Google Cloud offre Identity and Access Management (IAM), che consente di concedere un accesso più granulare a risorse Google Cloud specifiche e impedisce l'accesso indesiderato ad altre risorse. Questa pagina descrive i ruoli IAM di Firestore in modalità Datastore. Per una descrizione dettagliata di IAM, leggi la documentazione IAM.
IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo l'accesso necessario alle tue risorse.
IAM consente di controllare chi (utenti) dispone dell'autorizzazione quale (ruoli) per quali risorse impostando i criteri IAM. I criteri IAM concedono ruoli specifici a un utente e assegnano a quest'ultimo determinate autorizzazioni. Ad esempio, puoi concedere il ruolo datastore.indexAdmin a un utente e quest'ultimo può creare, modificare, eliminare, elencare o visualizzare indici.
Autorizzazioni e ruoli
Questa sezione riassume le autorizzazioni e i ruoli supportati da Firestore in modalità Datastore.
Autorizzazioni
Nella tabella seguente sono elencate le autorizzazioni supportate da Firestore in modalità Datastore.
| Nome autorizzazione database | Descrizione | |
|---|---|---|
datastore.databases.export |
Esporta le entità da un database. | |
datastore.databases.get |
Avvia o esegui il rollback di una transazione. | |
datastore.databases.import |
Importare le entità in un database. | |
datastore.databases.getMetadata |
Legge i metadati da un database. | |
datastore.databases.list |
Elencare i database in un progetto. | |
datastore.databases.create |
Creare un database. | |
datastore.databases.update |
Aggiorna un database. | |
datastore.databases.delete |
Eliminare un database. | |
datastore.databases.createTagBinding |
Crea un'associazione di tag per un database. | |
datastore.databases.deleteTagBinding |
Elimina un'associazione di tag per un database. | |
datastore.databases.listTagBindings |
Elenca tutte le associazioni di tag per un database. | |
datastore.databases.listEffectiveTagBindings |
Elenca le associazioni di tag effettive per un database. | |
| Nome autorizzazione entità | Descrizione | |
datastore.entities.allocateIds |
Alloca gli ID per le chiavi con un percorso incompleto. | |
datastore.entities.create |
Creare un'entità. | |
datastore.entities.delete |
Eliminare un'entità. | |
datastore.entities.get |
Lettura di un'entità. | |
datastore.entities.list |
Elenca le chiavi delle entità in un progetto. (Per accedere ai dati dell'entità è necessario datastore.entities.get). |
|
datastore.entities.update |
Aggiorna un'entità. | |
| Nome autorizzazione indice | Descrizione | |
datastore.indexes.create |
Crea un indice. | |
datastore.indexes.delete |
Elimina un indice. | |
datastore.indexes.get |
Legge i metadati da un indice. | |
datastore.indexes.list |
Elenca gli indici in un progetto. | |
datastore.indexes.update |
Aggiorna un indice. | |
| Nome autorizzazione spazio dei nomi | Descrizione | |
datastore.namespaces.get |
Recupera i metadati da uno spazio dei nomi. | |
datastore.namespaces.list |
Elenca gli spazi dei nomi in un progetto. | |
| Nome autorizzazione operazione | Descrizione | |
datastore.operations.cancel |
Annulla un'operazione a lunga esecuzione. | |
datastore.operations.delete |
Elimina un'operazione a lunga esecuzione. | |
datastore.operations.get |
Recupera lo stato più recente di un'operazione a lunga esecuzione. | |
datastore.operations.list |
Elenca le operazioni a lunga esecuzione. | |
| Nome autorizzazione progetto | Descrizione | |
resourcemanager.projects.get |
Sfoglia le risorse nel progetto. | |
resourcemanager.projects.list |
Elenca i progetti di proprietà. | |
| Nome autorizzazione statistiche | Descrizione | |
datastore.statistics.get |
Recupera le entità statistiche. | |
datastore.statistics.list |
Elenca le chiavi delle entità di statistiche. (Per accedere ai dati delle entità statistiche è necessario datastore.statistics.get.) |
|
| Nome autorizzazione App Engine | Descrizione | |
appengine.applications.get |
Accesso in sola lettura a tutte le configurazioni e le impostazioni delle applicazioni App Engine. | |
| Nome autorizzazione posizione | Descrizione | |
datastore.locations.get |
Ottieni dettagli sulla posizione di un database. Necessario per creare un nuovo database. | |
datastore.locations.list |
Elenca le località dei database disponibili. Necessario per creare un nuovo database. | |
| Nome autorizzazione Key Visualizer | Descrizione | |
datastore.keyVisualizerScans.get |
Ottieni dettagli sulle analisi di Key Visualizer. | |
datastore.keyVisualizerScans.list |
Elenca le analisi di Key Visualizer disponibili. | |
| Nome autorizzazione backup pianificazione | Descrizione | |
datastore.backupSchedules.get |
Ottenere dettagli su una pianificazione del backup. | |
datastore.backupSchedules.list |
Elenca le pianificazioni del backup disponibili. | |
datastore.backupSchedules.create |
Crea una pianificazione del backup. | |
datastore.backupSchedules.update |
Aggiorna una pianificazione del backup. | |
datastore.backupSchedules.delete |
Elimina una pianificazione del backup. | |
| Nome autorizzazione backup | Descrizione | |
datastore.backups.get |
Scoprire i dettagli di un backup. | |
datastore.backups.list |
Elenca i backup disponibili. | |
datastore.backups.delete |
Eliminare un backup. | |
datastore.backups.restoreDatabase |
Ripristina un database da un backup. |
Ruoli predefiniti
Con IAM, ogni metodo dell'API Datastore richiede che l'account che ha effettuato la richiesta API disponga delle autorizzazioni appropriate per utilizzare la risorsa. Le autorizzazioni vengono concesse impostando criteri che concedono ruoli a un utente, un gruppo o un account di servizio. Oltre ai ruoli di base Proprietario, Editor e Visualizzatore, puoi concedere i ruoli Firestore in modalità Datastore agli utenti del tuo progetto.
