect Vertex AI in Firebase from abuse
    "firebaseappcheck.googleapis.com",
  ])
  service = each.key

  # Don't disable the service if the resource block is removed by accident.
  disable_on_destroy = false
}

# Enables Firebase services for the new project created earlier.
resource "google_firebase_project" "vertex" {
  provider = google-beta
  project  = google_project.vertex.project_id

  depends_on = [google_project_service.services]
}

# Creates a Firebase Web App in the new project created earlier.
resource "google_firebase_web_app" "app" {
  provider = google-beta
  project  = google_firebase_project.vertex.project

  display_name = "My Web App"
}

# Creates a Firebase Android App in the new project created earlier.
resource "google_firebase_android_app" "app" {
  provider     = google-beta
  project      = google_firebase_project.vertex.project
  display_name = "My Android App"
  package_name = "package.name.playintegrity"
  sha256_hashes = [
    # TODO: insert your Android app's SHA256 certificate
  ]
}

# Creates a Firebase Apple App in the new project created earlier.
resource "google_firebase_apple_app" "app" {
  provider     = google-beta
  project      = google_firebase_project.vertex.project
  display_name = "My Apple App"
  bundle_id    = "bundle.id"
  team_id      = "1234567890"
}

### Protects Vertex AI in Firebase with App Check.

# Turns on enforcement for Vertex AI in Firebase
resource "google_firebase_app_check_service_config" "vertex" {
  provider = google-beta

  project          = google_firebase_project.vertex.project
  service_id       = "firebaseml.googleapis.com"
  enforcement_mode = "ENFORCED"
}

# Enables the reCAPTCHA Enterprise API
resource "google_project_service" "recaptcha_enterprise" {
  provider = google-beta

  project = google_firebase_project.vertex.project
  service = "recaptchaenterprise.googleapis.com"

  # Don't disable the service if the resource block is removed by accident.
  disable_on_destroy = false
}

# Enables the Play Integrity API
resource "google_project_service" "play_integrity" {
  provider = google-beta

  project = google_firebase_project.vertex.project
  service = "playintegrity.googleapis.com"

  # Don't disable the service if the resource block is removed by accident.
  disable_on_destroy = false
}

# Allows the web app to use reCAPTCHA Enterprise with App Check
resource "google_firebase_app_check_recaptcha_enterprise_config" "appcheck" {
  provider = google-beta

  project   = google_firebase_project.vertex.project
  app_id    = google_firebase_web_app.app.app_id
  site_key  = "your site key"
  token_ttl = "7200s" # Optional

  depends_on = [google_project_service.recaptcha_enterprise]
}

# Registers the Android app with the Play Integrity provider
resource "google_firebase_app_check_play_integrity_config" "appcheck" {
  provider  = google-beta
  project   = google_firebase_project.vertex.project
  app_id    = google_firebase_android_app.app.app_id
  token_ttl = "7200s" # Optional

  lifecycle {
    precondition {
      condition     = length(google_firebase_android_app.app.sha256_hashes) > 0
      error_message = "Provide a SHA-256 certificate on the Android App to use App Check"
    }
  }

  depends_on = [google_project_service.play_integrity]
}

# Registers the Apple app with the AppAttest provider
resource "google_firebase_app_check_app_attest_config" "appcheck" {
  provider  = google-beta
  project   = google_firebase_project.vertex.project
  app_id    = google_firebase_apple_app.app.app_id
  token_ttl = "7200s" # Optional

  lifecycle {
    precondition {
      condition     = google_firebase_apple_app.app.team_id != ""
      error_message = "Provide a Team ID on the Apple App to use App Check"
    }
  }
}

App Hosting-Backend manuell bereitstellen

In dieser Konfiguration wird gezeigt, wie Sie ein App Hosting-Backend mit Terraform manuell bereitstellen. Mit diesem Ansatz haben Sie eine detaillierte Kontrolle über die erstellten Ressourcen, müssen aber jede Ressource einzeln definieren. Das ist nützlich, wenn Sie das Backend über die Standardoptionen hinaus anpassen müssen.

