การตั้งค่า IAM และบทบาทของบัญชีบริการ

การกําหนดค่า IAM อย่างถูกต้องเป็นขั้นตอนสําคัญของการจัดการความปลอดภัยและข้อมูลประจําตัวสําหรับระบบ Fleet Engine ใช้บทบาท IAM เพื่อปรับแต่งการเข้าถึงการดำเนินการและข้อมูลต่างๆ ให้เป็นไปตามข้อกำหนดของคนขับ ผู้บริโภค และผู้ให้บริการขนส่ง

บัญชีบริการและบทบาท IAM คืออะไร

คุณตั้งค่าบัญชีบริการในคอนโซล Google Cloud เพื่อตรวจสอบสิทธิ์และอนุญาตให้เข้าถึงข้อมูลใน Fleet Engine Fleet Engine มีชุดบทบาท IAM ที่กําหนดไว้ล่วงหน้าซึ่งคุณกําหนดให้กับบัญชีบริการเพื่อระบุข้อมูลที่มีสิทธิ์เข้าถึง โปรดดูรายละเอียดที่หัวข้อภาพรวมบัญชีบริการในเอกสารประกอบของ Google Cloud

Fleet Engine ใช้บทบาทและนโยบาย IAM เพื่อจัดการการให้สิทธิ์สำหรับเมธอดและทรัพยากร Fleet Engine API ดูข้อมูลเพิ่มเติมได้ที่ภาพรวมบทบาทในเอกสารประกอบของ Google Cloud ใช้เฉพาะบทบาทในบัญชีบริการ Fleet Engine ที่อธิบายไว้ในส่วนต่อไปนี้

ดูข้อมูลทั่วไปเพิ่มเติมเกี่ยวกับการให้บทบาท IAM ได้ที่หัวข้อให้บทบาท IAM โดยใช้คอนโซล Google Cloud

บทบาทของบัญชีบริการ Fleet Engine

บริการ Mobility ที่คุณเลือกสําหรับการติดตั้ง Fleet Engine จะกําหนดบทบาทและสิทธิ์ที่รวมอยู่ด้วย

บทบาทต่อไปนี้แสดงวิธีที่สิทธิ์ทำงานร่วมกับบทบาทใน Fleet Engine

  • บทบาท ondemandAdmin และ deliveryAdmin สามารถดําเนินการทั้งหมดใน Fleet Engine ได้ ใช้บทบาทเหล่านี้ในสภาพแวดล้อมที่เชื่อถือเท่านั้น เช่น การสื่อสารระหว่างเซิร์ฟเวอร์แบ็กเอนด์กับ Fleet Engine

  • บทบาท driverSdkUser และ consumerSdkUser ได้รับอนุญาตให้ดูรายละเอียดสำหรับการเดินทางที่ได้รับมอบหมาย รวมถึงอัปเดตหรือรับตำแหน่งของยานพาหนะเท่านั้น บทบาทประเภทนี้มักใช้โดยไคลเอ็นต์ในสภาพแวดล้อมที่มีความน่าเชื่อถือต่ำ เช่น แอปไดรเวอร์ ผู้บริโภค หรือการติดตาม

บทบาทและสิทธิ์ที่มอบให้สำหรับการเดินทางแบบออนดีมานด์และงานที่กำหนดเวลาไว้มีคำอธิบายอยู่ในตารางต่อไปนี้

การเดินทางแบบออนดีมานด์

บทบาท สิทธิ์

ผู้ดูแลระบบแบบออนดีมานด์ของ Fleet Engine

roles/fleetengine.ondemandAdmin

ให้สิทธิ์การอ่านและเขียนสำหรับทรัพยากรยานพาหนะและการเดินทางทั้งหมด ผู้ที่มีบทบาทนี้ไม่จำเป็นต้องใช้ JWT และควรใช้ข้อมูลเข้าสู่ระบบเริ่มต้นของแอปพลิเคชันแทนทุกครั้งที่ทำได้ บทบาทนี้จะละเว้นการอ้างสิทธิ์ JWT ที่กําหนดเอง จำกัดการใช้บทบาทนี้ในสภาพแวดล้อมที่เชื่อถือได้ เช่น เซิร์ฟเวอร์แบ็กเอนด์

ผู้ใช้ Fleet Engine Driver SDK

roles/fleetengine.driverSdkUser

อัปเดตตำแหน่งและเส้นทางของยานพาหนะ รวมถึงเรียกข้อมูลเกี่ยวกับยานพาหนะและการเดินทาง ใช้ JWT ที่มีการอ้างสิทธิ์ที่กำหนดเองซึ่งสร้างด้วยบทบาทนี้เพื่อการตรวจสอบสิทธิ์และการให้สิทธิ์จากแอปคนขับสำหรับบริการร่วมเดินทางหรือการนำส่ง

ผู้ใช้ Fleet Engine Consumer SDK

roles/fleetengine.consumerSdkUser

ค้นหายานพาหนะและดึงข้อมูลเกี่ยวกับยานพาหนะและการเดินทาง ใช้ JWT กับการอ้างสิทธิ์ที่กําหนดเองซึ่งสร้างด้วยบทบาทนี้สําหรับแอปผู้บริโภคสําหรับบริการร่วมเดินทางหรือการนำส่ง

