Sicurezza per le librerie client server

Quando utilizzi le librerie client del server per Firestore, puoi gestire l'accesso alle tue risorse con Identity and Access Management (IAM). IAM ti consente di concedere un accesso più granulare a risorse specifiche della piattaforma Google Cloud e impedisce l'accesso indesiderato ad altre risorse. Questa pagina descrive i ruoli e le autorizzazioni IAM per Firestore. Per una descrizione dettagliata di IAM, consulta la documentazione di IAM.

IAM ti consente di adottare il principio di sicurezza del privilegio minimo, in modo da concedere solo il livello di accesso necessario per le tue risorse.

IAM ti consente di controllare chi (utente) ha quale (ruolo) autorizzazione per quali risorse impostando i criteri IAM. I criteri IAM concedono uno o più ruoli a un utente, assegnandogli determinate autorizzazioni. Ad esempio, puoi concedere il ruolo datastore.indexAdmin a un utente, che gli consente di creare, modificare, eliminare, elencare o visualizzare gli indici.

Autorizzazioni e ruoli

Questa sezione riepiloga le autorizzazioni e i ruoli supportati da Firestore.

Autorizzazioni richieste per i metodi API

Nella tabella seguente sono elencate le autorizzazioni che l'utente che chiama deve disporre per eseguire ogni azione:

Metodo Autorizzazioni obbligatorie
projects.databases.documents
batchGet datastore.entities.get
Aggiornamento o trasformazione di batchWrite con precondizione esistente impostata su false datastore.entities.create
Aggiornamento o trasformazione di batchWrite con precondizione esistente impostata su true datastore.entities.create
Aggiornamento o trasformazione di batchWrite senza precondizione datastore.entities.create
datastore.entities.update
beginTransaction datastore.databases.get
Aggiornamento o trasformazione di commit con precondizione esistente impostata su false datastore.entities.create
Aggiornamento o trasformazione di commit con precondizione esistente impostata su true datastore.entities.update
Aggiornamento o trasformazione di commit senza precondizione datastore.entities.create
datastore.entities.update
commit elimina datastore.entities.delete
createDocument datastore.entities.create
delete datastore.entities.delete
get datastore.entities.get
list datastore.entities.get
datastore.entities.list
listCollectionIds datastore.entities.list
partitionQuery datastore.entities.get
datastore.entities.list
patch datastore.entities.update
rollback datastore.databases.get
runAggregationQuery datastore.entities.get
datastore.entities.list
runQuery datastore.entities.get
datastore.entities.list
Aggiornamento o trasformazione di write (RPC) con precondizione esistente impostata su false datastore.entities.create
Aggiornamento o trasformazione di write (RPC) con precondizione esistente impostata su true datastore.entities.update
Aggiornamento o trasformazione di write (RPC) senza precondizione datastore.entities.create
datastore.entities.update
write (RPC) elimina datastore.entities.delete
projects.databases.indexes
create datastore.indexes.create
delete datastore.indexes.delete
get datastore.indexes.get
list datastore.indexes.list
projects.databases
create datastore.databases.create
delete datastore.databases.delete
get datastore.databases.getMetadata
list datastore.databases.list
patch datastore.databases.update
restore datastore.backups.restoreDatabase
projects.locations
get datastore.locations.get
list datastore.locations.list
projects.databases.backupschedules
get datastore.backupSchedules.get
list datastore.backupSchedules.list
create datastore.backupSchedules.create
update datastore.backupSchedules.update
delete datastore.backupSchedules.delete
projects.locations.backups
get datastore.backups.get
list datastore.backups.list
delete datastore.backups.delete

Ruoli predefiniti

Con IAM, ogni metodo dell'API in Firestore richiede che l'account che effettua la richiesta dell'API disponga delle autorizzazioni appropriate per utilizzare la risorsa. Le autorizzazioni vengono concesse impostando criteri che assegnano ruoli a un utente, a un gruppo o a un account di servizio. Oltre ai ruoli di base, proprietario, editor e visualizzatore, puoi assegnare i ruoli Firestore agli utenti del tuo progetto.

La tabella seguente elenca i ruoli IAM di Firestore. Puoi concedere più ruoli a un utente, a un gruppo o a un account di servizio.

