Sicherheit für Server-Clientbibliotheken

Wenn Sie die Server-Clientbibliotheken für Firestore verwenden, steuern Sie den Zugriff auf Ihre Ressourcen mit der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM). Mit IAM gewähren Sie detaillierteren Zugriff auf bestimmte Google Cloud Platform-Ressourcen und verhindern unerwünschten Zugriff auf andere Ressourcen. Auf dieser Seite werden die IAM-Berechtigungen und -Rollen für Firestore beschrieben. Eine ausführliche Beschreibung des IAM finden Sie in der IAM-Dokumentation.

Durch IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.

Durch das Festlegen von IAM-Richtlinien können Sie steuern, wer (Nutzer) welche (Rolle) Berechtigungen für welche Ressourcen hat. IAM-Richtlinien gewähren einem Nutzer eine oder mehrere Rollen und dadurch bestimmte Berechtigungen. Sie können beispielsweise einem Nutzer die Rolle datastore.indexAdmin zuweisen, wodurch der Nutzer Indexe erstellen, ändern, löschen, auflisten oder ansehen kann.

Berechtigungen und Rollen

In diesem Abschnitt werden die Berechtigungen und Rollen zusammengefasst, die von Firestore unterstützt werden.

Erforderliche Berechtigungen für API-Methoden

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die der Aufrufer zur Ausführung der einzelnen Aktionen benötigt:

Methode Erforderliche Berechtigungen
projects.databases.documents
batchGet datastore.entities.get
batchWrite-Aktualisieren oder -Transformieren, wobei exists-Vorbedingung false ist datastore.entities.create
batchWrite-Aktualisieren oder -Transformieren, wobei exists-Vorbedingung true ist datastore.entities.create
batchWrite-Aktualisieren oder -Transformieren ohne Vorbedingungdatastore.entities.create
datastore.entities.update
beginTransaction datastore.databases.get
commit-Aktualisieren oder -Transformieren, wobei exists-Vorbedingung false ist datastore.entities.create
commit-Aktualisieren oder -Transformieren, wobei exists-Vorbedingung true ist datastore.entities.update
commit-Aktualisieren oder -Transformieren ohne Vorbedingungdatastore.entities.create
datastore.entities.update
commit-Löschung datastore.entities.delete
createDocument datastore.entities.create
delete datastore.entities.delete
get datastore.entities.get
list datastore.entities.get
datastore.entities.list
listCollectionIds datastore.entities.list
partitionQuery datastore.entities.get
datastore.entities.list
patch datastore.entities.update
rollback datastore.databases.get
runAggregationQuery datastore.entities.get
datastore.entities.list
runQuery datastore.entities.get
datastore.entities.list
write (RPC)-Aktualisieren oder -Transformieren, wobei exists-Vorbedingung false ist datastore.entities.create
write (RPC)-Aktualisieren oder -Transformieren, wobei exists-Vorbedingung true ist datastore.entities.update
write (RPC)-Aktualisieren oder -Transformieren ohne Vorbedingung datastore.entities.create
datastore.entities.update
write (RPC)-Löschung datastore.entities.delete
projects.databases.indexes
create datastore.indexes.create
delete datastore.indexes.delete
get datastore.indexes.get
list datastore.indexes.list
projects.databases
create datastore.databases.create
delete datastore.databases.delete
get datastore.databases.getMetadata
list datastore.databases.list
patch datastore.databases.update
Wiederherstellen datastore.backups.restoreDatabase
projects.locations
get datastore.locations.get
list datastore.locations.list
projects.databases.backupschedules
get datastore.backupSchedules.get
list datastore.backupSchedules.list
create datastore.backupSchedules.create
update datastore.backupSchedules.update
Löschen datastore.backupSchedules.delete
projects.locations.backups
get datastore.backups.get
list datastore.backups.list
Löschen datastore.backups.delete

Vordefinierte Rollen

Bei IAM erfordert jede API-Methode in Firestore, dass das Konto, das die API-Anfrage durchführt, die entsprechenden Berechtigungen zur Verwendung der Ressource hat. Berechtigungen werden durch die Festlegung von Richtlinien gewährt, die wiederum einem Nutzer, einer Gruppe oder einem Dienstkonto Rollen zuweist. Zusätzlich zu den einfachen Rollen "Inhaber", "Bearbeiter" und "Betrachter" können Sie den Nutzern Ihres Projekts Firestore-Rollen zuweisen.

In der folgenden Tabelle sind die Firestore-IAM-Rollen aufgeführt. Sie können einem Nutzer, einer Gruppe oder einem Dienstkonto mehrere Rollen zuweisen.