งานที่กำหนดเวลาไว้

บทบาท สิทธิ์

ผู้ดูแลระบบ Fleet Engine Delivery

roles/fleetengine.deliveryAdmin

ให้สิทธิ์การอ่านและเขียนสำหรับทรัพยากรการนำส่ง ผู้ที่มีบทบาทนี้ไม่จำเป็นต้องใช้ JWT แต่ควรใช้ข้อมูลเข้าสู่ระบบเริ่มต้นของแอปพลิเคชันแทน ละเว้นการอ้างสิทธิ์ JWT ที่กําหนดเอง จำกัดการใช้บทบาทนี้ในสภาพแวดล้อมที่เชื่อถือได้ เช่น เซิร์ฟเวอร์แบ็กเอนด์

ผู้อ่านฟลีตของ Fleet Engine Delivery

roles/fleetengine.deliveryFleetReader

ให้สิทธิ์อ่านยานพาหนะสำหรับนำส่งและงาน รวมถึงสิทธิ์ค้นหางานโดยใช้รหัสติดตาม โดยปกติแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะมาจากเว็บเบราว์เซอร์ของผู้ให้บริการขนส่ง

ผู้ใช้ไดรเวอร์ที่ไม่น่าเชื่อถือของ Fleet Engine Delivery

roles/fleetengine.deliveryUntrustedDriver

ให้สิทธิ์อัปเดตตำแหน่งยานพาหนะนำส่ง โดยทั่วไปแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะมาจากอุปกรณ์เคลื่อนที่ของพนักงานส่งของ

หมายเหตุ: อุปกรณ์ที่ไม่น่าเชื่อถือหมายถึงอุปกรณ์ของคนขับรถที่ไอทีของบริษัทไม่ได้จัดการ แต่เป็นคนขับรถที่เป็นผู้จัดหาให้ และโดยทั่วไปไม่มีการควบคุมด้านความปลอดภัยด้านไอทีที่เหมาะสม องค์กรที่มีนโยบาย BYOD ควรเลือกบทบาทนี้เพื่อความปลอดภัย และใช้เฉพาะแอปบนอุปกรณ์เคลื่อนที่เพื่อส่งการอัปเดตตำแหน่งของยานพาหนะไปยัง Fleet Engine การโต้ตอบอื่นๆ ทั้งหมดควรมาจากเซิร์ฟเวอร์แบ็กเอนด์

ผู้ใช้ผู้บริโภคของ Fleet Engine Delivery

roles/fleetengine.deliveryConsumer

ให้สิทธิ์ค้นหางานโดยใช้รหัสติดตาม และอ่านแต่ไม่อัปเดตข้อมูลงาน โดยปกติแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะมาจากเว็บเบราว์เซอร์ของผู้บริโภคการนำส่ง

ผู้ใช้ไดรเวอร์ที่เชื่อถือได้ของ Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

ให้สิทธิ์สร้างและอัปเดตยานพาหนะนำส่งและงาน รวมถึงอัปเดตตำแหน่งยานพาหนะนำส่งและสถานะหรือผลลัพธ์ของงาน โดยปกติแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะมาจากอุปกรณ์เคลื่อนที่ของคนขับรถส่งของหรือจากเซิร์ฟเวอร์แบ็กเอนด์

หมายเหตุ: เชื่อถือได้หมายถึงอุปกรณ์ของคนขับที่จัดการโดยไอทีของบริษัทซึ่งมีการควบคุมความปลอดภัยที่เหมาะสม องค์กรที่จัดหาอุปกรณ์เหล่านี้สามารถเลือกผสานรวมการโต้ตอบกับ Fleet Engine เข้ากับแอปบนอุปกรณ์เคลื่อนที่ได้

วิธีใช้บทบาท IAM และบัญชีบริการกับ Fleet Engine

หากต้องการใช้บัญชีบริการสําหรับการตรวจสอบสิทธิ์และการให้สิทธิ์ใน Fleet Engine ให้ทําตามขั้นตอนทั่วไปต่อไปนี้

  1. สร้างบัญชีบริการในคอนโซล Google Cloud สำหรับบทบาทแต่ละบทบาทที่ต้องการ คุณต้องใช้บัญชีบริการเพื่อตรวจสอบสิทธิ์ไดรเวอร์ ผู้บริโภค แอปพลิเคชันและเว็บไซต์ตรวจสอบยานพาหนะ รวมถึงซอฟต์แวร์ใดๆ ที่ต้องเข้าถึงข้อมูล Fleet Engine ซอฟต์แวร์ที่ต้องการสิทธิ์เดียวกันจะใช้บัญชีบริการเดียวกันได้

  2. มอบหมายบทบาทนโยบาย IAM ของ Fleet Engine ให้กับบัญชีบริการแต่ละบัญชี เลือกบทบาทนโยบาย IAM สำหรับ Fleet Engine โดยเฉพาะที่ให้สิทธิ์ที่เหมาะสมในการเข้าถึงหรืออัปเดตข้อมูลใน Fleet Engine

  3. ใช้บัญชีบริการที่เหมาะสมในแอปและซอฟต์แวร์เพื่อตรวจสอบสิทธิ์การเชื่อมต่อกับ Fleet Engine และให้สิทธิ์เข้าถึงทรัพยากรที่บทบาทที่ได้รับมอบหมายอนุญาต

โปรดดูรายละเอียดเกี่ยวกับบทบาทของบัญชีบริการที่สอดคล้องกับความปลอดภัยของ Fleet Engine ที่หัวข้อภาพรวมความปลอดภัย ดูคำอธิบายบทบาทของบัญชีบริการทั้งหมดได้ที่การทำความเข้าใจบทบาท IAM ในเอกสารประกอบของ Google Cloud

ขั้นตอนถัดไป