このページは Cloud Translation API によって翻訳されました。

セキュリティの概要

このドキュメントでは、Fleet Engine が VPC ネットワークと Fleet Engine システムの 3 つの主要な環境、すなわちバックエンドサーバー、 Fleet Engine サーバー、クライアントアプリケーションとウェブサイト。

Fleet Engine は、最小権限の原則に基づいて、次の 2 つの基本的な方法でセキュリティを管理します。

アプリケーションのデフォルト認証情報（ADC）: 高い権限を持つ環境向けたとえばサーバー間通信などですバックエンドサーバーが Compute Engine で車両やルートの作成、Fleet Engine による管理を行います。詳細については、アプリケーションのデフォルト認証情報をご覧ください。

注: サーバー間通信に JWT を使用できますが、ADC を使用することをおすすめします。
JSON Web Token（JWT）: クライアントのような信頼性の低い環境向けスマートフォンやブラウザでアプリを実行することですFleet Engine での車両位置情報の更新など、低権限のオペレーションを実行するために使用されます。

信頼性の低い環境で必要な JWT は、デベロッパーによって生成され、発行されます。使用してサービスアカウントの秘密鍵を保護し、必要に応じて Fleet Engine に固有の追加クレームを追加できます。詳細については、JSON Web Token をご覧ください。

たとえば、ドライバーアプリがある場合、ドライバーはアプリを介して Fleet Engine のデータにアクセスします。アプリは、バックエンドサーバーから取得した JWT を使用して認証されます。含まれている JWT クレームとサービスアカウント使用して、ドライバアプリがシステムのどの部分にアクセスできるか、できます。この方法では、必要なデータのみにアクセスが運転任務を遂行することです

Fleet Engine では、これらのセキュリティアプローチを使用して、次のことを実現しています。

認証では、リクエストを送信したエンティティの ID を確認します。Fleet Engine は、高信頼性環境に ADC を使用し、低信頼性環境に JWT を使用します。
認可では、認証されたエンティティがアクセスできるリソースを指定します。できます。Fleet Engine は Google Cloud IAM ロールを持つサービスアカウントと JWT を使用認証されたエンティティを表示または変更する権限があることを保証するクレーム提供します。

サーバーおよびクライアントのセキュリティ設定

Fleet Engine でセキュリティを有効にするには、バックエンドサーバー、クライアントアプリケーション、ウェブサイトで必要なアカウントとセキュリティを設定します。

次の図は、バックエンドサーバーおよびクライアントアプリケーションでセキュリティを設定する手順の概要を示しています。

サーバーアプリとクライアントアプリのセットアップ中のセキュリティフローの図
認証

詳しくは、以降のセクションをご覧ください。

バックエンドサーバーのセキュリティ設定

フリート管理者は、以下の手順に沿って対応する必要があります。

サービスアカウントを作成して構成する:
1. Google Cloud コンソールで、サービスアカウントを作成します。
2. サービスアカウントに特定の IAM ロールを割り当てる。
3. 作成したサービスアカウントを使用してバックエンドサーバーを構成します。対象詳しくは、サービスアカウントのロールをご覧ください。
Fleet Engine との安全な通信を構成する（ADC）: 適切な *Admin サービスアカウントを使用してアプリケーションのデフォルト認証情報を使用して Fleet Engine インスタンスと通信するようにバックエンドを構成します。対象詳細については、以下をご覧ください。アプリケーションのデフォルト認証情報。
クライアントアプリとの安全な通信を構成する（JWT）: JSON Web Token ジェネレータを作成して、クライアントアプリケーションとモニタリングウェブサイトに適したクレームを含む JWT を作成します。詳しくは、 JSON Web Token を発行する。

アプリケーションのセキュリティ設定

アプリケーションデベロッパーは、バックエンドサーバーによって生成された JSON Web Token をクライアントアプリまたはウェブサイトで取得し、それを使用して Fleet Engine と安全に通信する方法を含める必要があります。詳しくは、ドライバーエクスペリエンスまたは消費者ユーザーエクスペリエンスのドキュメント簡単にアクセスできます。

サーバーアプリとクライアントアプリのセキュリティフロー

次のシーケンス図は、サーバーとクライアントアプリを示しています。 Fleet Engine と ADC を使用して認証と認可のフローをバックエンドサーバーと JWT をクライアントアプリケーションおよびウェブサイトと接続します。

サーバーとクライアントアプリの運用中のセキュリティフローの図
認証

バックエンドサーバーが Fleet Engine で車両とルートまたはタスクを作成します。
バックエンドサーバーによる車両へのルートまたはタスク: ドライバアプリがアクティブになると、割り当てを取得します。
バックエンドサーバー: 割り当てられたタスクまたはルートに適した IAM ロールを持つ、それぞれのサービスアカウントの JWT に署名して発行します。
クライアントアプリ: クライアントアプリは、受信した JWT を使用して、車両の位置情報の更新を Fleet Engine に送信します。

次のステップ

Fleet Engine プロジェクトを作成します。
サーバーから JSON Web Token を発行する方法を学習する。
詳しくは、サービスアカウントのロールをご覧ください。
JWT の詳細を確認する。