# Creates a new Google Cloud project.
resource "google_project" "apphosting" {
  provider   = google-beta.no_user_project_override
  folder_id  = "folder-id-for-new-project"
  name       = "Project Display Name"
  project_id = "project-id-for-new-project"

  # Associates the project with a Cloud Billing account
  # (required to use Firebase App Hosting).
  billing_account = "000000-000000-000000"
}

# Enables required APIs.
resource "google_project_service" "services" {
  provider = google-beta.no_user_project_override
  project  = google_project.apphosting.project_id
  for_each = toset([
    "cloudresourcemanager.googleapis.com",
    "firebase.googleapis.com",
    "firebaseapphosting.googleapis.com",
    "serviceusage.googleapis.com",
  ])
  service = each.key

  # Don't disable the service if the resource block is removed by accident.
  disable_on_destroy = false
}

# Enables Firebase services for the new project created earlier.
resource "google_firebase_project" "apphosting" {
  provider = google-beta
  project  = google_project.apphosting.project_id

  depends_on = [google_project_service.services]
}

# Creates a Firebase Web App in the new project created earlier.
resource "google_firebase_web_app" "apphosting" {
  provider     = google-beta
  project      = google_firebase_project.apphosting.project
  display_name = "My web app"
}

# Creates a Firebase App Hosting Backend
resource "google_firebase_app_hosting_backend" "example" {
  provider = google-beta
  project  = google_firebase_project.apphosting.project

  # Choose the region closest to your users
  location         = "name-of-region-for-service"
  backend_id       = "name-of-backend-for-service"
  app_id           = google_firebase_web_app.apphosting.app_id
  display_name     = "My Backend"
  serving_locality = "GLOBAL_ACCESS" # or "REGIONAL_STRICT"
  service_account  = google_service_account.service_account.email
}

# Creates the service account for Firebase App Hosting
resource "google_service_account" "service_account" {
  provider = google-beta
  project  = google_firebase_project.apphosting.project

  # Must be firebase-app-hosting-compute
  account_id                   = "firebase-app-hosting-compute"
  display_name                 = "Firebase App Hosting compute service account"

  # Do not throw if already exists
  create_ignore_already_exists = true
}

# Adds permission to the App Hosting service account
resource "google_project_iam_member" "app_hosting_sa" {
  provider = google-beta
  project  = google_firebase_project.apphosting.project

  for_each = toset([
    "roles/firebase.sdkAdminServiceAgent",
    "roles/firebaseapphosting.computeRunner"
  ])

  role   = each.key
  member = google_service_account.service_account.member
}

# Creates a Build
resource "google_firebase_app_hosting_build" "example" {
  provider = google-beta

  project          = google_firebase_app_hosting_backend.example.project
  location         = google_firebase_app_hosting_backend.example.location
  backend          = google_firebase_app_hosting_backend.example.backend_id
  build_id         = "my-build"

  source {
    container {
      # TODO: use your own image
      image = "us-docker.pkg.dev/cloudrun/container/hello"
    }
  }
}

# Rolls out the Build
resource "google_firebase_app_hosting_traffic" "example" {
  provider = google-beta

  project          = google_firebase_app_hosting_backend.example.project
  location         = google_firebase_app_hosting_backend.example.location
  backend          = google_firebase_app_hosting_backend.example.backend_id

  target {
    splits {
      build = google_firebase_app_hosting_build.example.name
      percent = 100
    }
  }
}

App Hosting-Backend mit GitHub bereitstellen

Diese Konfiguration zeigt, wie ein App Hosting-Backend mit Anwendungscode bereitgestellt wird, der in einem GitHub-Repository gespeichert ist. Mit diesem Ansatz können Sie Ihre Infrastruktur über GitHub-Pull-Anfragen und CI/CD-Pipelines gemäß dem typischen Modell für App Hosting-Bereitstellungen verwalten und aktualisieren.

