La configuración correcta de IAM es un requisito previo de la administración de seguridad y identidad de tu sistema de Fleet Engine. Usa roles de IAM para adaptar el acceso a diferentes operaciones y datos para cumplir con los requisitos de los conductores, los consumidores y los operadores de flotas.
¿Qué son las cuentas de servicio y los roles de IAM?
Configuras cuentas de servicio en la consola de Google Cloud para autenticar y autorizar el acceso a los datos en Fleet Engine. Fleet Engine tiene un conjunto de roles de IAM predeterminados que asignas a una cuenta de servicio para determinar a qué datos tiene acceso esa cuenta. Para obtener más información, consulta la descripción general de las cuentas de servicio en la documentación de Google Cloud.
Fleet Engine usa roles y políticas de IAM para administrar la autorización de los métodos y recursos de la API de Fleet Engine. Para obtener más información, consulta Descripción general de los roles en la documentación de Google Cloud. Usa solo los roles de cuenta de servicio de Fleet Engine que se describen en las siguientes secciones.
Para obtener información más general sobre cómo otorgar roles de IAM, consulta Otorga un rol de IAM con la consola de Google Cloud.
Roles de la cuenta de servicio de Fleet Engine
El servicio de movilidad que elijas para la instalación de Fleet Engine determina los roles y permisos que se incluyen.
En los siguientes roles, se ilustra cómo funcionan los permisos con los roles de Fleet Engine:
Los roles ondemandAdmin y deliveryAdmin pueden realizar todas las operaciones en Fleet Engine. Usa estos roles solo en entornos de confianza, como las comunicaciones entre tu servidor de backend y Fleet Engine.
Los roles driverSdkUser y consumerSdkUser solo pueden obtener detalles de los viajes asignados y actualizar o recibir la ubicación del vehículo. Por lo general, los clientes usan estos tipos de roles en entornos de baja confianza, como apps de conductor, consumidor o supervisión.
Los roles y permisos otorgados para los viajes a pedido y las tareas programadas se describen en las siguientes tablas.
Viajes a pedido
| Rol | Permiso |
|---|---|
Administrador según demanda de Fleet Engine
|
Otorga permiso de lectura y escritura para todos los recursos de vehículos y viajes. Los principales con este rol no necesitan usar JWT y, en su lugar, deben usar las credenciales predeterminadas de la aplicación siempre que sea posible. Este rol ignora los reclamos de JWT personalizados. Restringe el uso de este rol a entornos confiables, como tu servidor de backend. |
Usuario de SDK para el controlador de Fleet Engine
|
Actualiza las ubicaciones y las rutas de los vehículos, y recupera información sobre los vehículos y los viajes. Usa JWT con reclamos personalizados creados con este rol para la autenticación y autorización desde apps de conductores para viajes compartidos o entregas. |
Usuario de SDK para el consumidor de Fleet Engine
|
Buscar vehículos y recuperar información sobre ellos y los viajes Usa JWT con reclamos personalizados creados con este rol para apps de consumo de transporte privado con conductor o entrega . |
Tareas programadas
| Rol | Permiso |
|---|---|
Administrador de entrega de Fleet Engine
|
Otorga permiso de lectura y escritura para los recursos de publicación. Los principales con este rol no necesitan usar JWT y, en su lugar, deben usar credenciales predeterminadas de la aplicación. Ignora las reclamaciones de JWT personalizadas. Restringe el uso de este rol a entornos de confianza, como tu servidor de backend. |
Lector de flotas de entrega de Fleet Engine
|
Otorga permiso para leer vehículos y tareas de entrega, y para buscar tareas con un ID de seguimiento. Por lo general, los tokens emitidos por una cuenta de servicio con este rol se usan desde el navegador web de un operador de flota de entrega. |
Usuario de controlador no confiable de entrega de Fleet Engine
|
Otorga permiso para actualizar la ubicación del vehículo de entrega. Por lo general, los tokens que emite una cuenta de servicio con este rol se usan desde el dispositivo móvil del conductor de reparto. Nota: No confiable se refiere al dispositivo de un conductor que no es administrado por el equipo de TI corporativo, sino que lo proporciona el conductor y, por lo general, no tiene los controles de seguridad de TI adecuados. Las organizaciones con políticas de uso de dispositivos personales deben optar por la seguridad de este rol y solo depender de la app para dispositivos móviles para enviar actualizaciones de la ubicación del vehículo a Fleet Engine. Todas las demás interacciones deben provenir de tus servidores de backend. |
Usuario consumidor de entrega de Fleet Engine
|
Otorga permiso para buscar tareas con un ID de seguimiento y para leer, pero no actualizar, la información de las tareas. Por lo general, los tokens emitidos por una cuenta de servicio con este rol se usan desde el navegador web de un consumidor de publicación. |
Usuario de controlador confiable de entrega de Fleet Engine
|
Otorga permiso para crear y actualizar vehículos de reparto y tareas, lo que incluye la actualización de la ubicación del vehículo de reparto y el estado o el resultado de la tarea. Por lo general, los tokens emitidos por una cuenta de servicio con este rol se usan desde los dispositivos móviles del conductor de reparto o desde tus servidores de backend. Nota: El dispositivo de confianza se refiere al dispositivo de un conductor que administra el equipo de TI de la empresa y que tiene controles de seguridad adecuados. Las organizaciones que proporcionan estos dispositivos pueden optar por integrar las interacciones de Fleet Engine en la app para dispositivos móviles. |
Cómo usar roles de IAM y cuentas de servicio con Fleet Engine
Para usar cuentas de servicio para la autenticación y la autorización en Fleet Engine, sigue estos pasos generales:
Crea cuentas de servicio en la consola de Google Cloud para cada rol que necesites. Necesitas cuentas de servicio para autenticar aplicaciones y sitios web de supervisión, administración y monitoreo de flotas, consumidores y conductores, es decir, cualquier software que necesite acceso a los datos de Fleet Engine. El software que necesita los mismos permisos puede usar la misma cuenta de servicio.
Asigna un rol de política de IAM de Fleet Engine a cada cuenta de servicio. Selecciona el rol de la política de IAM específica de Fleet Engine que proporcione los permisos adecuados para acceder a tus datos o actualizarlos en Fleet Engine.
Usa las cuentas de servicio adecuadas en tus apps y software para autenticar su conexión con Fleet Engine y autorizar el acceso a los recursos que otorga el rol asignado.
Para obtener detalles sobre cómo los roles de las cuentas de servicio se ajustan a la seguridad de Fleet Engine, consulta la descripción general de la seguridad. Para obtener una explicación completa de los roles de las cuentas de servicio, consulta Comprende los roles de IAM en la documentación de Google Cloud.
¿Qué sigue?
- Lee sobre los tokens web JSON para comprender su uso en Fleet Engine.
- Para obtener una descripción general de la seguridad de Fleet Engine, consulta la Descripción general de seguridad.
- Para obtener una explicación completa de los roles de las cuentas de servicio de la consola de Google Cloud, consulta Información sobre los roles de IAM.