Firestore に対して認証を行う

このドキュメントでは、Firestore に対する認証をプログラムで行う方法について説明します。 Firestore に対する認証方法は、API へのアクセスに使用するインターフェースと、コードが実行されている環境によって異なります。

このページの情報は、サーバー クライアント ライブラリと REST API と RPC API を使用する場合に適用されます。モバイル クライアントまたはウェブ クライアントにクライアント ライブラリを使用している場合、認証は Firestore セキュリティ ルールと Firebase Auth の組み合わせによって管理されます。詳細については、モバイル クライアントとウェブ クライアントのデータを保護するをご覧ください。

Google Cloud の認証の詳細については、認証の概要をご覧ください。

API アクセス

Firestore はプログラムによるアクセスをサポートしています。次の方法で API にアクセスできます。

クライアント ライブラリ

Firestore クライアント ライブラリでは、Firestore に対する認証をプログラムで行うための高レベルの言語サポートを提供します。 Google Cloud APIs の呼び出しを認証するために、クライアント ライブラリではアプリケーションのデフォルト認証情報(ADC)がサポートされています。このライブラリは、一連の定義済みのロケーションの中から認証情報を探し、その認証情報を使用して API へのリクエストを認証します。ADC を使用すると、アプリケーション コードを変更することなく、ローカルでの開発や本番環境など、さまざまな環境のアプリケーションで認証情報を使用できるようになります。

Google Cloud CLI

gcloud CLI を使用して Firestore にアクセスする場合は、gcloud CLI コマンドが使用する認証情報を提供する Google アカウントで gcloud CLI にログインします。

組織のセキュリティ ポリシーによってユーザー アカウントに必要な権限が与えられない場合は、サービス アカウントの権限借用を使用できます。

詳細については、gcloud CLI を使用して認証するをご覧ください。Firestore で gcloud CLI を使用する詳しい方法については、gcloud CLI のリファレンス ページをご覧ください。

Firestore の認証を設定する

認証の設定方法は、コードが実行されている環境によって異なります。

認証の設定には、次のオプションが最も一般的に使用されます。認証のその他のオプションと詳細については、認証方法をご覧ください。

ローカル開発環境の場合

ローカル開発環境の認証情報は、次の方法で設定できます。

クライアント ライブラリまたはサードパーティ ツール

ローカル環境でアプリケーションのデフォルト認証情報(ADC)を設定します。

  1. Install the Google Cloud CLI, then initialize it by running the following command:

    gcloud init
  2. If you're using a local shell, then create local authentication credentials for your user account:

    gcloud auth application-default login

    You don't need to do this if you're using Cloud Shell.

    ログイン画面が表示されます。ログインすると、ADC で使用されるローカル認証情報ファイルに認証情報が保存されます。

ローカル環境での ADC 操作の詳細については、ローカル開発環境の ADC を設定するをご覧ください。

サービス アカウントの権限借用

ほとんどの場合、ユーザー認証情報を使用してローカル開発環境から認証できます。これが不可能な場合、またはサービス アカウントに割り当てられた権限をテストする必要がある場合は、サービス アカウントの権限借用を使用できます。iam.serviceAccounts.getAccessToken 権限が必要です。この権限は、サービス アカウント トークン作成者roles/iam.serviceAccountTokenCreator)IAM ロールに含まれています。

サービス アカウントの権限借用を使用するように gcloud CLI を設定するには、gcloud config set コマンドを使用します。

gcloud config set auth/impersonate_service_account SERVICE_ACCT_EMAIL

一部の言語では、サービス アカウントの権限借用を使用して、クライアント ライブラリで使用するローカル ADC ファイルを作成できます。このアプローチは、Go、Java、Node.js、Python のクライアント ライブラリでのみサポートされています。他の言語ではサポートされていません。サービス アカウントの権限借用を使用してローカル ADC ファイルを設定するには、gcloud auth application-default login コマンド--impersonate-service-account フラグを使用します。

gcloud auth application-default login --impersonate-service-account=SERVICE_ACCT_EMAIL

サービス アカウントの権限借用の詳細については、サービス アカウントの権限借用を使用するをご覧ください。

Google Cloud

Google Cloud で実行されているワークロードを認証するには、Compute Engine 仮想マシン(VM)インスタンスなど、コードが実行されているコンピューティング リソースにアタッチされているサービス アカウントの認証情報を使用します。 このアプローチは、Google Cloud コンピューティング リソースで実行されているコードの推奨認証方法です。

ほとんどのサービスでは、コードを実行するリソースの作成時にサービス アカウントを関連付ける必要があります。サービス アカウントを後から追加または置換することはできません。Compute Engine は例外で、サービス アカウントをいつでも VM インスタンスに関連付けることができます。

gcloud CLI を使用してサービス アカウントを作成し、リソースに接続します。

  1. Install the Google Cloud CLI, then initialize it by running the following command:

    gcloud init
  2. Set up authentication:

    1. Create the service account:

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME

      Replace SERVICE_ACCOUNT_NAME with a name for the service account.

    2. To provide access to your project and your resources, grant a role to the service account:

      gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE

      Replace the following:

      • SERVICE_ACCOUNT_NAME: the name of the service account
      • PROJECT_ID: the project ID where you created the service account
      • ROLE: the role to grant
    3. To grant another role to the service account, run the command as you did in the previous step.
    4. Grant the required role to the principal that will attach the service account to other resources.

      gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser

      Replace the following:

      • SERVICE_ACCOUNT_NAME: the name of the service account
      • PROJECT_ID: the project ID where you created the service account
      • USER_EMAIL: the email address for a Google Account
  3. コードを実行するリソースを作成し、そのリソースにサービス アカウントを関連付けます。たとえば、Compute Engine を使用する場合は次のようになります。

    Create a Compute Engine instance. Configure the instance as follows:
    • INSTANCE_NAME を必要なインスタンス名に置き換えます。
    • インスタンスを作成するゾーン--zone フラグを設定します。
    • --service-account フラグに、作成したサービス アカウントのメールアドレスを設定します。
    • gcloud compute instances create INSTANCE_NAME --zone=ZONE --service-account=SERVICE_ACCOUNT_EMAIL

Google API に対する認証について詳しくは、認証方法をご覧ください。

オンプレミスまたは別のクラウド プロバイダ

Google Cloud の外部から認証を設定する際の推奨方法は、Workload Identity 連携の使用です。詳細については、認証ドキュメントのオンプレミスまたは他のクラウド プロバイダの ADC を設定するをご覧ください。

Firestore のアクセス制御

Firestore への認証後、Google Cloud リソースへのアクセスが認可される必要があります。Firestore では Identity and Access Management(IAM)を使用して認可を行います。

Firestore のロールの詳細については、サーバー クライアント ライブラリのセキュリティをご覧ください。 IAM と認可の詳細については、IAM の概要をご覧ください。

次のステップ