# Creates a new Google Cloud project.
resource "google_project" "apphosting" {
  provider   = google-beta.no_user_project_override
  folder_id  = "folder-id-for-new-project"
  name       = "Project Display Name"
  project_id = "project-id-for-new-project"

  # Associates the project with a Cloud Billing account
  # (required to use Firebase App Hosting).
  billing_account = "000000-000000-000000"
}

# Enables required APIs.
resource "google_project_service" "services" {
  provider = google-beta.no_user_project_override
  project  = google_project.apphosting.project_id
  for_each = toset([
    "cloudresourcemanager.googleapis.com",
    "firebase.googleapis.com",
    "firebaseapphosting.googleapis.com",
    "serviceusage.googleapis.com",
    "developerconnect.googleapis.com",
  ])
  service = each.key

  # Don't disable the service if the resource block is removed by accident.
  disable_on_destroy = false
}

# Enables Firebase services for the new project created earlier.
resource "google_firebase_project" "apphosting" {
  provider = google-beta
  project  = google_project.apphosting.project_id

  depends_on = [google_project_service.services]
}

# Creates a Firebase Web App in the new project created earlier.
resource "google_firebase_web_app" "apphosting" {
  provider     = google-beta
  project      = google_firebase_project.apphosting.project
  display_name = "My web app"
}

### Setting up Firebase App Hosting ###

# Creates a Firebase App Hosting Backend
resource "google_firebase_app_hosting_backend" "example" {
  provider = google-beta
  project  = google_firebase_project.apphosting.project

  # Choose the region closest to your users
  location         = "name-of-region-for-service"
  backend_id       = "name-of-backend-for-service"
  app_id           = google_firebase_web_app.apphosting.app_id
  display_name     = "My Backend"
  serving_locality = "GLOBAL_ACCESS" # or "REGIONAL_STRICT"
  service_account  = google_service_account.service_account.email

  codebase {
    repository = google_developer_connect_git_repository_link.my-repository.name
    root_directory = "/"
  }
}

# Creates the service account for Firebase App Hosting
resource "google_service_account" "service_account" {
  provider = google-beta
  project  = google_firebase_project.apphosting.project

  # Must be firebase-app-hosting-compute
  account_id                   = "firebase-app-hosting-compute"
  display_name                 = "Firebase App Hosting compute service account"

  # Do not throw if already exists
  create_ignore_already_exists = true
}

# Adds permission to the App Hosting service account
resource "google_project_iam_member" "app_hosting_sa" {
  provider = google-beta
  project  = google_firebase_project.apphosting.project

  for_each = toset([
    "roles/developerconnect.readTokenAccessor",
    "roles/firebase.sdkAdminServiceAgent",
    "roles/firebaseapphosting.computeRunner"
  ])

  role   = each.key
  member = google_service_account.service_account.member
}

# Configures auto rollout from GitHub
resource "google_firebase_app_hosting_traffic" "example" {
  provider = google-beta

  project  = google_firebase_app_hosting_backend.example.project
  location = google_firebase_app_hosting_backend.example.location
  backend  = google_firebase_app_hosting_backend.example.backend_id

  rollout_policy {
    codebase_branch = "main" # Or another branch
  }
}

###

### Setting up a connection to GitHub ###

# Provisions Service Agent for Developer Connect
resource "google_project_service_identity" "devconnect-p4sa" {
  provider = google-beta
  project  = google_firebase_project.apphosting.project

  service  = "developerconnect.googleapis.com"
}

# Adds permission to Developer Connect Service Agent to manager GitHub tokens
resource "google_project_iam_member" "devconnect-secret" {
  provider = google-beta
  project  = google_firebase_project.apphosting.project

  role     = "roles/secretmanager.admin"
  member   = google_project_service_identity.devconnect-p4sa.member
}

