บทบาทของบัญชีบริการ

บทบาทบัญชีบริการเป็นส่วนสำคัญของการจัดการความปลอดภัยและข้อมูลประจำตัวสำหรับ ระบบ Fleet Engine ของคุณ บทบาทเหล่านี้ช่วยให้คุณปรับแต่งการเข้าถึง การดำเนินงานและข้อมูลให้ตรงตามข้อกำหนดของผู้ขับขี่ ผู้บริโภค และกลุ่มยานพาหนะ โอเปอเรเตอร์

บัญชีบริการคืออะไร

บัญชีบริการคือบัญชี Google Cloud Console ที่คุณใช้เพื่อตรวจสอบสิทธิ์ และให้สิทธิ์เข้าถึงข้อมูลใน Fleet Engine Fleet Engine มีชุดของ บทบาทในนโยบาย IAM ที่กำหนดไว้ล่วงหน้าซึ่งคุณกำหนดให้กับบัญชีบริการเพื่อกำหนด ข้อมูลที่บัญชีดังกล่าวมีสิทธิ์เข้าถึง

บทบาทบัญชีบริการ Fleet Engine

บริการ Mobility ที่คุณเลือกสำหรับการติดตั้ง Fleet Engine จะกำหนด บทบาทและสิทธิ์ที่มีอยู่

บทบาทต่อไปนี้แสดงให้เห็นว่าสิทธิ์ทำงานร่วมกับบทบาท Fleet Engine อย่างไร

  • บทบาท ondemandAdmin และ deliveryAdmin สามารถดำเนินการทั้งหมดได้ ใน Fleet Engine ใช้บทบาทเหล่านี้ในสภาพแวดล้อมที่เชื่อถือได้เท่านั้น เช่น การสื่อสารระหว่างเซิร์ฟเวอร์แบ็กเอนด์ของคุณกับ Fleet Engine

  • บทบาท driverSdkUser และ consumerSdkUser เป็นเพียง ได้รับอนุญาตให้ดูรายละเอียดการเดินทางที่กำหนด และอัปเดตหรือได้รับยานพาหนะ ตำแหน่งนั้น บทบาทประเภทนี้ที่ลูกค้ามักจะใช้ สภาพแวดล้อมที่มีความน่าเชื่อถือต่ำ เช่น คนขับ ผู้บริโภค หรือแอปเฝ้าติดตาม

บทบาทและสิทธิ์ที่ให้ไว้สำหรับการเดินทางแบบออนดีมานด์และงานที่กำหนดเวลาไว้มีดังนี้ ดังที่อธิบายในตารางต่อไปนี้

การเดินทางแบบออนดีมานด์

บทบาท สิทธิ์

ผู้ดูแลระบบออนดีมานด์ของ Fleet Engine

roles/fleetengine.ondemandAdmin

ให้สิทธิ์อ่านและเขียนสำหรับยานพาหนะและการเดินทางทั้งหมด ที่ไม่ซับซ้อน ครูใหญ่ที่มีบทบาทนี้ไม่จำเป็นต้องใช้ JWT และ ควรใช้ข้อมูลเข้าสู่ระบบเริ่มต้นของแอปพลิเคชันแทนเมื่อเป็นไปได้ บทบาทนี้จะไม่สนใจการอ้างสิทธิ์ JWT ที่กำหนดเอง จำกัดการใช้บทบาทนี้เพื่อ สภาพแวดล้อมที่เชื่อถือได้ เช่น เซิร์ฟเวอร์แบ็กเอนด์

ผู้ใช้ Fleet Engine Driver SDK

roles/fleetengine.driverSdkUser

อัปเดตตำแหน่งและเส้นทางของยานพาหนะ ตลอดจนดึงข้อมูล เกี่ยวกับยานพาหนะและการเดินทาง ใช้ JWT ที่มีการอ้างสิทธิ์ที่กำหนดเองซึ่งสร้างขึ้นด้วย บทบาทนี้ในการตรวจสอบสิทธิ์และการให้สิทธิ์จากแอปไดรเวอร์สำหรับ บริการร่วมเดินทางหรือการจัดส่ง

ผู้ใช้ Fleet Engine Consumer SDK

roles/fleetengine.consumerSdkUser

ค้นหารถยนต์และเรียกดูข้อมูลเกี่ยวกับยานพาหนะและ การเดินทาง ใช้ JWT ที่มีการอ้างสิทธิ์แบบกำหนดเองซึ่งสร้างขึ้นด้วยบทบาทนี้สำหรับ แอปพลิเคชันสำหรับผู้บริโภคเพื่อบริการร่วมเดินทางหรือการจัดส่ง

งานที่กำหนดเวลาไว้

บทบาท สิทธิ์

ผู้ดูแลระบบ Fleet Engine Delivery

roles/fleetengine.deliveryAdmin

มอบสิทธิ์การอ่านและเขียนสำหรับทรัพยากรการนำส่ง ครูใหญ่ที่มีบทบาทนี้ไม่จำเป็นต้องใช้ JWT และควรใช้ ข้อมูลเข้าสู่ระบบเริ่มต้นของแอปพลิเคชัน ไม่สนใจการอ้างสิทธิ์ JWT ที่กำหนดเอง จำกัด การใช้บทบาทนี้ในสภาพแวดล้อมที่เชื่อถือได้ เช่น เซิร์ฟเวอร์แบ็กเอนด์