Nella tabella seguente sono elencati i ruoli IAM di Firestore in modalità Datastore. Puoi concedere più ruoli a un account utente, gruppo o account di servizio.
| Ruolo | Autorizzazioni | Descrizione |
|---|---|---|
roles/datastore.owner |
appengine.applications.getdatastore.*resourcemanager.projects.getresourcemanager.projects.list |
Accesso completo all'istanza di database. Per l'accesso Amministratore Datastore, concedi il ruolo appengine.appAdmin all'entità. |
roles/datastore.user |
appengine.applications.getdatastore.databases.getdatastore.databases.getMetadatadatastore.databases.listdatastore.entities.*datastore.indexes.listdatastore.namespaces.getdatastore.namespaces.listdatastore.statistics.getdatastore.statistics.listresourcemanager.projects.getresourcemanager.projects.list |
Accesso in lettura/scrittura ai dati in un database in modalità Datastore. Destinato agli sviluppatori di applicazioni e agli account di servizio. |
roles/datastore.viewer |
appengine.applications.getdatastore.databases.getdatastore.databases.getMetadatadatastore.databases.listdatastore.entities.getdatastore.entities.listdatastore.indexes.getdatastore.indexes.listdatastore.namespaces.getdatastore.namespaces.listdatastore.statistics.getdatastore.statistics.listresourcemanager.projects.getresourcemanager.projects.list |
Accesso in lettura a tutte le risorse di database in modalità Datastore. |
roles/datastore.importExportAdmin |
appengine.applications.getdatastore.databases.exportdatastore.databases.getMetadatadatastore.databases.importdatastore.operations.canceldatastore.operations.getdatastore.operations.listresourcemanager.projects.getresourcemanager.projects.list |
Accesso completo per la gestione di importazioni ed esportazioni. |
roles/datastore.indexAdmin |
appengine.applications.getdatastore.databases.getMetadatadatastore.indexes.*resourcemanager.projects.getresourcemanager.projects.list |
Accesso completo per la gestione delle definizioni di indice. |
roles/datastore.keyVisualizerViewer |
datastore.databases.getMetadatadatastore.keyVisualizerScans.getdatastore.keyVisualizerScans.listresourcemanager.projects.getresourcemanager.projects.list |
Accesso completo alle scansioni di Key Visualizer. |
roles/datastore.backupSchedulesViewer |
datastore.backupSchedules.getdatastore.backupSchedules.list |
Accesso in lettura alle pianificazioni dei backup in un database in modalità Datastore. |
roles/datastore.backupSchedulesAdmin |
datastore.backupSchedules.getdatastore.backupSchedules.listdatastore.backupSchedules.createdatastore.backupSchedules.updatedatastore.backupSchedules.deletedatastore.databases.listdatastore.databases.getMetadata |
Accesso completo alle pianificazioni dei backup in un database in modalità Datastore. |
roles/datastore.backupsViewer |
datastore.backups.getdatastore.backups.list |
Accesso in lettura alle informazioni sul backup in una posizione in modalità Datastore. |
roles/datastore.backupsAdmin |
datastore.backups.getdatastore.backups.listdatastore.backups.delete |
Accesso completo ai backup in una posizione in modalità Datastore. |
roles/datastore.restoreAdmin |
datastore.backups.getdatastore.backups.listdatastore.backups.restoreDatabasedatastore.databases.listdatastore.databases.createdatastore.databases.getMetadatadatastore.operations.listdatastore.operations.get |
Possibilità di ripristinare un backup in modalità Datastore in un nuovo database. Questo ruolo offre anche la possibilità di creare nuovi database, non necessariamente ripristinando un backup. |
Ruoli personalizzati
Se i ruoli predefiniti non soddisfano i tuoi requisiti aziendali, puoi definire ruoli personalizzati con le autorizzazioni da te specificate:
Autorizzazioni richieste per i metodi API
La tabella seguente elenca le autorizzazioni di cui il chiamante deve disporre per chiamare ciascun metodo:
