GitHub ActionsからFirebaseにデプロイしようとして権限周りではまったのでメモ。
そもそも前提条件
サービスアカウント秘密鍵のJSONファイルへのパスをGOOGLE_APPLICATION_CREDENTIALSに指定してfirebase-toolsを呼びます。環境変数から直接渡すことはできないので、一旦ファイルに出力してやる必要があります。
jobs:
deploy:
steps:
- run: echo "$FIREBASE_SERVICE_ACCOUNT" > /tmp/credentials.json
env:
FIREBASE_SERVICE_ACCOUNT: ${{ secrets.SERVICE_ACCOUNT }}
- run: GOOGLE_APPLICATION_CREDENTIALS=/tmp/credentials.json npx firebase-tools deploy
各サービスごとに必要なIAMロール
共通
Cloud RuntimeConfig Adminを指定します。このロールを指定しないとFirebase CLIが利用できません。はまりポイント。
Firebase Hosting
Firebase Hosting Adminを指定します。
Firestore
Cloud Datastore Index AdminとFirebase Rules Adminを指定します。名前通りですが前者がインデックスに、後者がセキュリティルールに対応します。どこにもFirestoreの文字はないので注意。
Cloud Functions for Firebase
通常のCloud Functionsと同じくCloud Functions Adminを指定します。
Cloud FunctionsのコンテナイメージがCloud Storageに保存されるので、Storage Object Adminも指定します。
Cloud FunctionsにデプロイするIAMユーザーは、Cloud Functionsを実行するIAMユーザーに「成り代わる」権限を持つ必要があります。実行時に使用されるIAMユーザーへのアクセスを、デプロイ時に使用するユーザーに、Service Account Userロールで許可します。
Cloud PubSubを使用する(定期実行など)場合は、Cloud Scheduler Adminも指定します。
参考資料
なお、前項で示したIAMロールの権限が最小かどうかは検証していません。若干過剰かもしれませんが許容範囲かなと思っています。
Firebaseで自動生成される権限周りはかなりガバガバなので、プロジェクト内にFirebaseを導入する場合は気を付けたほうが良いかもしれません。