# Connects to a GitHub account
resource "google_developer_connect_connection" "my-connection" {
  provider = google-beta
  project  = google_firebase_project.apphosting.project

  # Must match the google_firebase_app_hosting_backend's location
  location = "name-of-region-for-service"

  # Must be `firebase-app-hosting-github-oauth`
  connection_id = "firebase-app-hosting-github-oauth"
  github_config {
    github_app = "FIREBASE"
  }
  depends_on = [google_project_iam_member.devconnect-secret]
}

# Follow the next steps to set up the GitHub connection
# Tip: Run terraform refresh to obtain the output
output "next_steps" {
  description = "Follow the action_uri if present to continue setup"
  value = google_developer_connect_connection.my-connection.installation_state
}

# Links a GitHub repo to the project
resource "google_developer_connect_git_repository_link" "my-repository" {
  provider = google-beta
  project  = google_firebase_project.apphosting.project
  location = google_developer_connect_connection.my-connection.location

  git_repository_link_id = "my-repo-id"
  parent_connection = google_developer_connect_connection.my-connection.connection_id
  clone_uri = "https://github.com/myuser/myrepo.git"
}

###

Fehlerbehebung und häufig gestellte Fragen

Sie erhalten diese Fehlermeldung: `generic::permission_denied: Firebase Tos Not Accepted`.

Achten Sie darauf, dass das Nutzerkonto, mit dem Sie gcloud CLI-Befehle ausführen, die Firebase-Nutzungsbedingungen akzeptiert hat.

Sie können dies prüfen, indem Sie sich in einem Browser mit dem Nutzerkonto anmelden und versuchen, ein vorhandenes Firebase-Projekt in der Firebase-Konsole aufzurufen. Wenn Sie ein vorhandenes Firebase-Projekt aufrufen können, hat der Nutzer des Kontos die Firebase-Nutzungsbedingungen akzeptiert.
Wenn Sie keine vorhandenen Firebase-Projekte sehen können, hat der Nutzer des Kontos die Firebase-Nutzungsbedingungen wahrscheinlich noch nicht akzeptiert. Erstellen Sie dazu ein neues Firebase-Projekt über die Firebase-Konsole und akzeptieren Sie die Firebase-Nutzungsbedingungen im Rahmen der Projekterstellung. Sie können dieses Projekt sofort über die Projekteinstellungen in der Console löschen.

Nachdem Sie `terraform apply` ausgeführt haben, wird der folgende Fehler angezeigt: `generic::permission_denied: IAM authority does not have the permission`.

Warten Sie einige Minuten und versuchen Sie dann noch einmal, terraform apply auszuführen.

Das Erstellen einer Ressource ist fehlgeschlagen, aber wenn Sie `terraform apply` noch einmal ausführen, wird `ALREADY_EXISTS` angezeigt.

Das kann an einer Verzögerung bei der Übertragung in verschiedenen Systemen liegen. Versuchen Sie, das Problem zu beheben, indem Sie die Ressource in den Terraform-Zustand importieren. Führen Sie dazu terraform import aus. Versuchen Sie dann, terraform apply noch einmal auszuführen.

Informationen zum Importieren der einzelnen Ressourcen finden Sie im Abschnitt „Import“ der Terraform-Dokumentation (z. B. die Dokumentation zum Importieren für Cloud Firestore).

Wenn Sie mit Cloud Firestore arbeiten, wird dieser Fehler angezeigt: `Error creating Index: googleapi: Error 409;...Concurrent access -- try again`

Wie der Fehler andeutet, versucht Terraform möglicherweise, mehrere Indexe bereitzustellen und/oder gleichzeitig ein Dokument zu erstellen, und es ist ein Parallelitätsfehler aufgetreten. Versuchen Sie, terraform apply noch einmal auszuführen.

