आईएएम सेटअप और सेवा खाते की भूमिकाएं

आपके Fleet Engine सिस्टम के लिए, सुरक्षा और पहचान मैनेजमेंट की ज़रूरी शर्त यह है कि IAM को सही तरीके से कॉन्फ़िगर किया गया हो. ड्राइवर, उपभोक्ताओं, और फ़्लीट ऑपरेटर की ज़रूरतों को पूरा करने के लिए, अलग-अलग ऑपरेशन और डेटा का ऐक्सेस तय करने के लिए, IAM भूमिकाओं का इस्तेमाल करें.

सेवा खाते और आईएएम की भूमिकाएं क्या होती हैं?

Fleet Engine में डेटा को ऐक्सेस करने की पुष्टि करने और उसे ऐक्सेस करने की अनुमति देने के लिए, Google Cloud Console में सेवा खाते सेट अप किए जाते हैं. Fleet Engine में, पहले से तय की गई IAM भूमिकाओं का एक सेट होता है. इन भूमिकाओं को किसी सेवा खाते को असाइन किया जाता है, ताकि यह तय किया जा सके कि उस खाते के पास किस डेटा का ऐक्सेस है. ज़्यादा जानकारी के लिए, Google Cloud के दस्तावेज़ में सेवा खातों की खास जानकारी देखें.

Fleet Engine, Fleet Engine API के तरीकों और संसाधनों के लिए अनुमति मैनेज करने के लिए, IAM भूमिकाओं और नीतियों का इस्तेमाल करता है. ज़्यादा जानकारी के लिए, Google Cloud के दस्तावेज़ में भूमिकाओं की खास जानकारी देखें. सिर्फ़ Fleet Engine सेवा खाते की उन भूमिकाओं का इस्तेमाल करें जिनके बारे में नीचे दिए गए सेक्शन में बताया गया है.

आईएएम भूमिकाएं देने के बारे में ज़्यादा जानकारी के लिए, Google Cloud Console का इस्तेमाल करके आईएएम भूमिकाएं देना लेख पढ़ें.

Fleet Engine के सेवा खाते की भूमिकाएं

Fleet Engine इंस्टॉल करने के लिए चुनी गई मोबिलिटी सेवा से यह तय होता है कि कौनसी भूमिकाएं और अनुमतियां शामिल की जाएंगी.

नीचे दी गई भूमिकाएं बताती हैं कि Fleet Engine की भूमिकाओं के साथ अनुमतियां कैसे काम करती हैं:

  • ondemandAdmin और deliveryAdmin की भूमिकाएं, Fleet Engine में सभी काम कर सकती हैं. इन भूमिकाओं का इस्तेमाल सिर्फ़ भरोसेमंद एनवायरमेंट में करें, जैसे कि बैकएंड सर्वर और Fleet Engine के बीच बातचीत.

  • driverSdkUser और consumerSdkUser की भूमिकाओं को सिर्फ़ असाइन की गई यात्राओं की जानकारी पाने और वाहन की जगह की जानकारी अपडेट करने या पाने की अनुमति है. आम तौर पर, क्लाइंट कम भरोसेमंद वातावरणों में इस तरह की भूमिकाओं का इस्तेमाल करते हैं. जैसे, ड्राइवर, उपभोक्ता या मॉनिटरिंग ऐप्लिकेशन.

ऑन-डिमांड यात्राओं और शेड्यूल किए गए टास्क के लिए दी गई भूमिकाओं और अनुमतियों के बारे में, यहां दी गई टेबल में बताया गया है.

मांग पर यात्राएं

भूमिका अनुमति

फ़्लीट इंजन मांग पर एडमिन

roles/fleetengine.ondemandAdmin

सभी वाहन और यात्राओं के संसाधनों को पढ़ने और उनमें बदलाव करने की अनुमति देता है. इस भूमिका वाले प्रिंसिपल को JWT का इस्तेमाल करने की ज़रूरत नहीं है. इसके बजाय, उन्हें जब भी हो सके, ऐप्लिकेशन के डिफ़ॉल्ट क्रेडेंशियल का इस्तेमाल करना चाहिए. यह भूमिका, कस्टम JWT दावों को अनदेखा करती है. इस भूमिका का इस्तेमाल सिर्फ़ उन एनवायरमेंट के लिए करें जिन पर भरोसा किया जा सकता है. जैसे, आपका बैकएंड सर्वर.