Ruolo Autorizzazioni Descrizione
roles/datastore.owner appengine.applications.get

datastore.*

resourcemanager.projects.get
resourcemanager.projects.list
Accesso completo a Firestore.
roles/datastore.user appengine.applications.get

datastore.databases.get
datastore.databases.getMetadata
datastore.databases.list
datastore.entities.*
datastore.indexes.list
datastore.namespaces.get
datastore.namespaces.list
datastore.statistics.get
datastore.statistics.list

resourcemanager.projects.get
resourcemanager.projects.list
Accesso in lettura/scrittura ai dati in un database Firestore. Destinato agli sviluppatori di applicazioni e agli account di servizio.
roles/datastore.viewer appengine.applications.get

datastore.databases.get
datastore.databases.getMetadata
datastore.databases.list
datastore.entities.get
datastore.entities.list
datastore.indexes.get
datastore.indexes.list
datastore.namespaces.get
datastore.namespaces.list
datastore.statistics.get
datastore.statistics.list

resourcemanager.projects.get
resourcemanager.projects.list
Accesso in lettura a tutte le risorse Firestore.
roles/datastore.importExportAdmin appengine.applications.get
datastore.databases.export
datastore.databases.getMetadata
datastore.databases.import
datastore.operations.cancel
datastore.operations.get
datastore.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
Accesso completo per la gestione di importazioni ed esportazioni.
roles/datastore.indexAdmin appengine.applications.get

datastore.databases.getMetadata

datastore.indexes.*

resourcemanager.projects.get
resourcemanager.projects.list
Accesso completo per la gestione delle definizioni di indice.
roles/datastore.keyVisualizerViewer datastore.databases.getMetadata
datastore.keyVisualizerScans.get
datastore.keyVisualizerScans.list
resourcemanager.projects.get
resourcemanager.projects.list
Accesso completo alle scansioni di Key Visualizer.
roles/datastore.backupSchedulesViewer datastore.backupSchedules.get
datastore.backupSchedules.list
Accesso in lettura alle pianificazioni dei backup in un database Firestore.
roles/datastore.backupSchedulesAdmin datastore.backupSchedules.get
datastore.backupSchedules.list
datastore.backupSchedules.create
datastore.backupSchedules.update
datastore.backupSchedules.delete
datastore.databases.list
datastore.databases.getMetadata
Accesso completo alle pianificazioni dei backup in un database Firestore.
roles/datastore.backupsViewer datastore.backups.get
datastore.backups.list
Accesso in lettura alle informazioni di backup in una posizione Firestore.
roles/datastore.backupsAdmin datastore.backups.get
datastore.backups.list
datastore.backups.delete
Accesso completo ai backup in una posizione Firestore.
roles/datastore.restoreAdmin datastore.backups.get
datastore.backups.list
datastore.backups.restoreDatabase
datastore.databases.list
datastore.databases.create
datastore.databases.getMetadata
datastore.operations.list
datastore.operations.get
Possibilità di ripristinare un backup di Firestore in un nuovo database. Questo ruolo offre anche la possibilità di creare nuovi database, non necessariamente tramite il ripristino da un backup.

Ruoli personalizzati

Se i ruoli predefiniti non soddisfano i tuoi requisiti aziendali, puoi definire i tuoi ruoli personalizzati con le autorizzazioni da te specificate:

Autorizzazioni

La tabella seguente elenca le autorizzazioni supportate da Firestore.

