Outil de recommandation pour les règles de sécurité Firestore

L'outil de recommandation pour les règles de sécurité Firestore est compatible avec le sous-type de recommandation suivant :

qui sont des problèmes de sécurité pour les clients Firestore qui accordent aux utilisateurs un accès plus étendu que prévu.

Ce document explique comment activer et afficher vos recommandations et vos insights pour améliorer la sécurité de vos bases de données.

Avant de commencer

Afin de pouvoir afficher les recommandations et les insights sur les règles de sécurité Firestore, procédez comme suit :

  1. Activez l'API Recommender comme décrit dans la page Activer l'API.

  2. Assurez-vous de disposer des autorisations nécessaires. Vous devez disposer de l'un des rôles suivants, qui fournissent les autorisations nécessaires :

    Description de la tâche Rôle
    Afficher les recommandations/insights roles/recommender.firestoredatabasefirebaserulesViewer
    Afficher et mettre à jour (ignorer) les recommandations/insights roles/recommender.firestoredatabasefirebaserulesAdmin
    Désactiver les recommandations/insights dans le Centre de contrôle et de transparence. Pour en savoir plus, consultez la page Désactiver. roles/dataprocessing.admin

    Ces rôles de l'outil de recommandation fournissent les autorisations d'API suivantes :

    Rôle Autorisations associées
    roles/recommender.firestoredatabasefirebaserulesViewer recommender.firestoreDatabaseFirebaseRulesRecommendations.get
    recommender.firestoreDatabaseFirebaseRulesRecommendations.list
    recommender.firestoreDatabaseFirebaseRulesInsights.get
    recommender.firestoreDatabaseFirebaseRulesInsights.list
    roles/recommender.firestoredatabasefirebaserulesAdmin Autorisations roles/recommender.firestoredatabasefirebaserulesViewer, plus :
    recommender.firestoreDatabaseFirebaseRulesRecommendations.update
    recommender.firestoreDatabaseFirebaseRulesInsights.update

    Pour plus d'informations sur les rôles et les accès liés, consultez les pages suivantes:

Vous ne pouvez afficher les recommandations de règles de sécurité Firestore que si vous avez configuré des bases de données non vides et en cours d'utilisation avec des règles exposées à un accès étendu. Le projet doit avoir au moins 30 jours pour que des recommandations puissent être générées.

Vous pouvez afficher les recommandations et les insights sur les règles de sécurité Firestore de différentes manières :

Afficher les recommandations

Console Google Cloud

Pour afficher vos recommandations :

Accédez à la console Google Cloud ou utilisez le bouton suivant :

Accéder à la console Google Cloud

Vous pouvez consulter les recommandations sur la page Centre de recommandations ou Centre de données.

  1. Recherchez Recommandations pour accéder à la page "Centre de recommandations". Vous pouvez sélectionner une catégorie de recommandations spécifique et l'afficher.

  2. Recherchez Database Center. Vous pouvez appliquer un filtre de produit et afficher les problèmes spécifiques à la flotte.

CLI gcloud

Pour répertorier les recommandations concernant les règles de sécurité Firestore à l'aide de gcloud, exécutez la commande gcloud recommender recommendations list comme suit :

  gcloud recommender recommendations list \
  --project=PROJECT_ID \
  --location=LOCATION \
  --recommender=google.firestore.database.<var>RECOMMENDER</var>

Remplacez les éléments suivants :

  • PROJECT_ID : ID de votre projet
  • LOCATION : une région, telle que us-central1
  • RECOMMENDER : ID de l'outil de recommandation en tant que FirebaseRulesRecommender.

Outil de recommandation d'API

Pour lister vos recommandations concernant les règles de sécurité Firestore à l'aide de l'API Recommendations, appelez la méthode recommendations.list comme suit :

  curl -H "Authorization: Bearer $(gcloud auth print-access-token)"  \
  -H "x-goog-user-project: PROJECT_ID" \
  "https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/recommenders/google.firestore.database.RECOMMENDER/recommendations"

Remplacez les éléments suivants :

  • PROJECT_ID : ID de votre projet
  • LOCATION : une région, telle que us-central1
  • RECOMMENDER : ID de l'outil de recommandation en tant que FirebaseRulesRecommender.

Pour en savoir plus, consultez la page Utiliser l'API – Recommandations.

Afficher les statistiques

Vous pouvez afficher les insights et les recommandations détaillées sur les règles de sécurité Firestore de différentes manières.

CLI gcloud

Pour afficher des insights à l'aide de gcloud, exécutez la commande gcloud recommender insights list comme suit :

  gcloud recommender insights list \
  --project=PROJECT_ID \
  --location=LOCATION \
  --insight-type=google.firestore.database.INSIGHT_TYPE

Remplacez les éléments suivants :

  • PROJECT_ID : ID de votre projet
  • LOCATION : une région, telle que us-central1
  • INSIGHT_TYPE : ID du type d'insight ; par exemple, FirebaseRulesInsight

Outil de recommandation d'API

Pour répertorier vos insights à l'aide de l'API Recommender, exécutez la commande suivante :

curl -H "Authorization: Bearer $(gcloud auth print-access-token)"  \

"https://recommender.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/insightTypes/google.firestore.database.INSIGHT_TYPE/insights"

Remplacez les éléments suivants :

  • PROJECT_ID : ID de votre projet
  • LOCATION : une région, telle que us-central1
  • INSIGHT_TYPE : ID du type d'insight ; par exemple, FirebaseRulesInsight

Pour en savoir plus, consultez la page Utiliser l'API – Insights.

Appliquer les recommandations

Pour savoir comment améliorer la sécurité de votre base de données, consultez Structurer les règles de sécurité.

Tarifs

Les recommandations et les insights sur les règles de sécurité Firestore sont disponibles sans frais. Pour en savoir plus sur les autres niveaux de tarification, consultez la page Tarifs de l'outil de recommandation.