Fleet Engine Driver SDK टूल का उपयोगकर्ता

roles/fleetengine.driverSdkUser

वाहन की जगहों और रास्तों की जानकारी अपडेट करना. साथ ही, वाहनों और ट्रिप के बारे में जानकारी हासिल करना. ड्राइविंग के लिए इस्तेमाल होने वाले ऐप्लिकेशन से, रिडशेयर या डिलीवरी के लिए पुष्टि करने और अनुमति देने के लिए, इस भूमिका के साथ बनाए गए कस्टम दावों के साथ JWT का इस्तेमाल करें.

Fleet Engine Consumer SDK टूल का उपयोगकर्ता

roles/fleetengine.consumerSdkUser

वाहन खोजें और वाहनों और ट्रिप के बारे में जानकारी पाएं. इस भूमिका के साथ बनाए गए कस्टम दावों के साथ JWT का इस्तेमाल करें. ऐसा, राइडशेयरिंग या डिलीवरी के लिए, उपभोक्ता ऐप्लिकेशन के लिए किया जाता है.

शेड्यूल किए गए टास्क

भूमिका अनुमति

Fleet Engine डिलीवरी एडमिन

roles/fleetengine.deliveryAdmin

डिलीवरी संसाधनों के लिए पढ़ने और लिखने की अनुमति देता है. इस भूमिका वाले मुख्य खातों को JWT का इस्तेमाल करने की ज़रूरत नहीं होती. इसके बजाय, उन्हें ऐप्लिकेशन के डिफ़ॉल्ट क्रेडेंशियल का इस्तेमाल करना चाहिए. कस्टम JWT दावों को अनदेखा करता है. इस भूमिका का इस्तेमाल, सिर्फ़ भरोसेमंद एनवायरमेंट के लिए करें. जैसे, आपका बैकएंड सर्वर.

फ़्लीट इंजन डिलीवरी फ़्लीट रीडर

roles/fleetengine.deliveryFleetReader

डिलीवरी वाहन और टास्क पढ़ने की अनुमति देता है. साथ ही, ट्रैकिंग आईडी का इस्तेमाल करके टास्क खोजने की अनुमति भी देता है. इस भूमिका वाले सेवा खाते से जारी किए गए टोकन का इस्तेमाल, आम तौर पर डिलीवरी फ़्लीट ऑपरेटर के वेब ब्राउज़र से किया जाता है.

फ़्लीट इंजन डिलीवरी गैर-भरोसेमंद ड्राइवर उपयोगकर्ता

roles/fleetengine.deliveryUntrustedDriver

डिलीवरी वाहन की जगह की जानकारी अपडेट करने की अनुमति देता है. इस भूमिका वाले सेवा खाते से जारी किए गए टोकन, आम तौर पर आपके डिलीवरी ड्राइवर के मोबाइल डिवाइस से इस्तेमाल किए जाते हैं.

ध्यान दें: 'भरोसेमंद नहीं' का मतलब ऐसे ड्राइवर के डिवाइस से है जिसे कंपनी के आईटी डिपार्टमेंट ने मैनेज नहीं किया है. इसके बजाय, ड्राइवर ने खुद ही यह डिवाइस उपलब्ध कराया है. आम तौर पर, इस डिवाइस पर आईटी से जुड़ी सुरक्षा से जुड़े सही कंट्रोल नहीं होते. जिन संगठनों ने 'अपना डिवाइस लाएं' नीतियां बनाई हैं उन्हें इस भूमिका के लिए सुरक्षा मोड को चुनना चाहिए. साथ ही, वाहन की जगह की जानकारी के अपडेट को Fleet Engine को भेजने के लिए, सिर्फ़ मोबाइल ऐप्लिकेशन का इस्तेमाल करना चाहिए. अन्य सभी इंटरैक्शन, आपके बैकएंड सर्वर से होने चाहिए.

