Recomendador de regras de segurança do Firestore

O recomendador de regras de segurança do Firestore é compatível com o seguinte subtipo de recomendação:

que são problemas de segurança para clientes do Firestore que oferecem aos usuários mais acesso do que o pretendido.

Este documento descreve como ativar e visualizar recomendações e insights para melhorar a segurança dos seus bancos de dados.

Antes de começar

Antes de visualizar as recomendações e insights das regras de segurança do Firestore, faça o seguinte:

  1. Ative a API Recommender conforme descrito em Ativar a API.

  2. Verifique se você tem permissões suficientes. Você precisa ter um dos seguintes papéis, que concedem as permissões necessárias:

    Descrição da tarefa Papel
    Ver recomendações/insights roles/recommender.firestoredatabasefirebaserulesViewer
    Ver e atualizar (dispensar) recomendações/insights roles/recommender.firestoredatabasefirebaserulesAdmin
    Desativar recomendações/insights na Central de transparência e controle. Para mais informações, consulte Como desativar. roles/dataprocessing.admin

    Esses papéis do recomendador fornecem as seguintes permissões de API:

    Papel Permissões incluídas
    roles/recommender.firestoredatabasefirebaserulesViewer recommender.firestoreDatabaseFirebaseRulesRecommendations.get
    recommender.firestoreDatabaseFirebaseRulesRecommendations.list
    recommender.firestoreDatabaseFirebaseRulesInsights.get
    recommender.firestoreDatabaseFirebaseRulesInsights.list
    roles/recommender.firestoredatabasefirebaserulesAdmin roles/recommender.firestoredatabasefirebaserulesViewer permissões, mais
    recommender.firestoreDatabaseFirebaseRulesRecommendations.update
    recommender.firestoreDatabaseFirebaseRulesInsights.update

    Para mais informações sobre papéis e como conceder acesso, consulte:

Você só pode ver as recomendações de regras de segurança do Firestore se tiver bancos de dados não vazios e em uso com regras expostas a acesso amplo configuradas. O projeto precisa ter pelo menos 30 dias para que as recomendações sejam geradas.

É possível conferir recomendações/insights das regras de segurança do Firestore de várias maneiras:

Ver recomendações

Google Cloud console

Para ver suas recomendações, faça o seguinte:

Acesse o console Google Cloud ou use o seguinte botão:

Acesse o Google Cloud console

As recomendações podem ser acessadas na página do Hub de recomendações ou da Central de banco de dados.

  1. Pesquise Recomendações para acessar a página do Hub de recomendações. Você pode selecionar e conferir uma categoria específica de recomendações.

  2. Pesquise Database Center. Você pode aplicar um filtro de produto e ver os problemas específicos da frota.

CLI da gcloud

Para listar as recomendações de regras de segurança do Firestore usando gcloud, execute o comando gcloud recommender recommendations list da seguinte forma:

  gcloud recommender recommendations list \
  --project=PROJECT_ID \
  --location=LOCATION \
  --recommender=google.firestore.database.<var>RECOMMENDER</var>

Substitua:

  • PROJECT_ID: o ID do projeto
  • LOCATION: uma região, como us-central1;
  • RECOMMENDER: o ID do recomendador como FirebaseRulesRecommender.

API Recommender

Para listar suas recomendações de regras de segurança do Firestore usando a API Recommendations, chame o método recommendations.list da seguinte maneira:

  curl -H "Authorization: Bearer $(gcloud auth print-access-token)"  \
  -H "x-goog-user-project: PROJECT_ID" \
  "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.firestore.database.RECOMMENDER/recommendations"

Substitua:

  • PROJECT_ID: o ID do projeto
  • LOCATION: uma região, como us-central1.
  • RECOMMENDER: o ID do recomendador como FirebaseRulesRecommender.

Para mais informações, consulte Como usar a API - Recomendações.

Exibir insight

É possível conferir insights e recomendações detalhadas sobre as regras de segurança do Firestore de várias maneiras.

CLI da gcloud

Para conferir insights usando gcloud, execute o comando gcloud recommender insights list da seguinte forma:

  gcloud recommender insights list \
  --project=PROJECT_ID \
  --location=LOCATION \
  --insight-type=google.firestore.database.INSIGHT_TYPE

Substitua:

  • PROJECT_ID: o ID do projeto
  • LOCATION: uma região, como us-central1.
  • INSIGHT_TYPE: o ID do tipo de insight, como FirebaseRulesInsight.

API Recommender

Para listar seus insights usando a API Recommender, execute o seguinte comando:

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"  \

"https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.firestore.database.INSIGHT_TYPE/insights"

Substitua:

  • PROJECT_ID: o ID do projeto
  • LOCATION: uma região, como us-central1.
  • INSIGHT_TYPE: o ID do tipo de insight, como FirebaseRulesInsight.

Para mais informações, consulte Como usar a API - Insights.

Aplicar recomendações

Para mais informações sobre como melhorar a segurança do banco de dados, consulte Estruturar regras de segurança.

Preços

As recomendações e os insights das regras de segurança do Firestore estão disponíveis sem custo financeiro. Para informações sobre outros níveis de preço, consulte Preços de recomendações.