Настройка IAM и роли учетной записи службы

Правильная настройка IAM является обязательной частью обеспечения безопасности и управления идентификацией вашей системы Fleet Engine. Используйте роли IAM, чтобы адаптировать доступ к различным операциям и данным в соответствии с требованиями водителей, потребителей и операторов автопарков.

Что такое учетные записи служб и роли IAM?

Вы настраиваете сервисные учетные записи в Google Cloud Console для аутентификации и авторизации доступа к данным в Fleet Engine. Fleet Engine имеет набор заранее определенных ролей IAM, которые вы назначаете сервисной учетной записи, чтобы определить, к каким данным эта учетная запись имеет доступ. Подробную информацию см. в разделе Обзор учетных записей служб в документации Google Cloud.

Fleet Engine использует роли и политики IAM для управления авторизацией методов и ресурсов API Fleet Engine. Дополнительную информацию см. в разделе Обзор ролей в документации Google Cloud. Используйте только роли учетной записи службы Fleet Engine, описанные в следующих разделах.

Более общую информацию о предоставлении ролей IAM см. в разделе Предоставление роли IAM с помощью консоли Google Cloud .

Роли сервисного аккаунта Fleet Engine

Служба мобильности, которую вы выбираете для установки Fleet Engine, определяет включенные роли и разрешения.

Следующие роли иллюстрируют, как разрешения работают с ролями Fleet Engine:

  • Роли ondemandAdmin и DeliveryAdmin могут выполнять все операции в Fleet Engine. Используйте эти роли только в доверенных средах, таких как связь между вашим внутренним сервером и Fleet Engine.

  • Ролям driverSdkUser и ConsumerSdkUser разрешено только получать сведения о назначенных поездках, а также обновлять или получать местоположение транспортного средства. Эти типы ролей обычно используются клиентами в средах с низким уровнем доверия, например приложениями драйвера, потребителя или мониторинга.

Роли и разрешения, предоставленные для поездок по требованию и запланированных задач, описаны в следующих таблицах.

Поездки по запросу

Роль Разрешение

Администратор Fleet Engine по требованию

roles/fleetengine.ondemandAdmin

Предоставляет разрешение на чтение и запись для всех ресурсов транспортных средств и поездок. Участникам с этой ролью не нужно использовать JWT, вместо этого им следует использовать учетные данные приложения по умолчанию, когда это возможно. Эта роль игнорирует пользовательские утверждения JWT. Ограничьте использование этой роли доверенными средами, такими как внутренний сервер.

Пользователь SDK драйвера Fleet Engine

roles/fleetengine.driverSdkUser

Обновляйте местоположения и маршруты транспортных средств, а также получайте информацию о транспортных средствах и поездках. Используйте JWT с настраиваемыми утверждениями, созданными с помощью этой роли, для аутентификации и авторизации в приложениях для водителей для совместного использования поездок или доставки.

Пользователь Fleet Engine Consumer SDK

roles/fleetengine.consumerSdkUser

Ищите транспортные средства и получайте информацию о транспортных средствах и поездках. Используйте JWT с настраиваемыми утверждениями, созданными с помощью этой роли, для потребительских приложений для совместного использования поездок или доставки.

Запланированные задачи

Роль Разрешение

Администратор по доставке двигателей флота

roles/fleetengine.deliveryAdmin

Предоставляет разрешение на чтение и запись для ресурсов доставки. Участникам с этой ролью не нужно использовать JWT, вместо этого им следует использовать учетные данные приложения по умолчанию. Игнорирует пользовательские утверждения JWT. Ограничьте использование этой роли доверенными средами, такими как внутренний сервер.

Fleet Engine Delivery Fleet Reader

roles/fleetengine.deliveryFleetReader

Предоставляет разрешение на чтение средств доставки и задач, а также на поиск задач с использованием идентификатора отслеживания. Токены, выданные сервисной учетной записью с этой ролью, обычно используются из веб-браузера оператора автопарка доставки.

Недоверенный водитель-пользователь Fleet Engine Delivery

roles/fleetengine.deliveryUntrustedDriver

Предоставляет разрешение на обновление местоположения средства доставки. Токены, выданные сервисным аккаунтом с этой ролью, обычно используются с мобильного устройства вашего водителя доставки.

Примечание. Под «недоверенным» подразумевается устройство драйвера, которое не управляется корпоративным ИТ-отделом, а предоставляется драйвером и обычно не имеет соответствующих средств контроля ИТ-безопасности. Организациям, придерживающимся политики «Принеси свое собственное устройство», следует выбрать безопасную эту роль и полагаться только на мобильное приложение для отправки обновлений о местоположении транспортных средств в Fleet Engine. Все остальные взаимодействия должны происходить с ваших внутренних серверов.

Пользователь-потребитель для доставки двигателей флота

roles/fleetengine.deliveryConsumer

Предоставляет разрешение на поиск задач с использованием идентификатора отслеживания, а также на чтение, но не на обновление информации о задаче. Токены, выданные учетной записью службы с этой ролью, обычно используются из веб-браузера потребителя доставки.

Доверенный водитель Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

Предоставляет разрешение на создание и обновление средств доставки и задач, включая обновление местоположения средства доставки, а также статуса или результата задачи. Токены, выданные сервисным аккаунтом с этой ролью, обычно используются с мобильных устройств вашего водителя доставки или с ваших внутренних серверов.

Примечание. Под «доверенным» подразумевается устройство драйвера, управляемое корпоративным ИТ-отделом и имеющее соответствующие средства контроля безопасности. Организации, поставляющие эти устройства, могут интегрировать взаимодействие Fleet Engine в мобильное приложение.

Как использовать роли IAM и сервисные учетные записи с Fleet Engine

Чтобы использовать учетные записи служб для аутентификации и авторизации в Fleet Engine, выполните следующие общие шаги:

  1. Создайте сервисные учетные записи в Google Cloud Console для каждой необходимой вам роли. Вам нужны сервисные учетные записи для аутентификации приложений и веб-сайтов водителей, потребителей, мониторинга автопарка и управления автопарком — любого программного обеспечения, которому требуется доступ к данным Fleet Engine. Программное обеспечение, которому требуются одинаковые разрешения, может использовать одну и ту же учетную запись службы.

  2. Назначьте роль политики IAM Fleet Engine каждому сервисному аккаунту. Выберите роль политики IAM, специфичную для Fleet Engine, которая предоставляет соответствующие разрешения для доступа или обновления ваших данных в Fleet Engine.

  3. Используйте соответствующие учетные записи служб в своих приложениях и программном обеспечении для аутентификации их подключения к Fleet Engine и авторизации доступа к ресурсам, предоставленным назначенной ролью.

Подробную информацию о том, как роли сервисных учетных записей вписываются в систему безопасности Fleet Engine, см. в разделе Обзор безопасности . Полное объяснение ролей сервисных учетных записей см. в разделе «Понимание ролей IAM» в документации Google Cloud.

Что дальше