Rolle Berechtigungen Beschreibung
roles/datastore.owner appengine.applications.get

datastore.*

resourcemanager.projects.get
resourcemanager.projects.list
Vollzugriff auf Firestore.
roles/datastore.user appengine.applications.get

datastore.databases.get
datastore.databases.getMetadata
datastore.databases.list
datastore.entities.*
datastore.indexes.list
datastore.namespaces.get
datastore.namespaces.list
datastore.statistics.get
datastore.statistics.list

resourcemanager.projects.get
resourcemanager.projects.list
Lese- und Schreibzugriff auf Daten in einer Firestore-Datenbank. Für Anwendungsentwickler und Dienstkonten bestimmt.
roles/datastore.viewer appengine.applications.get

datastore.databases.get
datastore.databases.getMetadata
datastore.databases.list
datastore.entities.get
datastore.entities.list
datastore.indexes.get
datastore.indexes.list
datastore.namespaces.get
datastore.namespaces.list
datastore.statistics.get
datastore.statistics.list

resourcemanager.projects.get
resourcemanager.projects.list
Lesezugriff auf alle Firestore-Ressourcen.
roles/datastore.importExportAdmin appengine.applications.get
datastore.databases.export
datastore.databases.getMetadata
datastore.databases.import
datastore.operations.cancel
datastore.operations.get
datastore.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
Vollzugriff für die Verwaltung von Importen und Exporten.
roles/datastore.indexAdmin appengine.applications.get

datastore.databases.getMetadata

datastore.indexes.*

resourcemanager.projects.get
resourcemanager.projects.list
Vollzugriff zurVerwaltung von Indexdefinitionen.
roles/datastore.keyVisualizerViewer datastore.databases.getMetadata
datastore.keyVisualizerScans.get
datastore.keyVisualizerScans.list
resourcemanager.projects.get
resourcemanager.projects.list
Vollständiger Zugriff auf Key Visualizer-Scans.
roles/datastore.backupSchedulesViewer datastore.backupSchedules.get
datastore.backupSchedules.list
Lesezugriff auf Sicherungszeitpläne in einer Firestore-Datenbank.
roles/datastore.backupSchedulesAdmin datastore.backupSchedules.get
datastore.backupSchedules.list
datastore.backupSchedules.create
datastore.backupSchedules.update
datastore.backupSchedules.delete
datastore.databases.list
datastore.databases.getMetadata
Vollständiger Zugriff auf Sicherungszeitpläne in einer Firestore-Datenbank.
roles/datastore.backupsViewer datastore.backups.get
datastore.backups.list
Lesezugriff auf Sicherungsinformationen an einem Firestore-Standort.
roles/datastore.backupsAdmin datastore.backups.get
datastore.backups.list
datastore.backups.delete
Vollständiger Zugriff auf Sicherungen an einem Firestore-Speicherort.
roles/datastore.restoreAdmin datastore.backups.get
datastore.backups.list
datastore.backups.restoreDatabase
datastore.databases.list
datastore.databases.create
datastore.databases.getMetadata
datastore.operations.list
datastore.operations.get
Möglichkeit, eine Firestore-Sicherung in einer neuen Datenbank wiederherzustellen. Mit dieser Rolle können auch neue Datenbanken erstellt werden, nicht unbedingt durch Wiederherstellen aus einer Sicherung.

Benutzerdefinierte Rollen

Wenn die vordefinierten Rollen für Ihre geschäftlichen Anforderungen nicht ausreichen, können Sie eigene benutzerdefinierte Rollen mit selbst definierten Berechtigungen festlegen.

Berechtigungen

In der folgenden Tabelle sind die von Firestore unterstützten Berechtigungen aufgeführt.

