Penyiapan IAM dan peran akun layanan

Mengonfigurasi IAM dengan benar adalah bagian prasyarat dari pengelolaan keamanan dan identitas untuk sistem Fleet Engine Anda. Gunakan peran IAM untuk menyesuaikan akses ke berbagai operasi dan data untuk memenuhi persyaratan pengemudi, konsumen, dan operator armada.

Apa yang dimaksud dengan akun layanan dan peran IAM?

Anda menyiapkan akun layanan di Konsol Google Cloud untuk mengautentikasi dan memberikan otorisasi akses ke data di Fleet Engine. Fleet Engine memiliki sekumpulan peran IAM yang telah ditentukan sebelumnya yang Anda tetapkan ke akun layanan untuk menentukan data yang dapat diakses akun tersebut. Untuk mengetahui detailnya, lihat Ringkasan akun layanan dalam dokumentasi Google Cloud.

Fleet Engine menggunakan peran dan kebijakan IAM untuk mengelola otorisasi bagi metode dan resource Fleet Engine API. Untuk informasi selengkapnya, lihat Ringkasan peran dalam dokumentasi Google Cloud. Hanya gunakan peran akun layanan Fleet Engine yang dijelaskan di bagian berikut.

Untuk informasi umum selengkapnya tentang cara memberikan peran IAM, lihat Memberikan peran IAM menggunakan Konsol Google Cloud.

Peran akun layanan Fleet Engine

Layanan Mobilitas yang Anda pilih untuk penginstalan Fleet Engine menentukan peran dan izin yang disertakan.

Peran berikut mengilustrasikan cara kerja izin dengan peran Fleet Engine:

  • Peran ondemandAdmin dan deliveryAdmin dapat melakukan semua operasi di Fleet Engine. Hanya gunakan peran ini di lingkungan tepercaya, seperti komunikasi antara server backend dan Fleet Engine.

  • Peran driverSdkUser dan consumerSdkUser hanya diizinkan untuk mendapatkan detail perjalanan yang ditetapkan dan memperbarui atau menerima lokasi kendaraan. Jenis peran ini biasanya digunakan oleh klien di lingkungan dengan tingkat kepercayaan rendah, seperti aplikasi pengemudi, konsumen, atau pemantauan.

Peran dan izin yang diberikan untuk perjalanan on demand dan tugas terjadwal dijelaskan dalam tabel berikut.

Perjalanan on-demand

Peran Izin

Fleet Engine On-demand Admin

roles/fleetengine.ondemandAdmin

Memberikan izin baca dan tulis untuk semua resource kendaraan dan perjalanan. Akun utama dengan peran ini tidak perlu menggunakan JWT dan harus menggunakan Kredensial Default Aplikasi jika memungkinkan. Peran ini mengabaikan klaim JWT kustom. Batasi penggunaan peran ini ke lingkungan tepercaya seperti server backend Anda.

Fleet Engine Driver SDK User

roles/fleetengine.driverSdkUser

Memperbarui lokasi dan rute kendaraan, serta mengambil informasi tentang kendaraan dan perjalanan. Gunakan JWT dengan klaim kustom yang dibuat dengan peran ini untuk autentikasi dan otorisasi dari aplikasi pengemudi untuk layanan transportasi online atau pesan-antar.

Fleet Engine Consumer SDK User

roles/fleetengine.consumerSdkUser

Menelusuri kendaraan dan mengambil informasi tentang kendaraan dan perjalanan. Gunakan JWT dengan klaim kustom yang dibuat dengan peran ini untuk aplikasi konsumen untuk layanan transportasi online atau pesan-antar .

Tugas terjadwal

Peran Izin

Fleet Engine Delivery Admin

roles/fleetengine.deliveryAdmin

Memberikan izin baca dan tulis untuk resource pengiriman. Akun utama dengan peran ini tidak perlu menggunakan JWT dan harus menggunakan Kredensial Default Aplikasi. Mengabaikan klaim JWT kustom. Batasi penggunaan peran ini ke lingkungan tepercaya seperti server backend Anda.

