การตั้งค่า IAM และบทบาทของบัญชีบริการ

การกำหนดค่า IAM อย่างถูกต้องเป็นข้อกำหนดเบื้องต้นของการจัดการความปลอดภัยและข้อมูลประจำตัวสำหรับระบบ Fleet Engine ใช้บทบาท IAM เพื่อปรับแต่งการเข้าถึงการดำเนินการและข้อมูลต่างๆ ให้ตรงตามข้อกำหนดของผู้ขับขี่ ผู้บริโภค และผู้ดำเนินการกลุ่ม

บัญชีบริการและบทบาท IAM คืออะไร

คุณตั้งค่าบัญชีบริการในคอนโซล Google Cloud เพื่อตรวจสอบสิทธิ์และอนุญาตให้เข้าถึงข้อมูลใน Fleet Engine Fleet Engine มีชุดบทบาท IAM ที่กำหนดไว้ล่วงหน้าซึ่งคุณกำหนดให้กับบัญชีบริการเพื่อระบุว่าบัญชีดังกล่าวมีสิทธิ์เข้าถึงข้อมูลใด โปรดดูรายละเอียดที่หัวข้อภาพรวมของบัญชีบริการในเอกสารประกอบของ Google Cloud

Fleet Engine ใช้บทบาทและนโยบาย IAM เพื่อจัดการการให้สิทธิ์สำหรับเมธอดและทรัพยากร Fleet Engine API ดูข้อมูลเพิ่มเติมได้ที่ภาพรวมบทบาทในเอกสารประกอบของ Google Cloud ใช้เฉพาะบทบาทในบัญชีบริการ Fleet Engine ที่อธิบายไว้ในส่วนต่อไปนี้

ดูข้อมูลทั่วไปเพิ่มเติมเกี่ยวกับการมอบบทบาท IAM ได้ที่มอบบทบาท IAM โดยใช้ Google Cloud Console

บทบาทของบัญชีบริการ Fleet Engine

บริการ Mobility ที่คุณเลือกสําหรับการติดตั้ง Fleet Engine จะกําหนดบทบาทและสิทธิ์ที่รวมอยู่ด้วย

บทบาทต่อไปนี้แสดงวิธีที่สิทธิ์ทำงานร่วมกับบทบาทใน Fleet Engine

  • บทบาท ondemandAdmin และ deliveryAdmin สามารถดําเนินการทั้งหมดใน Fleet Engine ได้ ใช้บทบาทเหล่านี้ในสภาพแวดล้อมที่เชื่อถือเท่านั้น เช่น การสื่อสารระหว่างเซิร์ฟเวอร์แบ็กเอนด์กับ Fleet Engine

  • บทบาท driverSdkUser และ consumerSdkUser ได้รับอนุญาตให้รับรายละเอียดเกี่ยวกับการเดินทางที่กำหนด และอัปเดตหรือรับตำแหน่งของรถเท่านั้น บทบาทประเภทนี้มักใช้โดยไคลเอ็นต์ในสภาพแวดล้อมที่มีระดับความน่าเชื่อถือต่ำ เช่น แอปไดรเวอร์ ผู้บริโภค หรือการติดตาม

บทบาทและสิทธิ์ที่มอบให้สำหรับการเดินทางแบบออนดีมานด์และงานที่กำหนดเวลาไว้มีคำอธิบายอยู่ในตารางต่อไปนี้

การเดินทางแบบออนดีมานด์

บทบาท สิทธิ์

ผู้ดูแลระบบออนดีมานด์ของ Fleet Engine

roles/fleetengine.ondemandAdmin

มอบสิทธิ์การอ่านและเขียนทรัพยากรยานพาหนะและการเดินทางทั้งหมด ผู้ที่มีบทบาทนี้ไม่จำเป็นต้องใช้ JWT และควรใช้ข้อมูลเข้าสู่ระบบเริ่มต้นของแอปพลิเคชันทุกครั้งที่ทำได้ บทบาทนี้จะละเว้นการอ้างสิทธิ์ JWT ที่กําหนดเอง จำกัดการใช้บทบาทนี้ในสภาพแวดล้อมที่เชื่อถือได้ เช่น เซิร์ฟเวอร์แบ็กเอนด์

ผู้ใช้ Fleet Engine Driver SDK

roles/fleetengine.driverSdkUser

อัปเดตตำแหน่งและเส้นทางของยานพาหนะ รวมถึงเรียกดูข้อมูลเกี่ยวกับยานพาหนะและการเดินทาง ใช้ JWT ที่มีการอ้างสิทธิ์แบบกำหนดเองซึ่งสร้างขึ้นด้วยบทบาทนี้สำหรับการตรวจสอบสิทธิ์และการให้สิทธิ์จากแอปคนขับสำหรับบริการร่วมเดินทางหรือการนำส่ง

ผู้ใช้ Fleet Engine Consumer SDK

roles/fleetengine.consumerSdkUser

ค้นหายานพาหนะและดึงข้อมูลเกี่ยวกับยานพาหนะและการเดินทาง ใช้ JWT กับการอ้างสิทธิ์ที่กําหนดเองซึ่งสร้างด้วยบทบาทนี้สําหรับแอปผู้บริโภคสําหรับบริการร่วมเดินทางหรือการนำส่ง

