הגדרת IAM ותפקידי חשבון שירות

הגדרה נכונה של IAM היא תנאי מוקדם לניהול האבטחה והזהויות במערכת Fleet Engine. אתם יכולים להשתמש בתפקידי IAM כדי להתאים אישית את הגישה לפעולות ולנתונים שונים בהתאם לדרישות של נהגים, צרכנים ומפעילי ציי רכב.

מהם חשבונות שירות ותפקידי IAM?

מגדירים חשבונות שירות במסוף Google Cloud כדי לאמת ולתת הרשאת גישה לנתונים ב-Fleet Engine. ל-Fleet Engine יש קבוצה של תפקידי IAM מוגדרים מראש, שאתם מקצים לחשבון שירות כדי לקבוע לאילו נתונים לחשבון יש גישה. לפרטים, ראו סקירה כללית על חשבונות שירות במסמכי העזרה של Google Cloud.

ב-Fleet Engine נעשה שימוש בתפקידים ובמדיניות של IAM כדי לנהל את ההרשאות לשיטות ולמשאבים של Fleet Engine API. מידע נוסף זמין במאמר סקירה כללית על תפקידים במסמכי התיעוד של Google Cloud. מומלץ להשתמש רק בתפקידים של חשבונות השירות ב-Fleet Engine שמפורטים בקטעים הבאים.

מידע כללי יותר על הקצאת תפקידים ב-IAM זמין במאמר איך נותנים תפקידים ב-IAM באמצעות מסוף Google Cloud.

תפקידים של חשבונות שירות ב-Fleet Engine

התפקידים וההרשאות שכלולים מוגדרים לפי שירות התנועה שבחרתם להתקנה של Fleet Engine.

התפקידים הבאים ממחישים איך ההרשאות פועלות עם התפקידים ב-Fleet Engine:

  • התפקידים ondemandAdmin ו-deliveryAdmin יכולים לבצע את כל הפעולות ב-Fleet Engine. מומלץ להשתמש בתפקידים האלה רק בסביבות מהימנות, כמו תקשורת בין שרת הקצה העורפי לבין Fleet Engine.

  • התפקידים driverSdkUser ו-consumerSdkUser מורשים לקבל רק פרטים על נסיעות שהוקצו להם ולעדכן או לקבל את המיקום של הרכב. בדרך כלל, לקוחות משתמשים בתפקידים האלה בסביבות עם רמת אמון נמוכה, כמו אפליקציות לניהול התקנים, לצרכן או למעקב.

התפקידים וההרשאות שניתנו לנסיעות על פי דרישה ולמשימות מתוזמנות מתוארים בטבלאות הבאות.

נסיעות על פי דרישה

תפקיד הרשאה

אדמין על פי דרישה ב-Fleet Engine

roles/fleetengine.ondemandAdmin

מעניק הרשאת קריאה וכתיבה לכל משאבי הרכב והנסיעות. חשבונות משתמשים עם התפקיד הזה לא צריכים להשתמש ב-JWTs, ובמקום זאת כדאי להשתמש ב-Application Default Credentials כשהדבר אפשרי. התפקיד הזה מתעלם מטענות נכונות (claims) בהתאמה אישית של JWT. להגביל את השימוש בתפקיד הזה לסביבות מהימנות, כמו שרת הקצה העורפי.

משתמש ב-SDK של Fleet Engine Driver

roles/fleetengine.driverSdkUser

עדכון המיקומים והמסלולים של כלי הרכב, אחזור מידע על כלי רכב ונסיעות. שימוש באסימוני JWT עם הצהרות בהתאמה אישית שנוצרו באמצעות התפקיד הזה, לצורך אימות והרשאה מאפליקציות של נהגים לשירותי שיתוף נסיעות או משלוחים.

משתמש ב-SDK של צרכן Fleet Engine

roles/fleetengine.consumerSdkUser

חיפוש רכבים ואחזור מידע על רכבים ונסיעות. שימוש באסימוני JWT עם הצהרות בהתאמה אישית שנוצרו באמצעות התפקיד הזה לאפליקציות של צרכנים לשירותי שיתוף נסיעות או משלוחים .