Fleet Engine Delivery Fleet Reader

roles/fleetengine.deliveryFleetReader

Memberikan izin untuk membaca kendaraan dan tugas pengiriman serta untuk menelusuri tugas menggunakan ID pelacakan. Token yang diterbitkan oleh akun layanan dengan peran ini biasanya digunakan dari browser web operator armada pengiriman.

Fleet Engine Delivery Untrusted Driver User

roles/fleetengine.deliveryUntrustedDriver

Memberikan izin untuk memperbarui lokasi kendaraan pengiriman. Token yang diterbitkan oleh akun layanan dengan peran ini biasanya digunakan dari perangkat seluler pengemudi pengiriman Anda.

Catatan: Tidak tepercaya mengacu pada perangkat pengemudi yang tidak dikelola oleh IT perusahaan, tetapi disediakan oleh pengemudi dan biasanya tanpa kontrol keamanan IT yang sesuai. Organisasi dengan kebijakan Bawa Perangkat Sendiri harus memilih keamanan peran ini dan hanya mengandalkan aplikasi seluler untuk mengirim pembaruan lokasi kendaraan ke Fleet Engine. Semua interaksi lainnya harus berasal dari server backend Anda.

Fleet Engine Delivery Consumer User

roles/fleetengine.deliveryConsumer

Memberikan izin untuk menelusuri tugas menggunakan ID pelacakan, dan untuk membaca, tetapi tidak memperbarui informasi tugas. Token yang diterbitkan oleh akun layanan dengan peran ini biasanya digunakan dari browser web konsumen pengiriman.

Fleet Engine Delivery Trusted Driver User

roles/fleetengine.deliveryTrustedDriver

Memberikan izin untuk membuat dan memperbarui kendaraan dan tugas pengiriman, termasuk memperbarui lokasi kendaraan pengiriman dan status atau hasil tugas. Token yang diterbitkan oleh akun layanan dengan peran ini biasanya digunakan dari perangkat seluler pengemudi pengiriman Anda atau dari server backend Anda.

Catatan: Tepercaya mengacu pada perangkat pengemudi yang dikelola oleh IT perusahaan yang memiliki kontrol keamanan yang sesuai. Organisasi yang menyediakan perangkat ini dapat memilih untuk mengintegrasikan interaksi Fleet Engine ke dalam aplikasi seluler.

Cara menggunakan peran IAM dan akun layanan dengan Fleet Engine

Untuk menggunakan akun layanan guna autentikasi dan otorisasi di Fleet Engine, ikuti langkah-langkah umum berikut:

  1. Buat akun layanan di Google Cloud Console untuk setiap peran yang Anda butuhkan. Anda memerlukan akun layanan untuk mengautentikasi aplikasi dan situs pengemudi, konsumen, pemantauan armada, serta pengelolaan armada--software apa pun yang memerlukan akses ke data Fleet Engine. Software yang memerlukan izin yang sama dapat menggunakan akun layanan yang sama.

  2. Tetapkan peran kebijakan IAM Fleet Engine ke setiap akun layanan. Pilih peran kebijakan IAM khusus Fleet Engine yang memberikan izin yang sesuai untuk mengakses atau memperbarui data Anda di Fleet Engine.

  3. Gunakan akun layanan yang sesuai di aplikasi dan software Anda untuk mengautentikasi koneksinya ke Fleet Engine, dan mengizinkan akses resource yang diberikan oleh peran yang ditetapkan.

Untuk mengetahui detail tentang kesesuaian peran akun layanan dengan keamanan Fleet Engine, lihat Ringkasan keamanan. Untuk penjelasan lengkap tentang peran akun layanan, lihat Memahami peran IAM dalam dokumentasi Google Cloud.

Langkah berikutnya