Autenticar no Firestore

Neste documento, descrevemos como se autenticar no Firestore de maneira programática. A forma de autenticação no Firestore depende da interface usada para acessar a API e do ambiente em que seu código está sendo executado.

As informações nesta página se aplicam quando você usa bibliotecas de cliente do servidor e as APIs REST e RPC. Se você estiver usando bibliotecas de cliente para dispositivos móveis ou clientes da Web, a autenticação será gerenciada por uma combinação das regras de segurança do Firestore e do Firebase Auth. Para mais informações, consulte Proteger dados para clientes de dispositivos móveis e da Web.

Para mais informações sobre a autenticação do Google Cloud, consulte a visão geral da autenticação.

Acesso à API

O Firestore é compatível com acesso programático. Você pode acessar a API das seguintes maneiras:

Bibliotecas de clientes
Google Cloud CLI

Bibliotecas de cliente

As bibliotecas de cliente do Firestore oferecem suporte de alto nível de linguagem para autenticar no Firestore de maneira programática. Para autenticar as chamadas feitas às APIs do Google Cloud, as bibliotecas de cliente dão suporte ao Application Default Credentials (ADC). As bibliotecas procuram credenciais em um conjunto de locais definidos e as usam para autenticar as solicitações feitas à API. Com o ADC, é possível disponibilizar credenciais ao aplicativo em uma variedade de ambientes, como de desenvolvimento ou produção local, sem precisar modificar o código do aplicativo.

Google Cloud CLI

Ao usar a CLI gcloud para acessar o Firestore, você faça login na CLI gcloud com uma Conta do Google, que fornece as credenciais usadas pelos comandos da CLI gcloud.

Se as políticas de segurança da sua organização impedirem que as contas de usuário tenham as permissões necessárias, use a identidade temporária de conta de serviço.

Para mais informações, consulte Autenticar-se para usar a gcloud CLI. Para mais informações sobre como usar a CLI gcloud com o Firestore, consulte as páginas de referência da CLI gcloud.

Configurar a autenticação para o Firestore

A configuração da autenticação depende do ambiente em que o código está sendo executado.

As opções a seguir para configuração da autenticação são as mais usadas. Para mais opções e informações sobre autenticação, consulte Autenticação no Google.

Para um ambiente de desenvolvimento local

É possível configurar credenciais para um ambiente de desenvolvimento local das seguintes maneiras:

Credenciais de usuário para bibliotecas de cliente ou ferramentas de terceiros

Bibliotecas de cliente ou ferramentas de terceiros

Configure o Application Default Credentials (ADC) no ambiente local:

Instale a Google Cloud CLI e inicialize-a executando o seguinte comando:
```
gcloud init
```

Crie as credenciais de autenticação para sua Conta do Google:
```
gcloud auth application-default login
```
Uma tela de login será exibida. Após o login, suas credenciais são armazenadas no arquivo de credenciais local usado pelo ADC.

Para mais informações sobre como trabalhar com o ADC em um ambiente local, consulte Ambiente de desenvolvimento local.

No Google Cloud

Para autenticar uma carga de trabalho em execução no Google Cloud, use as credenciais da conta de serviço anexada ao recurso de computação em que seu código está sendo executado. Por exemplo, é possível anexar uma conta de serviço a uma instância de máquina virtual (VM) do Compute Engine, a um serviço do Cloud Run ou a um job do Dataflow. Essa abordagem é o método de autenticação preferencial para códigos em execução em um recurso de computação do Google Cloud.

Para a maioria dos serviços, você precisa anexar a conta de serviço ao criar o recurso que executará o código. Não será possível adicionar ou substituir a conta de serviço mais tarde. O Compute Engine é uma exceção. Ele permite anexar uma conta de serviço a uma instância de VM a qualquer momento.

Use a CLI gcloud para criar uma conta de serviço e anexá-la ao recurso:

Instale a Google Cloud CLI e inicialize-a executando o seguinte comando:
```
gcloud init
```
Set up authentication:
1. Create the service account:
```
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
```
  Replace SERVICE_ACCOUNT_NAME with a name for the service account.
2. To provide access to your project and your resources, grant a role to the service account:
```
gcloud projects add-iam-policy-binding PROJECT_ID --member="serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com" --role=ROLE
```
  Replace the following:
  - SERVICE_ACCOUNT_NAME: the name of the service account
  - PROJECT_ID: the project ID where you created the service account
  - ROLE: the role to grant
  Note: The --role flag affects which resources the service account can access in your project. You can revoke these roles or grant additional roles later. In production environments, do not grant the Owner, Editor, or Viewer roles. Instead, grant a predefined role or custom role that meets your needs.
3. To grant another role to the service account, run the command as you did in the previous step.
4. Grant the required role to the principal that will attach the service account to other resources.
```
gcloud iam service-accounts add-iam-policy-binding SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com --member="user:USER_EMAIL" --role=roles/iam.serviceAccountUser
```
  Replace the following:
  - SERVICE_ACCOUNT_NAME: the name of the service account
  - PROJECT_ID: the project ID where you created the service account
  - USER_EMAIL: the email address for a Google Account
Crie o recurso que executará o código e anexe a conta de serviço a ele. Por exemplo, se você usar o Compute Engine:
Crie uma instância do Compute Engine. Configure a instância da seguinte maneira:
- Substitua INSTANCE_NAME pelo nome de instância de sua preferência.
- Defina a sinalização --zone com a zona onde será criada a instância.
- Defina a sinalização --service-account como o endereço de e-mail da conta de serviço que você criou.
```
gcloud compute instances create INSTANCE_NAME --zone=ZONE --service-account=SERVICE_ACCOUNT_EMAIL
```

Para mais informações sobre a autenticação nas APIs do Google, consulte Autenticação no Google.

No local ou em outro provedor de nuvem

O método preferencial para configurar a autenticação de fora do Google Cloud é usar a federação de identidade da carga de trabalho. Para mais informações, consulte No local ou em outro provedor de nuvem na documentação de autenticação.

Controle de acesso para o Firestore

Depois de se autenticar no Firestore, você precisa receber autorização para acessar os recursos do Google Cloud. O Firestore usa o Identity and Access Management (IAM) para autorização.

Para mais informações sobre os papéis do Firestore, consulte Segurança para bibliotecas de cliente do servidor. Para mais informações sobre o IAM e a autorização, consulte Visão geral do IAM.

A seguir

Saiba mais sobre os métodos de autenticação do Google Cloud.
Veja uma lista de casos de uso de autenticação.