Điều kiện tiên quyết
- Một Firebase project bạn muốn CloudThinker kiểm tra.
- Một service-account key (JSON) cho project đó.
- Quyền tạo service-account key và gán IAM role trong Google Cloud của project.
Service-account JSON là thông tin xác thực đầy đủ. Giới hạn IAM role của nó theo đặc quyền tối thiểu — role cấp viewer là đủ để kiểm kê và kiểm tra quy tắc.
Thiết lập
Tạo service-account key
Trong Firebase Console, chọn project của bạn, sau đó nhấp vào biểu tượng Settings (bánh răng) trong thanh bên để mở Project settings. Mở tab Service accounts ở thanh trên cùng, nhấp Generate new private key và xác nhận bằng Generate key để tải xuống file JSON key.
Cấp IAM role (tùy chọn, cho đặc quyền tối thiểu)
Trong Google Cloud Console → IAM, cấp cho service account chỉ các role mà CloudThinker cần — role Viewer / Firebase Viewer cho kiểm tra chỉ đọc, hoặc role Firebase admin nếu bạn muốn ghi và deploy có approval-gate.
Thêm kết nối trong CloudThinker
Điều hướng đến Connections → Firebase và thêm thông tin xác thực:
- Service Account Key (JSON): kéo file
.jsonđã tải xuống vào vùng tải lên — hoặc nhấp để duyệt và chọn file
Chi tiết kết nối
| Trường | Mô tả | Ví dụ |
|---|---|---|
| GOOGLE_SERVICE_ACCOUNT_KEY | Toàn bộ JSON của Google Cloud service-account key. CloudThinker đọc project_id của nó để tự động đặt Firebase project đang hoạt động. | { "type": "service_account", "project_id": "my-app", ... } |
CloudThinker xác định project đang hoạt động từ
project_id trong key, nên không cần cấu hình project ID hay file config riêng.Quyền cần thiết
Các thao tác đọc (kiểm tra project, ứng dụng, cấu hình SDK, và quy tắc bảo mật) hoạt động với role Firebase/GCP cấp viewer. Các thao tác điều khiển — tạo project hoặc ứng dụng, khởi tạo tính năng, chuyển project đang hoạt động, và deploy — ngoài ra yêu cầu role cho phép chúng và approval rõ ràng trong CloudThinker.Khả năng của agent
Sau khi kết nối, các agent có quyền đọc đối với project, ứng dụng và quy tắc Firebase của bạn.| Khả năng | Mô tả |
|---|---|
| Projects & Apps | Liệt kê các project có thể truy cập, kiểm tra project đang hoạt động, và liệt kê ứng dụng iOS, Android, và Web |
| SDK Configuration | Đọc cấu hình Firebase SDK của nền tảng hoặc ứng dụng |
| Security Rules | Đọc quy tắc Firestore, Storage và Realtime Database để kiểm tra quyền truy cập |
| Deploy State | Xem xét trạng thái deployment |
| Firebase Docs | Tìm kiếm tài liệu chính thức của Firebase và Google developer |
| Project & App Controls | Tạo project, ứng dụng và Android SHA key, khởi tạo tính năng, chuyển project đang hoạt động, và deploy — yêu cầu approval |
Các hành động tạo, khởi tạo, deploy và chuyển project có approval-gate. CloudThinker yêu cầu xác nhận trước khi chạy chúng; các thao tác chỉ đọc chạy không cần approval.
Xác minh kết nối
Ví dụ câu lệnh
Nếu có nhiều project có thể truy cập và không có project nào đang hoạt động, hãy đặt tên project trong câu lệnh để agent khoanh vùng đúng.
Xử lý sự cố
Xác thực thất bại / thông tin xác thực không khả dụng
Xác thực thất bại / thông tin xác thực không khả dụng
Service-account JSON không hợp lệ, không đầy đủ, hoặc được dán với các ký tự bị thiếu. Tạo private key mới trong Firebase Console và kết nối lại.
Agent báo không có project đang hoạt động
Agent báo không có project đang hoạt động
CloudThinker đặt project đang hoạt động từ
project_id trong key. Nếu key không có project_id hoặc có nhiều project có thể truy cập, agent sẽ liệt kê chúng và hỏi bạn chọn cái nào — hãy đặt tên project để tiếp tục.Từ chối quyền trên một project, quy tắc, hoặc deploy
Từ chối quyền trên một project, quy tắc, hoặc deploy
Service account thiếu IAM role Firebase/GCP cho sản phẩm đó. Cấp role phù hợp trong Google Cloud IAM và kết nối lại.
Thao tác điều khiển không chạy
Thao tác điều khiển không chạy
Tạo, khởi tạo và deploy yêu cầu cả IAM role cho phép hành động đó lẫn approval rõ ràng trong CloudThinker. Phê duyệt hành động khi được nhắc và xác nhận role của service account cho phép nó.
Bảo mật
- Quyền tối thiểu — chỉ cấp các quyền mà agent cần cho trường hợp sử dụng của bạn; bắt đầu với quyền chỉ đọc và mở rộng sau.
- Chỉ đọc theo mặc định — sử dụng thông tin xác thực chỉ đọc trừ khi bạn muốn agent thực hiện thay đổi qua kết nối này.
- Xoay vòng thông tin xác thực — xoay vòng khóa và token theo lịch trình thông thường của bạn; CloudThinker sẽ lấy giá trị mới khi bạn cập nhật kết nối.
- Thu hồi khi bàn giao — xóa thông tin xác thực tại nhà cung cấp khi bạn xóa một kết nối hoặc khi đồng nghiệp rời nhóm.
- Approval cho các thao tác điều khiển — giữ các hành động tạo, khởi tạo và deploy có approval-gate thay vì xóa biện pháp bảo vệ.
- Bảo vệ key — service-account JSON là thông tin xác thực đầy đủ; không bao giờ commit vào source control hoặc chia sẻ dưới dạng plain text.
Liên quan
Kết nối Google Cloud
Kết nối Google Cloud Platform
Approval
Cách thức hoạt động của các hành động có approval-gate