La configurazione corretta di IAM è un prerequisito della gestione della sicurezza e dell'identità per il sistema Fleet Engine. Utilizza i ruoli IAM per personalizzare l'accesso a operazioni e dati diversi in modo da soddisfare i requisiti di conducenti, consumatori e operatori di parchi.
Che cosa sono gli account di servizio e i ruoli IAM?
Configura gli account di servizio nella console Google Cloud per autenticare e autorizzare l'accesso ai dati in Fleet Engine. Fleet Engine dispone di un insieme di ruoli IAM predeterminati che assegni a un account di servizio per determinare a quali dati ha accesso l'account. Per maggiori dettagli, consulta la Panoramica degli account di servizio nella documentazione di Google Cloud.
Fleet Engine utilizza ruoli e criteri IAM per gestire le autorizzazioni per i metodi e le risorse dell'API Fleet Engine. Per ulteriori informazioni, consulta la panoramica dei ruoli nella documentazione di Google Cloud. Usa solo i ruoli dell'account di servizio Fleet Engine descritti nelle sezioni seguenti.
Per informazioni più generali sulla concessione dei ruoli IAM, consulta Concedere un ruolo IAM utilizzando la console Google Cloud.
Ruoli del service account Fleet Engine
Il servizio di mobilità che scegli per l'installazione di Fleet Engine determina i ruoli e le autorizzazioni inclusi.
I seguenti ruoli illustrano il funzionamento delle autorizzazioni con i ruoli di Fleet Engine:
I ruoli ondemandAdmin e deliveryAdmin possono eseguire tutte le operazioni in Fleet Engine. Utilizza questi ruoli solo in ambienti attendibili, ad esempio le comunicazioni tra il server di backend e Fleet Engine.
I ruoli driverSdkUser e consumerSdkUser possono ottenere dettagli solo sulle corse assegnate e aggiornare o ricevere la posizione del veicolo. Questi tipi di ruoli sono generalmente utilizzati dai client in ambienti a bassa confidenza, come app di driver, consumer o monitoraggio.
I ruoli e le autorizzazioni concessi per i viaggi on demand e le attività pianificate sono descritti nelle seguenti tabelle.
Viaggi on demand
| Ruolo | Autorizzazione |
|---|---|
Fleet Engine On-demand Admin
|
Concede l'autorizzazione di lettura e scrittura per tutte le risorse di veicoli e viaggi. I principali con questo ruolo non devono utilizzare i token JWT e devono invece utilizzare le credenziali predefinite dell'applicazione, se possibile. Questo ruolo ignora le attestazioni JWT personalizzate. Limita l'utilizzo di questo ruolo a ambienti attendibili come il server di backend. |
Fleet Engine Driver SDK User
|
Aggiorna la posizione e i percorsi dei veicoli e recupera informazioni su veicoli e corse. Utilizza JWT con dichiarazioni personalizzate create con questo ruolo per l'autenticazione e l'autorizzazione dalle app dei conducenti per il ridesharing o la consegna. |
Fleet Engine Consumer SDK User
|
Cercare veicoli e recuperare informazioni su veicoli e viaggi. Utilizza JWT con dichiarazioni personalizzate create con questo ruolo per le app consumer per il ridesharing o la consegna . |
Attività pianificate
| Ruolo | Autorizzazione |
|---|---|
Fleet Engine Delivery Admin
|
Concede l'autorizzazione di lettura e scrittura per le risorse di importazione. I principali con questo ruolo non devono utilizzare JWT, ma devono utilizzare le credenziali predefinite dell'applicazione. Ignora i claim JWT personalizzati. Limita l'utilizzo di questo ruolo a ambienti attendibili come il server di backend. |
Lettore Fleet di Fleet Engine Delivery
|
Concede l'autorizzazione a leggere i veicoli e le attività di consegna e a cercare le attività utilizzando un ID tracciamento. I token emessi da un account di servizio con questo ruolo vengono in genere utilizzati dal browser web di un operatore del parco risorse di distribuzione. |
Fleet Engine Delivery Untrusted Driver User
|
Concede l'autorizzazione per aggiornare la posizione del veicolo di consegna. I token emessi da un account di servizio con questo ruolo vengono in genere utilizzati dal dispositivo mobile del tuo corriere. Nota: non attendibile si riferisce al dispositivo di un conducente che non è gestito dall'IT aziendale, ma fornito dal conducente e in genere senza controlli di sicurezza IT appropriati. Le organizzazioni con criteri BYOD devono optare per la sicurezza di questo ruolo e fare affidamento solo sull'app mobile per inviare gli aggiornamenti della posizione del veicolo a Fleet Engine. Tutte le altre interazioni devono provenire dai tuoi server di backend. |
Fleet Engine Delivery Consumer User
|
Concede l'autorizzazione per cercare attività utilizzando un ID monitoraggio e per leggere, ma non aggiornare le informazioni sulle attività. I token emessi da un account di servizio con questo ruolo vengono in genere utilizzati dal browser web di un consumatore di importazione. |
Fleet Engine Delivery Trusted Driver User
|
Concede l'autorizzazione per creare e aggiornare veicoli e attività di consegna, incluso l'aggiornamento della posizione del veicolo di consegna e dello stato o del risultato dell'attività. I token emessi da un account di servizio con questo ruolo vengono solitamente utilizzati dai dispositivi mobili dei tuoi autisti di consegna o dai tuoi server di backend. Nota: attendibile si riferisce al dispositivo di un conducente gestito dall'IT aziendale e dotato di controlli di sicurezza appropriati. Le organizzazioni che forniscono questi dispositivi possono scegliere di integrare le interazioni di Fleet Engine nell'app mobile. |
Come utilizzare i ruoli IAM e gli account di servizio con Fleet Engine
Per utilizzare gli account di servizio per l'autenticazione e l'autorizzazione in Fleet Engine, segui questi passaggi generali:
Crea account di servizio nella console Google Cloud per ogni ruolo di cui hai bisogno. Devi disporre di account di servizio per autenticare i siti web e le applicazioni di monitoraggio e gestione del parco risorse, nonché i conducenti e i consumatori, ovvero qualsiasi software che abbia bisogno di accedere ai dati di Fleet Engine. Il software che richiede le stesse autorizzazioni può usare lo stesso account di servizio.
Assegna un ruolo del criterio IAM di Fleet Engine a ciascun account di servizio. Seleziona il ruolo del criterio IAM specifico di Fleet Engine che fornisce le autorizzazioni appropriate per accedere o aggiornare i dati in Fleet Engine.
Utilizza gli account di servizio appropriati nelle tue app e nel tuo software per autenticare la loro connessione a Fleet Engine e autorizzare l'accesso alle risorse concesse dal ruolo assegnato.
Per informazioni dettagliate su come i ruoli degli account di servizio si inseriscono nella sicurezza di Fleet Engine, consulta la Panoramica della sicurezza. Per una spiegazione completa dei ruoli degli account di servizio, consulta Informazioni sui ruoli IAM nella documentazione di Google Cloud.
Passaggi successivi
- Scopri di più sui token web JSON per comprenderne l'utilizzo in Fleet Engine.
- Per una panoramica della sicurezza di Fleet Engine, consulta la Panoramica della sicurezza.
- Per una spiegazione completa dei ruoli degli account di servizio della console Google Cloud, consulta Informazioni sui ruoli IAM