Правила безопасности применимы только в том случае, если у вас есть мобильный клиент (Android, iOS, Интернет), который имеет прямой доступ к некоторым данным в Firestore, Cloud Storage или Realtime Database.Это также относится к неаутентифицированному доступу из REST API.Любой другой доступ из бэкэнда, включая код, который вы можете написать для ловушки выполнения диалогового потока, не подчиняется правилам безопасности.Другими словами, доступ к этим ресурсам из серверной части через SDK администратора полностью игнорирует правила безопасности.
Если вы хотите получить доступ к этим продуктам только из серверной части, просто сделайте так, чтобы ваши правила безопасности запрещали публичный доступ с мобильных клиентов..