| Metodo | Autorizzazioni richieste |
|---|---|
allocateIds |
datastore.entities.allocateIds |
beginTransaction |
datastore.databases.get |
commit per un inserto |
datastore.entities.create |
commit per un upsert |
datastore.entities.createdatastore.entities.update |
commit per un aggiornamento |
datastore.entities.update |
commit per un'eliminazione |
datastore.entities.delete |
commit per una ricerca |
datastore.entities.getPer una ricerca relativa a metadati o statistiche, consulta Autorizzazioni richieste per metadati e statistiche. |
commit per una query |
datastore.entities.listdatastore.entities.get (se la query non è una query basata solo sulle chiavi)Per una query relativa a metadati o statistiche, consulta l'articolo Autorizzazioni richieste per metadati e statistiche. |
lookup |
datastore.entities.getPer una ricerca relativa a metadati o statistiche, consulta Autorizzazioni richieste per metadati e statistiche. |
rollback |
datastore.databases.get |
runQuery |
datastore.entities.listdatastore.entities.get (se la query non è una query basata solo sulle chiavi)Per una query relativa a metadati o statistiche, consulta l'articolo Autorizzazioni richieste per metadati e statistiche. |
runQuery con una query senza genere |
datastore.entities.getdatastore.entities.listdatastore.statistics.getdatastore.statistics.list |
Autorizzazioni richieste per metadati e statistiche
Nella tabella seguente sono elencate le autorizzazioni che il chiamante deve avere per richiamare i metodi su Metadati e Statistiche.
| Metodo | Autorizzazioni richieste |
|---|---|
lookup di entità con nomi di tipo corrispondenti a __Stat_*__ |
datastore.statistics.get |
runQuery utilizzando tipi i cui nomi corrispondono a __Stat_*__ |
datastore.statistics.getdatastore.statistics.list |
runQuery utilizzando il tipo __namespace__ |
datastore.namespaces.getdatastore.namespaces.list |
Ruoli richiesti per creare un'istanza di database in modalità Datastore
Per creare una nuova istanza di database in modalità Datastore, devi avere il ruolo Proprietario o il ruolo Proprietario datastore.
I database in modalità Datastore richiedono un'applicazione App Engine attiva.
Se il progetto non ha un'applicazione, Firestore in modalità Datastore ne crea una
per te. In questo caso, devi disporre dell'autorizzazione appengine.applications.create dal ruolo Proprietario o da un ruolo IAM personalizzato contenente l'autorizzazione.
Latenza modifica ruolo
Firestore in modalità Datastore memorizza nella cache le autorizzazioni IAM per 5 minuti, quindi saranno necessari fino a 5 minuti prima che la modifica del ruolo diventi effettiva.
Gestione di IAM
Puoi ottenere e impostare i criteri IAM utilizzando la console Google Cloud, i metodi IAM o Google Cloud CLI.
- Per la console Google Cloud, vedi Controllo dell'accesso tramite la console Google Cloud.
- Per i metodi IAM, consulta Controllo dell'accesso tramite l'API.
- Per gcloud CLI, vedi Controllo dell'accesso tramite lo strumento gcloud.
Configurare le autorizzazioni di accesso condizionale
Puoi utilizzare le condizioni IAM per definire e applicare controllo dell'accesso condizionale.
Ad esempio, la seguente condizione assegna il ruolo datastore.user a un'entità fino a una data specificata:
{
"role": "roles/datastore.user",
"members": [
"user:travis@example.com"
],
"condition": {
"title": "Expires_December_1_2023",
"description": "Expires on December 1, 2023",
"expression":
"request.time < timestamp('2023-12-01T00:00:00.000Z')"
}
}
Per scoprire come definire le condizioni IAM per l'accesso temporaneo, consulta Configurare l'accesso temporaneo.
Per scoprire come configurare le condizioni IAM per l'accesso a uno o più database, consulta Configurare le condizioni di accesso ai database.
Passaggi successivi
- Scopri di più su IAM.
- Concedi ruoli IAM.