การกําหนดค่า IAM อย่างถูกต้องเป็นขั้นตอนสําคัญของการจัดการความปลอดภัยและข้อมูลประจําตัวสําหรับระบบ Fleet Engine ใช้บทบาท IAM เพื่อปรับแต่งการเข้าถึงการดำเนินการและข้อมูลต่างๆ ให้เป็นไปตามข้อกำหนดของคนขับ ผู้บริโภค และผู้ให้บริการขนส่ง
บัญชีบริการและบทบาท IAM คืออะไร
คุณตั้งค่าบัญชีบริการในคอนโซล Google Cloud เพื่อตรวจสอบสิทธิ์และอนุญาตให้เข้าถึงข้อมูลใน Fleet Engine Fleet Engine มีชุดบทบาท IAM ที่กําหนดไว้ล่วงหน้าซึ่งคุณกําหนดให้กับบัญชีบริการเพื่อระบุข้อมูลที่มีสิทธิ์เข้าถึง โปรดดูรายละเอียดที่หัวข้อภาพรวมบัญชีบริการในเอกสารประกอบของ Google Cloud
Fleet Engine ใช้บทบาทและนโยบาย IAM เพื่อจัดการการให้สิทธิ์สำหรับเมธอดและทรัพยากร Fleet Engine API ดูข้อมูลเพิ่มเติมได้ที่ภาพรวมบทบาทในเอกสารประกอบของ Google Cloud ใช้เฉพาะบทบาทในบัญชีบริการ Fleet Engine ที่อธิบายไว้ในส่วนต่อไปนี้
ดูข้อมูลทั่วไปเพิ่มเติมเกี่ยวกับการให้บทบาท IAM ได้ที่หัวข้อให้บทบาท IAM โดยใช้คอนโซล Google Cloud
บทบาทของบัญชีบริการ Fleet Engine
บริการ Mobility ที่คุณเลือกสําหรับการติดตั้ง Fleet Engine จะกําหนดบทบาทและสิทธิ์ที่รวมอยู่ด้วย
บทบาทต่อไปนี้แสดงวิธีที่สิทธิ์ทำงานร่วมกับบทบาทใน Fleet Engine
บทบาท ondemandAdmin และ deliveryAdmin สามารถดําเนินการทั้งหมดใน Fleet Engine ได้ ใช้บทบาทเหล่านี้ในสภาพแวดล้อมที่เชื่อถือเท่านั้น เช่น การสื่อสารระหว่างเซิร์ฟเวอร์แบ็กเอนด์กับ Fleet Engine
บทบาท driverSdkUser และ consumerSdkUser ได้รับอนุญาตให้ดูรายละเอียดสำหรับการเดินทางที่ได้รับมอบหมาย รวมถึงอัปเดตหรือรับตำแหน่งของยานพาหนะเท่านั้น บทบาทประเภทนี้มักใช้โดยไคลเอ็นต์ในสภาพแวดล้อมที่มีความน่าเชื่อถือต่ำ เช่น แอปไดรเวอร์ ผู้บริโภค หรือการติดตาม
บทบาทและสิทธิ์ที่มอบให้สำหรับการเดินทางแบบออนดีมานด์และงานที่กำหนดเวลาไว้มีคำอธิบายอยู่ในตารางต่อไปนี้
การเดินทางแบบออนดีมานด์
บทบาท | สิทธิ์ |
---|---|
ผู้ดูแลระบบแบบออนดีมานด์ของ Fleet Engine
|
ให้สิทธิ์การอ่านและเขียนสำหรับทรัพยากรยานพาหนะและการเดินทางทั้งหมด ผู้ที่มีบทบาทนี้ไม่จำเป็นต้องใช้ JWT และควรใช้ข้อมูลเข้าสู่ระบบเริ่มต้นของแอปพลิเคชันแทนทุกครั้งที่ทำได้ บทบาทนี้จะละเว้นการอ้างสิทธิ์ JWT ที่กําหนดเอง จำกัดการใช้บทบาทนี้ในสภาพแวดล้อมที่เชื่อถือได้ เช่น เซิร์ฟเวอร์แบ็กเอนด์ |
ผู้ใช้ Fleet Engine Driver SDK
|
อัปเดตตำแหน่งและเส้นทางของยานพาหนะ รวมถึงเรียกข้อมูลเกี่ยวกับยานพาหนะและการเดินทาง ใช้ JWT ที่มีการอ้างสิทธิ์ที่กำหนดเองซึ่งสร้างด้วยบทบาทนี้เพื่อการตรวจสอบสิทธิ์และการให้สิทธิ์จากแอปคนขับสำหรับบริการร่วมเดินทางหรือการนำส่ง |
ผู้ใช้ Fleet Engine Consumer SDK
|
ค้นหายานพาหนะและดึงข้อมูลเกี่ยวกับยานพาหนะและการเดินทาง ใช้ JWT กับการอ้างสิทธิ์ที่กําหนดเองซึ่งสร้างด้วยบทบาทนี้สําหรับแอปผู้บริโภคสําหรับบริการร่วมเดินทางหรือการนำส่ง |
งานที่กำหนดเวลาไว้
บทบาท | สิทธิ์ |
---|---|
ผู้ดูแลระบบ Fleet Engine Delivery
|
ให้สิทธิ์การอ่านและเขียนสำหรับทรัพยากรการนำส่ง ผู้ที่มีบทบาทนี้ไม่จำเป็นต้องใช้ JWT แต่ควรใช้ข้อมูลเข้าสู่ระบบเริ่มต้นของแอปพลิเคชันแทน ละเว้นการอ้างสิทธิ์ JWT ที่กําหนดเอง จำกัดการใช้บทบาทนี้ในสภาพแวดล้อมที่เชื่อถือได้ เช่น เซิร์ฟเวอร์แบ็กเอนด์ |