फ़्लीट इंजन डिलीवरी उपभोक्ता उपयोगकर्ता

roles/fleetengine.deliveryConsumer

ट्रैकिंग आईडी का इस्तेमाल करके टास्क खोजने और टास्क की जानकारी पढ़ने की अनुमति मिलती है. हालांकि, टास्क की जानकारी अपडेट नहीं की जा सकती. इस भूमिका वाले सेवा खाते से जारी किए गए टोकन का इस्तेमाल, आम तौर पर डिलीवरी के उपभोक्ता के वेब ब्राउज़र से किया जाता है.

Fleet Engine Delivery Trusted Driver User

roles/fleetengine.deliveryTrustedDriver

डिलीवरी वाहन और टास्क बनाने और उन्हें अपडेट करने की अनुमति देता है. इसमें डिलीवरी वाहन की जगह और टास्क की स्थिति या नतीजे को अपडेट करना भी शामिल है. इस भूमिका वाले सेवा खाते से जारी किए गए टोकन का इस्तेमाल, आम तौर पर डिलीवरी ड्राइवर के मोबाइल डिवाइसों या आपके बैकएंड सर्वर से किया जाता है.

ध्यान दें: भरोसेमंद डिवाइस का मतलब, ड्राइवर के उस डिवाइस से है जिसे कॉर्पोरेट आईटी मैनेज करता है और जिसमें सुरक्षा से जुड़े सही कंट्रोल हैं. इन डिवाइसों को उपलब्ध कराने वाले संगठन, मोबाइल ऐप्लिकेशन में Fleet Engine इंटरैक्शन को इंटिग्रेट करने का विकल्प चुन सकते हैं.

Fleet Engine के साथ IAM रोल और सेवा खातों का इस्तेमाल करने का तरीका

Fleet Engine में पुष्टि करने और अनुमति देने के लिए, सेवा खातों का इस्तेमाल करने के लिए, ये सामान्य तरीके अपनाएं:

  1. अपनी ज़रूरत के हिसाब से हर भूमिका के लिए, Google Cloud Console में सेवा खाते बनाएं. ड्राइवर, उपभोक्ता, फ़्लीट मॉनिटरिंग, और फ़्लीट मैनेजमेंट ऐप्लिकेशन और वेबसाइटों की पुष्टि करने के लिए, आपको सेवा खातों की ज़रूरत होती है. साथ ही, आपको ऐसे किसी भी सॉफ़्टवेयर के लिए सेवा खातों की ज़रूरत होती है जिसे Fleet Engine के डेटा का ऐक्सेस चाहिए. जिन सॉफ़्टवेयर को एक ही तरह की अनुमतियां चाहिए वे एक ही सेवा खाते का इस्तेमाल कर सकते हैं.

  2. हर सेवा खाते को Fleet Engine आईएएम नीति की भूमिका असाइन करें. Fleet Engine के लिए बनी IAM नीति की वह भूमिका चुनें जो Fleet Engine में आपके डेटा को ऐक्सेस या अपडेट करने के लिए ज़रूरी अनुमतियां देती हो.

  3. Fleet Engine के साथ उनके कनेक्शन की पुष्टि करने के लिए अपने ऐप्लिकेशन और सॉफ़्टवेयर में सही सेवा खातों का इस्तेमाल करें और असाइन की गई भूमिका से मिले संसाधनों को ऐक्सेस करने की अनुमति दें.

Fleet Engine की सुरक्षा में सेवा खाते की भूमिकाएं किस तरह फ़िट होती हैं, इस बारे में जानने के लिए सुरक्षा की खास जानकारी देखें. सेवा खाते की भूमिकाओं के बारे में पूरी जानकारी पाने के लिए, Google Cloud के दस्तावेज़ में आईएएम भूमिकाओं को समझना लेख पढ़ें.

आगे क्या करना है