Name der Datenbankberechtigung Beschreibung
datastore.databases.get Transaktion beginnen oder Rollback der Transaktion durchführen.
datastore.databases.import Entitäten in eine Datenbank importieren.
datastore.databases.export Entitäten aus einer Datenbank exportieren.
datastore.databases.getMetadata Metadaten aus einer Datenbank lesen.
datastore.databases.list Datenbanken in einem Projekt auflisten.
datastore.databases.create Datenbank erstellen
datastore.databases.update Datenbank aktualisieren.
datastore.databases.delete Datenbank löschen
datastore.databases.createTagBinding Erstellen Sie eine Tag-Bindung für eine Datenbank.
datastore.databases.deleteTagBinding Löschen Sie eine Tag-Bindung für eine Datenbank.
datastore.databases.listTagBindings Listen Sie alle Tag-Bindungen für eine Datenbank auf.
datastore.databases.listEffectiveTagBindings Aktive Tag-Bindungen für eine Datenbank auflisten.
Name der Entitätsberechtigungen Beschreibung
datastore.entities.create Dokument erstellen.
datastore.entities.delete Dokument löschen.
datastore.entities.get Dokument lesen.
datastore.entities.list Namen der Dokumente in einem Projekt auflisten.
(datastore.entities.get ist für den Zugriff auf Dokumentdaten erforderlich.)
datastore.entities.update Dokument aktualisieren.
Name der Indexberechtigung Beschreibung
datastore.indexes.create Index erstellen.
datastore.indexes.delete Index löschen.
datastore.indexes.get Metadaten aus einem Index lesen.
datastore.indexes.list Indexe in einem Projekt auflisten.
datastore.indexes.update Index aktualisieren.
Name der Vorgangsberechtigung Beschreibung
datastore.operations.cancel Einen lange laufenden Vorgang abbrechen.
datastore.operations.delete Einen lange laufenden Vorgang löschen.
datastore.operations.get Ruft den letzten Status eines lange laufende Vorgangs ab.
datastore.operations.list Lange laufende Vorgänge auflisten.
Name der Projektberechtigung Beschreibung
resourcemanager.projects.get Ressourcen im Projekt durchsuchen.
resourcemanager.projects.list Eigene Projekte auflisten.
Name der Standortberechtigung Beschreibung
datastore.locations.get Rufen Sie Details zu einem Datenbankspeicherort ab. Dies ist erforderlich zum Erstellen einer neuen Datenbank.
datastore.locations.list Listen Sie die verfügbaren Datenbankspeicherorte auf. Dies ist erforderlich zum Erstellen einer neuen Datenbank.
Name der Berechtigung in Key Visualizer Beschreibung
datastore.keyVisualizerScans.get Details zu Key Visualizer-Scans abrufen.
datastore.keyVisualizerScans.list Listet verfügbare Key Visualizer-Scans auf.
Name der Berechtigung für den Sicherungszeitplan Beschreibung
datastore.backupSchedules.get Details zu einem Sicherungszeitplan abrufen.
datastore.backupSchedules.list Listen Sie die verfügbaren Sicherungszeitpläne auf.
datastore.backupSchedules.create Erstellen Sie einen Zeitplan für die Sicherung.
datastore.backupSchedules.update Zeitplan für die Sicherung aktualisieren
datastore.backupSchedules.delete Löschen Sie einen Zeitplan für die Sicherung.
Name der Sicherungsberechtigung Beschreibung
datastore.backups.get Informationen zu einer Sicherung abrufen.
datastore.backups.list Verfügbare Sicherungen auflisten.
datastore.backups.delete Eine Sicherung löschen.
datastore.backups.restoreDatabase Datenbank aus einer Sicherung wiederherstellen.

Latenz der Rollenänderung

Firestore speichert IAM-Berechtigungen fünf Minuten lang im Cache. Es dauert also bis zu fünf Minuten, bis eine Rollenänderung wirksam wird.

Firestore-IAM verwalten

Sie können IAM-Richtlinien mithilfe der Google Cloud Console, der IAM API oder des gcloud-Befehlszeilentools abrufen und festlegen. Details hierzu finden Sie unter Zugriff für Projektmitglieder zuweisen, ändern und widerrufen.

Berechtigungen für den bedingten Zugriff konfigurieren

Mit IAM-Bedingungen können Sie die bedingte Zugriffssteuerung zu definieren und durchzusetzen.

Mit der folgenden Bedingung wird beispielsweise einem Hauptkonto datastore.user zugewiesen Rolle bis zu einem bestimmten Datum erhalten:

{
  "role": "roles/datastore.user",
  "members": [
    "user:travis@example.com"
  ],
  "condition": {
    "title": "Expires_December_1_2023",
    "description": "Expires on December 1, 2023",
    "expression":
      "request.time < timestamp('2023-12-01T00:00:00.000Z')"
  }
}

Informationen zum Definieren von IAM-Bedingungen für den temporären Zugriff finden Sie unter Temporären Zugriff konfigurieren.

Weitere Informationen zum Konfigurieren von IAM-Bedingungen für den Zugriff auf eine oder mehrere Datenbanken finden Sie unter Konfigurieren Sie Bedingungen für den Datenbankzugriff.

Abhängigkeiten von Sicherheitsregeln in IAM

Die Firestore-Sicherheitsregeln für mobile Clients oder Webclients hängen vom folgenden Dienstkonto und der folgenden IAM-Bindung ab:

Dienstkonto IAM-Rolle
service-project_number@firebase-rules.iam.gserviceaccount.com roles/firebaserules.system

Firebase richtet dieses Dienstkonto automatisch für Sie ein. Wenn Sie die Rolle firebaserules.system aus diesem Dienstkonto entfernen, lehnen Ihre Sicherheitsregeln alle Anfragen ab. Mit dem folgenden gcloud CLI-Befehl stellen Sie diese IAM-Bindung wieder her:

gcloud projects add-iam-policy-binding project_id \
--member=serviceAccount:service-project_number@firebase-rules.iam.gserviceaccount.com \
--role=roles/firebaserules.system

Informationen zum Ermitteln von project_id und project_number finden Sie unter Projekte identifizieren.

Verwenden Sie die Google Cloud CLI anstelle der Google Cloud Console, da die Rolle firebaserules.system in der Console standardmäßig ausgeblendet ist.

Nächste Schritte