LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@koji0810

Firestoreのセキュリティルール以外でPermissionDenied になった原因と解決策

Last updated at Posted at 2021-05-09

前提

GCP内に作成されたProjectAとProjectBという2つのプロジェクトが登場します。
Cloud Firestoreへのアクセスは、ProjectAに「Firebase Admin SDK Service Agent」というサービスアカウントを作成し、ProjectBからもこのサービスアカウントを使用してFirestoreにアクセスします。
今回のサービスでは、Go言語で作成したAPIをApp Engineにデプロイした例を用いていますが、Cloud Functionsやその他のリソースを使用していても問題ないと思います。ざっくりとした構成図は下記のとおりです。
sample_architect.png

発生した現象

ProjectA内に作成されたFirestore内のデータにProjectBからアクセスしようとすると、rpc error: code = PermissionDenied desc = Missing or insufficient permissions.というエラーが表示され、データを参照することができません。

考えられる原因と試したこと

①セキュリティルールをオープンアクセスに設定する。

Firestoreのセキュリティルールを全てのユーザーが読み取りと書き込みをできるアクセス権を付与しました。
Firestore関連でPermissionDeniedと検索するとこちらの解決方法が多くヒットしますが、この方法では解決しませんでした。
そもそもサーバーサイドからAdmin権限でアクセスしているため、セキュリティールールは無視されるので、セキュリティルールが原因ではないことはすぐにわかることでしたが、ここに数時間も時間をかけてしまいました。

// Allow read/write access to all users under any conditions
// Warning: **NEVER** use this rule set in production; it allows
// anyone to overwrite your entire database.
service cloud.firestore {
  match /databases/{database}/documents {
    match /{document=**} {
      allow read, write: if true;
    }
  }
}

②ProjectBでも同様のサービスアカウントを作成する

こちらの方法は実現不可能でした。
理由はProjectBにはFirestoreが存在しないので物理的に作成することができません。

原因

①、②から原因はセキュリティルールではなく、ProjectBのApp EngineからProjectAのFirestoreにアクセスする際に使用しているサービスアカウントの権限が不足していることが原因ではないかとの予測が立ちました。
結論を述べるとこちらの予測は当たっていって、ProjectBのサービスアカウントに必要な権限を与えたところ無事アクセスできるようになりました。
解決方法については下記で説明します。

解決方法

解決方法から説明すると、ProjectAに作成した「Firebase Admin SDK Service Agent」というサービスアカウントに、ProjectBで使用しているサービスアカウントのアクセスを許可するという方法です。
ProjectBではApp Engineを使用しているため、デフォルトで作成されるProjectB@appspot.gserviceaccount.comというサービスアカウントを使用して通信を行っています。
上記の作業を行うことでプロジェクトをまたいで、Firestore内のデータにアクセスできるようになります。

具体的な手順は、ProjectAの管理コンソールのメニューからIAMと管理 > サービスアカウントと進むと下記のような画面が開き、アクセスと許可というボタンをクリックすると、右側に「新しいメンバー」を追加するフォームが表示されます。
このフォームにProjectBのApp Engineで使用しているサービスアカウント(デフォルトではProjectB@appspot.gserviceaccount.com)を指定すると、ProjectAに設置されたFirestoreへのアクセス権が付与されるようになります。
スクリーンショット 2021-05-09 23.33.15.png

まとめ

今回はかなり初歩的な設定ミスにより、エラーの解決までかなり時間を要してしまいました。
Firestoreはエラーメッセージから具体的な原因を特定しにくいのがネックではありますが、この記事が一人でも多くの方の参考になれると幸いです。
今後は初心に戻り、再度IAM周りについて勉強し直してみます。

参照

セキュリティルール
https://firebase.google.com/docs/firestore/security/insecure-rules#open_access

Firebase - Admin SDK
https://firebase.google.com/docs/admin/setup

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?