从 GCP Firestore 导出文档所需的最低权限答案

【问题标题】：Least privilege required for export documents from GCP Firestore从 GCP Firestore 导出文档所需的最低权限
【发布时间】：2020-05-03 12:26:59
【问题描述】：

我正在编写一项服务，以定期从 Firestore 数据库中导出文档以进行备份。可以找到用于执行此操作的 sdk 调用 here。

我要确定的是，在 Firebase 商店中需要的最低权限是什么，才能允许此（exportDocuments）操作。从它看起来需要管理员。虽然希望可能有一些更严格的东西可以使用。

【问题讨论】：

从文档 (firebase.google.com/docs/firestore/manage-data/…) 看来，角色 Cloud Datastore Import Export Admin (roles/datastore.importExportAdmin) 是必需的。但是，查看与此角色关联的权限 (cloud.google.com/datastore/docs/access/iam#iam_roles)，我认为您只需要 datastore.databases.export 权限（从数据库中导出实体）。不幸的是，具有此权限的最严格的预定义角色是roles/datastore.importExportAdmin。您可能需要创建一个自定义角色。

标签： google-cloud-platform google-cloud-firestore

【解决方案1】：

感谢@norbjd的评论！

有一个角色，roles/datastore.importExportAdmin，“云数据存储导入导出管理员”，它提供从数据存储导出文档所需的权限。虽然它还包括datastore.databases.import，这是一个额外的、不需要的权限。

appengine.applications.get
datastore.databases.export
datastore.databases.import
datastore.operations.cancel
datastore.operations.get
datastore.operations.list
resourcemanager.projects.get
resourcemanager.projects.list

想法是设置一个新角色，只包括datastore.databases.export 权限。在 Google Cloud 中似乎无法将 datastore.databases.export 添加到自定义角色

自定义角色不支持这些权限不能添加到自定义角色。相反，您可以授予包含所需权限的预定义角色。

添加预定义角色没有帮助，因为这是我们试图打破的。

解决方案：为服务帐户提供角色：Cloud Datastore Import Export Admin (roles/datastore.importExportAdmin) 并明确写入文档要导出到的存储桶。

【讨论】：