ผู้อ่าน Fleet Engine Delivery Fleet

roles/fleetengine.deliveryFleetReader

ให้สิทธิ์ในการอ่านยานพาหนะและงานที่ส่ง ค้นหางานโดยใช้รหัสติดตาม โทเค็นที่ออกโดยบัญชีบริการ ที่ใช้บทบาทนี้มักจะใช้จากเว็บของผู้ให้บริการกลุ่มจัดส่ง เบราว์เซอร์

ผู้ใช้ไดรเวอร์ที่ไม่น่าเชื่อถือของ Fleet Engine Delivery

roles/fleetengine.deliveryUntrustedDriver

ให้สิทธิ์ในการอัปเดตตำแหน่งของยานพาหนะที่นำส่ง โทเค็น โดยปกติบัญชีบริการที่มีบทบาทนี้จะใช้งานจาก อุปกรณ์เคลื่อนที่ของพนักงานขับรถส่งอาหาร

หมายเหตุ: "ไม่น่าเชื่อถือ" หมายถึง อุปกรณ์ขับรถที่ไม่ได้จัดการโดยฝ่ายไอทีของบริษัท แต่ จัดหาให้โดยคนขับและมักจะไม่มีระบบการรักษาความปลอดภัยด้านไอทีที่เหมาะสม องค์กรที่มีนโยบาย "นำอุปกรณ์ของคุณเองมาใช้" ควรเลือกใช้ เพื่อความปลอดภัยของบทบาทนี้และใช้เฉพาะแอปบนอุปกรณ์เคลื่อนที่ในการส่ง การอัปเดตตำแหน่งรถเป็น Fleet Engine การโต้ตอบอื่นๆ ทั้งหมด ควรมาจากเซิร์ฟเวอร์แบ็กเอนด์ของคุณ

ผู้ใช้ผู้บริโภคของ Fleet Engine Delivery

roles/fleetengine.deliveryConsumer

ให้สิทธิ์เพื่อค้นหางานโดยใช้รหัสติดตาม และ อ่านได้แต่ไม่อัปเดตข้อมูลงาน โทเค็นที่ออกโดยบริการ บัญชีที่มีบทบาทนี้มักจะใช้จากบัญชีของลูกค้าที่ใช้แสดงโฆษณา เว็บเบราว์เซอร์

ผู้ใช้ไดรเวอร์ที่เชื่อถือได้ของ Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

ให้สิทธิ์ในการสร้างและอัปเดตยานพาหนะสำหรับนำส่งสินค้า และ งานต่างๆ เช่น การอัปเดตตำแหน่งของรถที่นำส่งและสถานะงาน หรือผลลัพธ์ โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้คือ จากอุปกรณ์เคลื่อนที่ของคนขับรถส่งของหรือจาก เซิร์ฟเวอร์แบ็กเอนด์ของคุณ

หมายเหตุ: Trusted หมายถึงอุปกรณ์ของผู้ขับที่จัดการโดย ขององค์กรไอที ซึ่งมี การควบคุมการรักษาความปลอดภัยที่เหมาะสม องค์กรที่ เฟอร์นิเจอร์เหล่านี้สามารถเลือกผสานรวมการโต้ตอบกับ Fleet Engine ได้ เข้าสู่แอปบนอุปกรณ์เคลื่อนที่

วิธีใช้บัญชีบริการกับ Fleet Engine

หากต้องการใช้บัญชีบริการสำหรับการตรวจสอบสิทธิ์และการให้สิทธิ์ใน Fleet Engine ให้ทำตามขั้นตอนทั่วไปต่อไปนี้

  1. สร้างบัญชีบริการใน Google Cloud Console สำหรับแต่ละบทบาทที่คุณ ความต้องการ คุณต้องมีบัญชีบริการเพื่อตรวจสอบสิทธิ์คนขับ ผู้ใช้ทั่วไป การตรวจสอบกลุ่มอุปกรณ์ และแอปพลิเคชันการจัดการกลุ่มอุปกรณ์และเว็บไซต์ ซอฟต์แวร์ที่ต้องการสิทธิ์เข้าถึงข้อมูล Fleet Engine ซอฟต์แวร์ที่ต้องใช้ สิทธิ์เดียวกันจะใช้บัญชีบริการเดียวกันได้

  2. กำหนดบทบาท Fleet Engine ให้บัญชีบริการแต่ละบัญชี เลือกกลุ่ม บทบาทนโยบาย IAM เฉพาะเครื่องมือค้นหาที่ให้สิทธิ์เข้าถึงที่เหมาะสม หรือ อัปเดตข้อมูลใน Fleet Engine

  3. ใช้บัญชีบริการที่เหมาะสมในแอปและซอฟต์แวร์เพื่อ ตรวจสอบสิทธิ์การเชื่อมต่อกับ Fleet Engine และให้สิทธิ์เข้าถึง ทรัพยากรที่ได้รับจากบทบาทที่มอบหมาย

โปรดดูรายละเอียดเกี่ยวกับความเหมาะสมของบทบาทบัญชีบริการในความปลอดภัยของ Fleet Engine ที่ ภาพรวมด้านความปลอดภัย สำหรับคำอธิบายแบบเต็มเกี่ยวกับบัญชีบริการ โปรดดูการทำความเข้าใจบทบาท IAM ในเอกสารประกอบของ Google Cloud

ขั้นตอนถัดไป