Nome dell'autorizzazione del database Descrizione
datastore.databases.get Avvia o esegui il rollback di una transazione.
datastore.databases.import Importa entità in un database.
datastore.databases.export Esporta le entità da un database.
datastore.databases.getMetadata Legge i metadati da un database.
datastore.databases.list Elenca i database di un progetto.
datastore.databases.create Crea un database.
datastore.databases.update Aggiorna un database.
datastore.databases.delete Eliminare un database.
datastore.databases.createTagBinding Crea un'associazione di tag per un database.
datastore.databases.deleteTagBinding Elimina un'associazione di tag per un database.
datastore.databases.listTagBindings Elenca tutte le associazioni di tag per un database.
datastore.databases.listEffectiveTagBindings Elenca le associazioni di tag efficaci per un database.
Nome dell'autorizzazione dell'entità Descrizione
datastore.entities.create Crea un documento.
datastore.entities.delete Elimina un documento.
datastore.entities.get Leggi un documento.
datastore.entities.list Elenca i nomi dei documenti in un progetto.
(datastore.entities.get è necessario per accedere ai dati del documento.)
datastore.entities.update Aggiorna un documento.
Nome dell'autorizzazione di indice Descrizione
datastore.indexes.create Crea un indice.
datastore.indexes.delete Eliminare un indice.
datastore.indexes.get Leggi i metadati da un indice.
datastore.indexes.list Elenca gli indici di un progetto.
datastore.indexes.update Aggiorna un indice.
Nome dell'autorizzazione di operazione Descrizione
datastore.operations.cancel Annullare un'operazione a lunga esecuzione.
datastore.operations.delete Elimina un'operazione a lunga esecuzione.
datastore.operations.get Recupera lo stato più recente di un'operazione a lunga esecuzione.
datastore.operations.list Elenca le operazioni a lunga esecuzione.
Nome dell'autorizzazione del progetto Descrizione
resourcemanager.projects.get Sfoglia le risorse del progetto.
resourcemanager.projects.list Elenca i progetti di tua proprietà.
Nome dell'autorizzazione di accesso alla posizione Descrizione
datastore.locations.get Visualizza i dettagli sulla posizione di un database. Obbligatorio per creare un nuovo database.
datastore.locations.list Elenca le posizioni del database disponibili. Obbligatorio per creare un nuovo database.
Nome dell'autorizzazione Key Visualizer Descrizione
datastore.keyVisualizerScans.get Visualizza i dettagli delle scansioni di Key Visualizer.
datastore.keyVisualizerScans.list Elenca le scansioni di Key Visualizer disponibili.
Nome autorizzazione Pianificazione backup Descrizione
datastore.backupSchedules.get Visualizza i dettagli di una pianificazione dei backup.
datastore.backupSchedules.list Elenca le pianificazioni di backup disponibili.
datastore.backupSchedules.create Crea una pianificazione dei backup.
datastore.backupSchedules.update Aggiornare una pianificazione del backup.
datastore.backupSchedules.delete Elimina una pianificazione del backup.
Nome autorizzazione di backup Descrizione
datastore.backups.get Visualizza i dettagli di un backup.
datastore.backups.list Elenca i backup disponibili.
datastore.backups.delete Eliminare un backup.
datastore.backups.restoreDatabase Ripristina un database da un backup.

Latenza della modifica del ruolo

Firestore memorizza nella cache le autorizzazioni IAM per 5 minuti, quindi sono necessari fino a 5 minuti affinché una modifica del ruolo diventi effettiva.

Gestione di IAM di Firestore

Puoi recuperare e impostare i criteri IAM utilizzando la console Google Cloud, l'API IAM o lo strumento a riga di comando gcloud. Per maggiori dettagli, consulta Concedere, modificare e revocare l'accesso ai membri del progetto.

Configurare le autorizzazioni di accesso condizionale

Puoi utilizzare le condizioni IAM per definire e applicare controllo dell'accesso condizionale.

Ad esempio, la seguente condizione assegna a un principale il ruolo datastore.user fino a una data specificata:

{
  "role": "roles/datastore.user",
  "members": [
    "user:travis@example.com"
  ],
  "condition": {
    "title": "Expires_December_1_2023",
    "description": "Expires on December 1, 2023",
    "expression":
      "request.time < timestamp('2023-12-01T00:00:00.000Z')"
  }
}

Per scoprire come definire le condizioni IAM per l'accesso temporaneo, consulta Configurare l'accesso temporaneo.

Per scoprire come configurare le condizioni IAM per l'accesso a uno o più database, consulta Configurare le condizioni di accesso al database.

dipendenza delle regole di sicurezza da IAM

Le regole di sicurezza di Firestore per i client web/mobile dipendono dal seguente account di servizio e dal seguente vincolo IAM:

Service account Ruolo IAM
service-project_number@firebase-rules.iam.gserviceaccount.com roles/firebaserules.system

Firebase configura automaticamente questo account di servizio per te. Serimuovi il ruolo firebaserules.system da questo account di servizio, le regole di sicurezza rifiuteranno tutte le richieste. Per ripristinare questa associazione IAM, utilizza il seguente comando gcloud CLI:

gcloud projects add-iam-policy-binding project_id \
--member=serviceAccount:service-project_number@firebase-rules.iam.gserviceaccount.com \
--role=roles/firebaserules.system

Per determinare project_id e project_number, consulta Identificazione dei progetti.

Utilizza Google Cloud CLI anziché la console Google Cloud, perché il ruolofirebaserules.system è nascosto nella console per impostazione predefinita.

Passaggi successivi