Sie erhalten diese Fehlermeldung: `"you may need to specify 'X-Goog-User-Project' HTTP header for quota and billing purposes"`.

Dieser Fehler bedeutet, dass Terraform nicht weiß, für welches Projekt das Kontingent geprüft werden soll. Prüfen Sie zur Fehlerbehebung Folgendes im resource-Block:

Achten Sie darauf, dass Sie einen Wert für das Attribut „project“ angegeben haben.
Achten Sie darauf, dass Sie den Anbieter mit user_project_override = true (kein Alias) verwenden. In den Firebase-Beispielen ist das google-beta.

Wenn Sie ein neues Google Cloud-Projekt erstellen, erhalten Sie die Fehlermeldung, dass die für das neue Projekt angegebene Projekt-ID bereits vorhanden ist.

Mögliche Gründe dafür, dass die Projekt-ID bereits vorhanden ist:

Das mit dieser ID verknüpfte Projekt gehört einer anderen Person.
- Lösung:Wählen Sie eine andere Projekt-ID aus.
Das Projekt, das mit dieser ID verknüpft ist, wurde vor Kurzem gelöscht (vorläufig gelöscht).
- Lösung:Wenn Sie der Meinung sind, dass das Projekt, das mit der ID verknüpft ist, Ihnen gehört, prüfen Sie den Status des Projekts mit der projects.get REST API.
Das mit dieser ID verknüpfte Projekt ist für den aktuellen Nutzer vorhanden. Eine mögliche Ursache für den Fehler könnte sein, dass ein vorheriger terraform apply unterbrochen wurde.
- Lösung: Führen Sie die folgenden Befehle aus:
  terraform import google_project.default PROJECT_ID und dann
  terraform import google_firebase_project.default PROJECT_ID

Wenn Sie versuchen, Cloud Storage (über `google_app_engine_application`) und dann Ihre Standardinstanz Cloud Firestore bereitzustellen, erhalten Sie diesen Fehler: `Error: Error creating Database: googleapi: Error 409: Database already exists. Please use another database_id`.

Wenn Sie den Standard-Cloud Storage-Bucket eines Projekts (über google_app_engine_application) bereitstellen und das Projekt noch keine Standard-Cloud Firestore-Instanz hat, wird die Standard-Cloud Firestore-Instanz des Projekts automatisch von google_app_engine_application bereitgestellt.

Da die Standardinstanz Cloud Firestore Ihres Projekts bereits bereitgestellt wurde, gibt google_firestore_database einen Fehler zurück, wenn Sie versuchen, diese Standardinstanz noch einmal explizit bereitzustellen.

Nachdem die standardmäßige Cloud Firestore-Instanz des Projekts bereitgestellt wurde, können Sie sie nicht noch einmal bereitstellen oder ihren Standort ändern. Die bereitgestellte Datenbankinstanz befindet sich im Datastore-Modus. Das bedeutet, dass sie nicht über Firebase-SDKs, die Authentifizierung oder Firebase Security Rules zugänglich ist. Wenn Sie Cloud Firestore mit diesen Firebase-Diensten verwenden möchten, müssen Sie die Datenbank leeren und dann den Datenbanktyp in der Google Cloud-Konsole ändern.

Erste Schritte mit Terraform und Firebase Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Was kann ich mit Terraform und Firebase tun?

