Роли сервисных учетных записей формируют ключевую систему безопасности и управления идентификацией вашей системы и позволяют адаптировать различные операции и отображать разные данные для водителей, потребителей и операторов автопарков.
Что такое сервисный аккаунт?
Чтобы управлять доступом к вашим данным в Fleet Engine для клиентских приложений, вы предоставляете сервисные учетные записи, которые аутентифицируют активность программного обеспечения с помощью заранее определенной роли , а не аутентифицируют пользователей с помощью механизма персонализированной идентификации. Пользователи, которые получают доступ к данным из вашей системы, делают это через клиент, который использует эту роль учетной записи, которая затем ограничивает разрешения только теми частями вашей системы, которые считаются подходящими для конкретной цели. Этот тип ограничения объема основан на концепции принципа наименьших привилегий .
Полное объяснение ролей сервисных учетных записей см. в разделе «Понимание ролей IAM» в документации Google Cloud.
Как роли сервисных учетных записей работают с Fleet Engine?
Роли IAM определяют набор разрешений на ресурсы, разрешенные участнику. Например, ролям администратора разрешено делать все с учетными данными приложения по умолчанию, тогда как роли ненадежного водителя разрешено только обновлять местоположение транспортного средства и ограничено использованием JWT для аутентификации и авторизации.
Для ненадежных сред, таких как мобильные телефоны и веб-браузеры, утверждения JWT предусматривают дополнительные ограничения только для тех объектов, с которыми может работать вызывающая сторона. Это могут быть конкретные транспортные средства, поездки или задачи.
Ваш код, работающий в среде с низким уровнем доверия, должен сначала вызвать код, работающий в доверенной среде, который выдает JWT.
Fleet Engine выполняет следующие проверки безопасности вызовов API для ресурса:
Вызывающий субъект имеет соответствующие разрешения (через назначение роли) для действий с ресурсом.
Для ролей, не являющихся администраторами, утверждения JWT, передаваемые в запросе, предоставляют необходимые разрешения для ресурса.
Дополнительные сведения см. в разделе Веб-токены JSON .
Роли сервисного аккаунта Fleet Engine
В зависимости от выбранной вами службы мобильности ваша установка Fleet Engine использует роли и разрешения, описанные ниже.
Поездки по запросу
| Роль | Разрешение |
|---|---|
Администратор Fleet Engine по требованию | Предоставляет разрешение на чтение и запись для всех ресурсов транспортных средств и поездок. Участникам с этой ролью не нужно использовать JWT, вместо этого им следует использовать учетные данные приложения по умолчанию. Игнорирует пользовательские утверждения JWT. Эта роль должна быть ограничена доверенными средами, такими как ваш собственный сервер. Некоторые пользователи Fleet Engine по-прежнему могут видеть роль суперпользователя Fleet Engine Service, но теперь она устарела. |
Пользователь SDK драйвера Fleet Engine | Обновляйте местоположения и маршруты транспортных средств, а также получайте информацию о транспортных средствах и поездках. Токены обычно используются в приложениях для совместного использования поездок или для водителей-доставщиков. |
Пользователь Fleet Engine Consumer SDK | Ищите транспортные средства и получайте информацию о транспортных средствах и поездках. Токены обычно используются в потребительских приложениях для совместного использования поездок или доставки. |
Дела по расписанию
| Роль | Разрешение |
|---|---|
Администратор по доставке двигателей флота | Предоставляет разрешение на чтение и запись для ресурсов доставки. Участникам с этой ролью не нужно использовать JWT, вместо этого им следует использовать учетные данные приложения по умолчанию. Пользовательские утверждения JWT игнорируются. Эта роль должна быть ограничена доверенными средами, такими как ваши собственные серверы. |
Fleet Engine Delivery Fleet Reader | Предоставляет разрешение на чтение средств доставки и задач, а также на поиск задач с использованием идентификатора отслеживания. Токены, выданные сервисной учетной записью с этой ролью, обычно используются из веб-браузера оператора автопарка доставки. |
Недоверенный водитель-пользователь Fleet Engine Delivery | Предоставляет разрешение на обновление местоположения средства доставки. Токены, выданные сервисным аккаунтом с этой ролью, обычно используются с мобильного устройства вашего водителя доставки. Примечание. Под «недоверенным» подразумевается устройство драйвера, которое не управляется корпоративным ИТ-отделом, а предоставляется драйвером и обычно не имеет соответствующих средств контроля ИТ-безопасности. Организациям, придерживающимся политики «Принеси свое собственное устройство», следует выбрать безопасную эту роль и полагаться только на мобильное приложение для отправки обновлений о местоположении транспортных средств в Fleet Engine. Все остальные взаимодействия должны происходить с ваших внутренних серверов. |
Пользователь-потребитель для доставки двигателей флота | Предоставляет разрешение на поиск задач с использованием идентификатора отслеживания, а также на чтение, но не на обновление информации о задаче. Токены, выданные учетной записью службы с этой ролью, обычно используются из веб-браузера потребителя доставки. |
Доверенный водитель Fleet Engine Delivery | Предоставляет разрешение на создание и обновление средств доставки и задач, включая обновление местоположения средства доставки, а также статуса или результата задачи. Токены, выданные сервисным аккаунтом с этой ролью, обычно используются с мобильных устройств вашего водителя доставки или с ваших внутренних серверов. Примечание. Под «доверенным» подразумевается устройство драйвера, управляемое корпоративным ИТ-отделом и имеющее соответствующие средства контроля безопасности. Организации, поставляющие эти устройства, могут интегрировать взаимодействие Fleet Engine в мобильное приложение. |
Что дальше
- Прочтите о веб-токенах JSON , чтобы понять их использование в Fleet Engine.