ผู้อ่านฟลีตของ Fleet Engine Delivery
|
ให้สิทธิ์อ่านยานพาหนะสำหรับนำส่งและงาน รวมถึงสิทธิ์ค้นหางานโดยใช้รหัสติดตาม โดยปกติแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะมาจากเว็บเบราว์เซอร์ของผู้ให้บริการขนส่ง |
ผู้ใช้ไดรเวอร์ที่ไม่น่าเชื่อถือของ Fleet Engine Delivery
|
ให้สิทธิ์อัปเดตตำแหน่งยานพาหนะนำส่ง โดยทั่วไปแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะมาจากอุปกรณ์เคลื่อนที่ของพนักงานส่งของ หมายเหตุ: อุปกรณ์ที่ไม่น่าเชื่อถือหมายถึงอุปกรณ์ของคนขับรถที่ไอทีของบริษัทไม่ได้จัดการ แต่เป็นคนขับรถที่เป็นผู้จัดหาให้ และโดยทั่วไปไม่มีการควบคุมด้านความปลอดภัยด้านไอทีที่เหมาะสม องค์กรที่มีนโยบาย BYOD ควรเลือกบทบาทนี้เพื่อความปลอดภัย และใช้เฉพาะแอปบนอุปกรณ์เคลื่อนที่เพื่อส่งการอัปเดตตำแหน่งของยานพาหนะไปยัง Fleet Engine การโต้ตอบอื่นๆ ทั้งหมดควรมาจากเซิร์ฟเวอร์แบ็กเอนด์ |
ผู้ใช้ผู้บริโภคของ Fleet Engine Delivery
|
ให้สิทธิ์ค้นหางานโดยใช้รหัสติดตาม และอ่านแต่ไม่อัปเดตข้อมูลงาน โดยปกติแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะมาจากเว็บเบราว์เซอร์ของผู้บริโภคการนำส่ง |
ผู้ใช้ไดรเวอร์ที่เชื่อถือได้ของ Fleet Engine Delivery
|
ให้สิทธิ์สร้างและอัปเดตยานพาหนะนำส่งและงาน รวมถึงอัปเดตตำแหน่งยานพาหนะนำส่งและสถานะหรือผลลัพธ์ของงาน โดยปกติแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะมาจากอุปกรณ์เคลื่อนที่ของคนขับรถส่งของหรือจากเซิร์ฟเวอร์แบ็กเอนด์ หมายเหตุ: เชื่อถือได้หมายถึงอุปกรณ์ของคนขับที่จัดการโดยไอทีของบริษัทซึ่งมีการควบคุมความปลอดภัยที่เหมาะสม องค์กรที่จัดหาอุปกรณ์เหล่านี้สามารถเลือกผสานรวมการโต้ตอบกับ Fleet Engine เข้ากับแอปบนอุปกรณ์เคลื่อนที่ได้ |
วิธีใช้บทบาท IAM และบัญชีบริการกับ Fleet Engine
หากต้องการใช้บัญชีบริการสําหรับการตรวจสอบสิทธิ์และการให้สิทธิ์ใน Fleet Engine ให้ทําตามขั้นตอนทั่วไปต่อไปนี้
สร้างบัญชีบริการในคอนโซล Google Cloud สำหรับบทบาทแต่ละบทบาทที่ต้องการ คุณต้องใช้บัญชีบริการเพื่อตรวจสอบสิทธิ์ไดรเวอร์ ผู้บริโภค แอปพลิเคชันและเว็บไซต์ตรวจสอบยานพาหนะ รวมถึงซอฟต์แวร์ใดๆ ที่ต้องเข้าถึงข้อมูล Fleet Engine ซอฟต์แวร์ที่ต้องการสิทธิ์เดียวกันจะใช้บัญชีบริการเดียวกันได้
มอบหมายบทบาทนโยบาย IAM ของ Fleet Engine ให้กับบัญชีบริการแต่ละบัญชี เลือกบทบาทนโยบาย IAM สำหรับ Fleet Engine โดยเฉพาะที่ให้สิทธิ์ที่เหมาะสมในการเข้าถึงหรืออัปเดตข้อมูลใน Fleet Engine
ใช้บัญชีบริการที่เหมาะสมในแอปและซอฟต์แวร์เพื่อตรวจสอบสิทธิ์การเชื่อมต่อกับ Fleet Engine และให้สิทธิ์เข้าถึงทรัพยากรที่บทบาทที่ได้รับมอบหมายอนุญาต
โปรดดูรายละเอียดเกี่ยวกับบทบาทของบัญชีบริการที่สอดคล้องกับความปลอดภัยของ Fleet Engine ที่หัวข้อภาพรวมความปลอดภัย ดูคำอธิบายบทบาทของบัญชีบริการทั้งหมดได้ที่การทำความเข้าใจบทบาท IAM ในเอกสารประกอบของ Google Cloud
ขั้นตอนถัดไป
- อ่านเกี่ยวกับโทเค็นเว็บ JSON เพื่อทําความเข้าใจการใช้งานใน Fleet Engine
- ดูภาพรวมความปลอดภัยของ Fleet Engine ได้ที่ภาพรวมความปลอดภัย
- ดูคำอธิบายแบบเต็มเกี่ยวกับบทบาทของบัญชีบริการใน Google Cloud Console ได้ที่การทำความเข้าใจบทบาท IAM