Allgemeiner Workflow für die Verwendung von Terraform mit Firebase

Voraussetzungen

Schritt 1:Terraform-Konfigurationsdatei erstellen und anpassen

provider einrichten

Mit resource-Blöcken festlegen, welche Infrastruktur erstellt werden soll

Eine ausführlich kommentierte Version dieser Beispielkonfigurationsdatei ansehen

Schritt 2:Terraform-Befehle ausführen, um die angegebene Infrastruktur zu erstellen

Firebase-Ressourcen mit Terraform-Unterstützung

Firebase-Projekte und ‑Apps verwalten

Firebase Authentication

Firebase App Hosting

Firebase Data Connect

Firebase Realtime Database

Cloud Firestore

Cloud Storage for Firebase

Firebase Security Rules (für Cloud Firestore und Cloud Storage)

Firebase App Check

Firebase Extensions

Beispielhafte Terraform-Konfigurationsdateien für häufige Anwendungsfälle

Firebase Authentication mit GCIP einrichten

Firebase Data Connect-Dienst bereitstellen

Standardmäßige Firebase Realtime Database-Instanz bereitstellen

Mehrere Firebase Realtime Database-Instanzen bereitstellen

Standard-Cloud Firestore-Instanz bereitstellen

Standard-Cloud Storage-Bucket bereitstellen

Zusätzliche Cloud Storage-Buckets bereitstellen

API-Ressource mit Firebase App Check schützen

Firebase Extension-Instanz installieren

Firebase AI Logic aktivieren und schützen

App Hosting-Backend manuell bereitstellen

App Hosting-Backend mit GitHub bereitstellen

Fehlerbehebung und häufig gestellte Fragen

Sie möchten mehr über die verschiedenen projektbezogenen Attribute wie project und user_project_override erfahren.

Sie erhalten diese Fehlermeldung: generic::permission_denied: Firebase Tos Not Accepted.

Nachdem Sie terraform apply ausgeführt haben, wird der folgende Fehler angezeigt: generic::permission_denied: IAM authority does not have the permission.

Das Erstellen einer Ressource ist fehlgeschlagen, aber wenn Sie terraform apply noch einmal ausführen, wird ALREADY_EXISTS angezeigt.

Wenn Sie mit Cloud Firestore arbeiten, wird dieser Fehler angezeigt: Error creating Index: googleapi: Error 409;...Concurrent access -- try again

Sie erhalten diese Fehlermeldung: "you may need to specify 'X-Goog-User-Project' HTTP header for quota and billing purposes".

Wenn Sie ein neues Google Cloud-Projekt erstellen, erhalten Sie die Fehlermeldung, dass die für das neue Projekt angegebene Projekt-ID bereits vorhanden ist.

Warum müssen Sie die Standardinstanz Cloud Firestore vor dem Standard-Bucket Cloud Storage bereitstellen?

Wenn Sie versuchen, Cloud Storage (über google_app_engine_application) und dann Ihre Standardinstanz Cloud Firestore bereitzustellen, erhalten Sie diesen Fehler: Error: Error creating Database: googleapi: Error 409: Database already exists. Please use another database_id.

Erste Schritte mit Terraform und Firebase

`provider` einrichten

Mit `resource`-Blöcken festlegen, welche Infrastruktur erstellt werden soll

Sie möchten mehr über die verschiedenen projektbezogenen Attribute wie `project` und `user_project_override` erfahren.

Sie erhalten diese Fehlermeldung: `generic::permission_denied: Firebase Tos Not Accepted`.

Nachdem Sie `terraform apply` ausgeführt haben, wird der folgende Fehler angezeigt: `generic::permission_denied: IAM authority does not have the permission`.

Das Erstellen einer Ressource ist fehlgeschlagen, aber wenn Sie `terraform apply` noch einmal ausführen, wird `ALREADY_EXISTS` angezeigt.

Wenn Sie mit Cloud Firestore arbeiten, wird dieser Fehler angezeigt: `Error creating Index: googleapi: Error 409;...Concurrent access -- try again`

Sie erhalten diese Fehlermeldung: `"you may need to specify 'X-Goog-User-Project' HTTP header for quota and billing purposes"`.

Wenn Sie versuchen, Cloud Storage (über `google_app_engine_application`) und dann Ihre Standardinstanz Cloud Firestore bereitzustellen, erhalten Sie diesen Fehler: `Error: Error creating Database: googleapi: Error 409: Database already exists. Please use another database_id`.