งานที่กำหนดเวลาไว้

บทบาท สิทธิ์

ผู้ดูแลระบบ Fleet Engine Delivery

roles/fleetengine.deliveryAdmin

ให้สิทธิ์การอ่านและเขียนสำหรับทรัพยากรการนำส่ง ผู้ที่มีบทบาทนี้ไม่จำเป็นต้องใช้ JWT แต่ควรใช้ข้อมูลเข้าสู่ระบบเริ่มต้นของแอปพลิเคชันแทน ละเว้นการอ้างสิทธิ์ JWT ที่กําหนดเอง จำกัดการใช้บทบาทนี้ในสภาพแวดล้อมที่เชื่อถือได้ เช่น เซิร์ฟเวอร์แบ็กเอนด์

ผู้อ่านฟลีตของ Fleet Engine Delivery

roles/fleetengine.deliveryFleetReader

ให้สิทธิ์อ่านยานพาหนะสำหรับนำส่งและงาน รวมถึงสิทธิ์ค้นหางานโดยใช้รหัสติดตาม โดยปกติแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะมาจากเว็บเบราว์เซอร์ของผู้ให้บริการขนส่ง

ผู้ใช้ไดรเวอร์ที่ไม่น่าเชื่อถือของ Fleet Engine Delivery

roles/fleetengine.deliveryUntrustedDriver

ให้สิทธิ์อัปเดตตำแหน่งยานพาหนะนำส่ง โดยทั่วไปแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะมาจากอุปกรณ์เคลื่อนที่ของพนักงานขับรถของการนำส่ง

หมายเหตุ: "ไม่น่าเชื่อถือ" หมายถึงอุปกรณ์ของคนขับที่ไม่ได้จัดการโดยฝ่ายไอทีขององค์กร แต่จัดเตรียมให้โดยคนขับแทน และโดยทั่วไปจะไม่มีการควบคุมความปลอดภัยด้านไอทีที่เหมาะสม องค์กรที่มีนโยบาย BYOD ควรเลือกบทบาทนี้เพื่อความปลอดภัย และใช้เฉพาะแอปบนอุปกรณ์เคลื่อนที่เพื่อส่งการอัปเดตตำแหน่งของยานพาหนะไปยัง Fleet Engine การโต้ตอบอื่นๆ ทั้งหมดควรมาจากเซิร์ฟเวอร์แบ็กเอนด์

ผู้ใช้ผู้บริโภคของ Fleet Engine Delivery

roles/fleetengine.deliveryConsumer

ให้สิทธิ์ค้นหางานโดยใช้รหัสติดตาม และอ่านแต่ไม่อัปเดตข้อมูลงาน โดยปกติแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะมาจากเว็บเบราว์เซอร์ของผู้บริโภคการนำส่ง

ผู้ใช้ไดรเวอร์ที่เชื่อถือได้ของ Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

ให้สิทธิ์สร้างและอัปเดตยานพาหนะนำส่งและงาน รวมถึงอัปเดตตำแหน่งยานพาหนะนำส่งและสถานะหรือผลลัพธ์ของงาน โดยปกติแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะมาจากอุปกรณ์เคลื่อนที่ของคนขับรถส่งของหรือจากเซิร์ฟเวอร์แบ็กเอนด์

หมายเหตุ: เชื่อถือได้หมายถึงอุปกรณ์ของคนขับที่จัดการโดยไอทีของบริษัทซึ่งมีการควบคุมความปลอดภัยที่เหมาะสม องค์กรที่จัดหาอุปกรณ์เหล่านี้สามารถเลือกผสานรวมการโต้ตอบกับ Fleet Engine เข้ากับแอปบนอุปกรณ์เคลื่อนที่ได้

วิธีใช้บทบาท IAM และบัญชีบริการกับ Fleet Engine

หากต้องการใช้บัญชีบริการสําหรับการตรวจสอบสิทธิ์และการให้สิทธิ์ใน Fleet Engine ให้ทําตามขั้นตอนทั่วไปต่อไปนี้

  1. สร้างบัญชีบริการในคอนโซล Google Cloud สำหรับบทบาทแต่ละบทบาทที่ต้องการ คุณต้องมีบัญชีบริการเพื่อตรวจสอบสิทธิ์แอปพลิเคชันและเว็บไซต์สำหรับคนขับ ผู้บริโภค การตรวจสอบการบิน และการจัดการกลุ่มอุปกรณ์ รวมถึงซอฟต์แวร์ที่ต้องการเข้าถึงข้อมูล Fleet Engine ซอฟต์แวร์ที่ต้องการสิทธิ์เดียวกันสามารถใช้บัญชีบริการเดียวกันได้

  2. มอบหมายบทบาทนโยบาย IAM ของ Fleet Engine ให้กับบัญชีบริการแต่ละบัญชี เลือกบทบาทนโยบาย IAM สำหรับ Fleet Engine โดยเฉพาะที่ให้สิทธิ์ที่เหมาะสมในการเข้าถึงหรืออัปเดตข้อมูลใน Fleet Engine

  3. ใช้บัญชีบริการที่เหมาะสมในแอปและซอฟต์แวร์เพื่อตรวจสอบสิทธิ์การเชื่อมต่อกับ Fleet Engine และให้สิทธิ์เข้าถึงทรัพยากรที่บทบาทที่ได้รับมอบหมายอนุญาต

โปรดดูรายละเอียดเกี่ยวกับบทบาทของบัญชีบริการที่สอดคล้องกับความปลอดภัยของ Fleet Engine ที่หัวข้อภาพรวมความปลอดภัย ดูคำอธิบายบทบาทของบัญชีบริการทั้งหมดได้ที่การทำความเข้าใจบทบาท IAM ในเอกสารประกอบของ Google Cloud

ขั้นตอนถัดไป