Melakukan Autentikasi ke Firestore

Dokumen ini menjelaskan cara melakukan autentikasi ke Firestore secara terprogram. Cara melakukan autentikasi ke Firestore bergantung pada antarmuka yang Anda gunakan untuk mengakses API dan lingkungan tempat kode Anda dijalankan.

Informasi di halaman ini berlaku saat Anda menggunakan library klien server serta REST dan RPC API. Jika Anda menggunakan library klien untuk klien seluler atau web, autentikasi dikelola dengan kombinasi aturan keamanan Firestore dan Firebase Auth. Untuk informasi selengkapnya, lihat Mengamankan data untuk klien seluler dan web.

Untuk mengetahui informasi selengkapnya tentang autentikasi Google Cloud, lihat ringkasan autentikasi.

Akses API

Firestore mendukung akses terprogram. Anda dapat mengakses API dengan cara berikut:

Library klien
Google Cloud CLI

Library klien

Library klien Firestore menyediakan dukungan bahasa tingkat tinggi untuk melakukan autentikasi ke Firestore secara terprogram. Untuk mengautentikasi panggilan ke Google Cloud API, library klien mendukung Kredensial Default Aplikasi (ADC); library akan mencari kredensial di sekumpulan lokasi yang ditentukan dan menggunakan kredensial tersebut untuk mengautentikasi permintaan ke API. Dengan ADC, Anda dapat membuat kredensial tersedia untuk aplikasi di berbagai lingkungan, seperti produksi atau pengembangan lokal, tanpa perlu mengubah kode aplikasi.

Google Cloud CLI

Saat menggunakan gcloud CLI untuk mengakses Firestore, Anda login ke gcloud CLI dengan Akun Google, yang memberikan kredensial yang digunakan oleh perintah gcloud CLI.

Jika kebijakan keamanan organisasi Anda mencegah akun pengguna memiliki izin yang diperlukan, Anda dapat menggunakan peniruan akun layanan.

Untuk mengetahui informasi selengkapnya, silakan melihat Melakukan autentikasi untuk menggunakan gcloud CLI. Untuk mengetahui informasi lebih lanjut tentang cara menggunakan gcloud CLI dengan Firestore, lihat halaman referensi gcloud CLI.

Menyiapkan autentikasi untuk Firestore

Cara Anda menyiapkan autentikasi bergantung pada lingkungan tempat kode Anda berjalan.

Opsi untuk menyiapkan autentikasi berikut adalah yang paling umum digunakan. Untuk opsi dan informasi lainnya tentang autentikasi, silakan melihat Autentikasi di Google.

Untuk lingkungan pengembangan lokal

Anda dapat menyiapkan kredensial untuk lingkungan pengembangan lokal dengan cara berikut:

Kredensial pengguna untuk library klien atau alat pihak ketiga

Library klien atau alat pihak ketiga

Siapkan Kredensial Default Aplikasi (ADC) di lingkungan lokal Anda:

Instal Google Cloud CLI, lalu initialize dengan menjalankan perintah berikut:
```
gcloud init
```

Buat kredensial autentikasi lokal untuk Akun Google Anda:
```
gcloud auth application-default login
```
Layar login akan ditampilkan. Setelah login, kredensial Anda disimpan dalam file kredensial lokal yang digunakan oleh ADC.

Untuk mengetahui informasi selengkapnya tentang cara bekerja dengan ADC di lingkungan lokal, silakan melihat Lingkungan pengembangan lokal.

Di Google Cloud

Untuk mengautentikasi workload yang berjalan di Google Cloud, Anda menggunakan kredensial akun layanan yang dilampirkan ke resource komputasi tempat kode Anda dijalankan. Misalnya, Anda dapat memasang akun layanan ke instance virtual machine (VM) Compute Engine, layanan Cloud Run, atau tugas Dataflow. Pendekatan ini adalah metode autentikasi yang direkomendasikan untuk kode yang berjalan di resource komputasi Google Cloud.

Untuk sebagian besar layanan, Anda harus memasang akun layanan saat membuat resource yang akan menjalankan kode Anda; Anda tidak dapat menambahkan atau mengganti akun layanan nanti. Compute Engine merupakan pengecualian—Anda dapat memasang akun layanan ke instance VM kapan saja.

Gunakan gcloud CLI untuk membuat akun layanan dan memasangnya ke resource Anda:

Instal Google Cloud CLI, lalu initialize dengan menjalankan perintah berikut:
```
gcloud init
```
Menyiapkan autentikasi:
1. Buat akun layanan:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
  Ganti SERVICE_ACCOUNT_NAME dengan nama untuk akun layanan.
2. Untuk memberikan akses ke project dan resource Anda, berikan peran ke akun layanan:
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE
```
  Ganti kode berikut:
  - SERVICE_ACCOUNT_NAME: nama dari akun layanan.
  - PROJECT_ID: project ID dimana Anda membuat akun layanan
  - ROLE: peran yang akan diberikan
  Catatan: Flag --role memengaruhi resource mana saja yang dapat diakses oleh akun layanan dalam proyek Anda. Anda dapat mencabut peran ini atau memberikan peran tambahan di lain waktu. Dalam lingkungan produksi, jangan berikan peran Owner, Editor, atau Viewer. Sebagai gantinya, berikan peran standar atau peran khusus yang memenuhi kebutuhan Anda.
3. Untuk memberikan peran lain ke akun layanan, jalankan perintah seperti yang Anda lakukan di langkah sebelumnya.
4. Memberi Akun Google Anda peran yang memungkinkan Anda menggunakan peran akun layanan dan tambahkan akun layanan tersebut ke resource lain:
```
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser
```
  Ganti kode berikut:
  - SERVICE_ACCOUNT_NAME: nama dari akun layanan.
  - PROJECT_ID: project ID dimana Anda membuat akun layanan
  - USER_EMAIL: alamat email untuk Akun Google Anda
Buat resource yang akan menjalankan kode Anda, lalu instal akun layanan ke resource tersebut. Misalnya, jika Anda menggunakan Compute Engine:
Buat instance Compute Engine. Konfigurasikan instance sebagai berikut:
- Ganti INSTANCE_NAME dengan nama instance pilihan Anda.
- Tetapkan flag --zone ke zona tempat Anda ingin membuat instance.
- Tetapkan flag --service-account ke alamat email untuk akun layanan yang Anda buat.
```
gcloud compute instances create INSTANCE_NAME --zone=ZONE --service-account=SERVICE_ACCOUNT_EMAIL
```

Untuk mengetahui informasi selengkapnya tentang cara melakukan autentikasi ke Google API, silakan melihat Autentikasi di Google.

Lokal atau di penyedia cloud lain

Metode yang direkomendasikan untuk menyiapkan autentikasi dari luar Google Cloud adalah menggunakan workload identity federation. Untuk mengetahui informasi selengkapnya, lihat Penyedia lokal atau penyedia cloud lainnya dalam dokumentasi autentikasi.

Kontrol akses untuk Firestore

Setelah melakukan autentikasi ke Firestore, Anda harus diberi otorisasi untuk mengakses resource Google Cloud. Firestore menggunakan Identity and Access Management (IAM) untuk otorisasi.

Untuk mengetahui informasi selengkapnya tentang peran Firestore, lihat Keamanan untuk library klien server. Untuk mengetahui informasi selengkapnya tentang IAM dan otorisasi, lihat Ringkasan IAM.

Langkah selanjutnya

Pelajari metode autentikasi Google Cloud.
Lihat daftar kasus penggunaan autentikasi.