На самом деле, когда вы получаете доступ к Firestore через облачную функцию (используя Firebase Admin SDK), ни одно из правил безопасности не применяется.
Следующая документация https://firebase.google.com/docs/admin/setup явно указывает, что для базы данных Relatime:
Admin SDK позволяет вам взаимодействовать с Firebase из привилегированных сред для выполнения таких действий, как чтение и запись.Данные базы данных реального времени с полными правами администратора.
, но то же самое с Firestore.
В этой документации Firestore "Начало работы" также есть примечание https://firebase.google.com/docs/firestore/security/get-started:
Примечание. Клиентские библиотеки сервера обходят все правила безопасности Cloud Firestore ...
Как уже говорилось выше, это относится не только к Admin SDK, но и к другим серверным SDK.потому что вы используете эти серверные SDK из того, что Firebase называет «привилегированной средой», например, ваш собственный сервер (под вашим контролем) или облачные функции (тоже под вашим контролем, поскольку вы единственный, кто может развернуть код облачных функций).См. Также Что такое «доверенная серверная среда» в Firebase?
Если вы хотите ограничить доступ на запись для своей облачной функции, вам потребуется разработать определенную бизнес-логикув вашей облачной функции для имитации ваших правил безопасности.