משימות מתוזמנות

תפקיד הרשאה

אדמין של מודעות לרכב ב-Fleet

roles/fleetengine.deliveryAdmin

מעניק הרשאת קריאה וכתיבה למשאבי העברה. חשבונות משתמשים עם התפקיד הזה לא צריכים להשתמש ב-JWT, אלא צריכים להשתמש ב-Application Default Credentials. התעלמות מטענות נכונות (claims) מותאמות אישית של JWT. להגביל את השימוש בתפקיד הזה לסביבות מהימנות, כמו שרת הקצה העורפי.

Fleet Engine Delivery Fleet Reader

roles/fleetengine.deliveryFleetReader

הרשאה לקרוא משימות וכלי רכב להעברה, ולחפש משימות באמצעות מזהה מעקב. בדרך כלל, אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים בדפדפן האינטרנט של מפעיל צי המשלוחים.

משתמש לא מהימן של נהג בשירות Fleet Engine Delivery

roles/fleetengine.deliveryUntrustedDriver

הרשאה לעדכן את המיקום של כלי הרכב להעברה. בדרך כלל, משתמשים באסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה מהמכשיר הנייד של נהג המסירה.

הערה: 'לא מהימן' מתייחס למכשיר של נהג שלא מנוהל על ידי מחלקת ה-IT של הארגון, אלא מסופק על ידי הנהג, ובדרך כלל ללא אמצעי בקרה מתאימים לאבטחת ה-IT. ארגונים עם מדיניות של 'הבאת מכשיר משלכם' צריכים לבחור באפשרות הבטוחה הזו ולהסתמך רק על האפליקציה לנייד כדי לשלוח עדכונים לגבי מיקום הרכב ל-Fleet Engine. כל שאר האינטראקציות צריכות להגיע מהשרתים בקצה העורפי.

משתמש צרכן של Fleet Engine Delivery

roles/fleetengine.deliveryConsumer

הרשאה לחפש משימות באמצעות מזהה מעקב, ולקרוא את פרטי המשימות אבל לא לעדכן אותם. בדרך כלל, אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים בדפדפן האינטרנט של צרכן המסירה.

משתמש 'נהג מהימן' ב-Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

הרשאה ליצירה ולעדכון של משימות ורכבי משלוחים, כולל עדכון המיקום של רכבי המשלוחים וסטטוס או תוצאה של משימות. בדרך כלל, אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים במכשירים הניידים של נהגי המשלוחים או בשרתי הקצה העורפי.

הערה: 'מכשיר מהימן' מתייחס למכשיר של נהג שמנוהל על ידי צוות ה-IT של הארגון, ויש לו אמצעי בקרת אבטחה מתאימים. ארגונים שמספקים את המכשירים האלה יכולים לשלב את האינטראקציות עם Fleet Engine באפליקציה לנייד.

איך משתמשים בתפקידי IAM ובחשבונות שירות עם Fleet Engine

כדי להשתמש בחשבונות שירות לאימות ולהרשאה ב-Fleet Engine, פועלים לפי השלבים הכלליים הבאים:

  1. יוצרים חשבונות שירות במסוף Google Cloud לכל תפקיד שנחוץ לכם. חשבונות שירות נדרשים לאימות של אפליקציות לאיסוף נתונים של נהגים, צרכנים, מעקב אחרי ציי רכב וניהול ציי רכב, וכן לאתרים – כל תוכנה שזקוקה לגישה לנתונים של Fleet Engine. תוכנות שזקוקות לאותו הרשאות יכולות להשתמש באותו חשבון שירות.

  2. מקצים תפקיד מדיניות IAM של Fleet Engine לכל חשבון שירות. בוחרים את התפקיד במדיניות IAM שספציפי ל-Fleet Engine, שמספק את ההרשאות המתאימות לגישה לנתונים ב-Fleet Engine או לעדכון שלהם.

  3. משתמשים בחשבונות השירות המתאימים באפליקציות ובתוכנות כדי לאמת את החיבור שלהם ל-Fleet Engine, ולאשר את הגישה למשאבים שהוקצו על ידי התפקיד שהוקצה.

במאמר סקירה כללית על אבטחה מוסבר איך התפקידים של חשבונות השירות משתלבים באבטחה של Fleet Engine. הסבר מלא על התפקידים של חשבונות שירות זמין במאמר הסבר על התפקידים ב-IAM במסמכי העזרה של Google Cloud.

המאמרים הבאים