การตั้งค่า IAM และบทบาทของบัญชีบริการ

การกำหนดค่า IAM อย่างถูกต้องเป็นส่วนหนึ่งของข้อกำหนดเบื้องต้นด้านความปลอดภัยและการจัดการข้อมูลประจำตัว สำหรับระบบ Fleet Engine ใช้บทบาท IAM เพื่อปรับแต่งสิทธิ์เข้าถึง การดำเนินการและข้อมูลต่างๆ ให้ตรงตามข้อกำหนดของ คนขับ ผู้บริโภค และผู้ให้บริการยานพาหนะ

บัญชีบริการและบทบาท IAM คืออะไร

คุณตั้งค่าบัญชีบริการใน Google Cloud Console เพื่อตรวจสอบสิทธิ์ และให้สิทธิ์เข้าถึงข้อมูลใน Fleet Engine Fleet Engine มีชุดบทบาท IAM ที่กำหนดไว้ล่วงหน้าซึ่งคุณกำหนดให้กับบัญชีบริการเพื่อระบุว่าบัญชีดังกล่าวมีสิทธิ์เข้าถึงข้อมูลใด โปรดดูรายละเอียดในภาพรวมบัญชีบริการในเอกสารประกอบของ Google Cloud

Fleet Engine ใช้บทบาทและนโยบาย IAM เพื่อจัดการการให้สิทธิ์สำหรับเมธอดและทรัพยากรของ Fleet Engine API ดูข้อมูลเพิ่มเติมได้ที่ภาพรวมของบทบาท ในเอกสารประกอบของ Google Cloud ใช้เฉพาะบทบาทบัญชีบริการ Fleet Engine ที่อธิบายไว้ในส่วนต่อไปนี้

ดูข้อมูลทั่วไปเพิ่มเติมเกี่ยวกับการให้บทบาท IAM ได้ที่ ให้บทบาท IAM โดยใช้คอนโซล Google Cloud

บทบาทของบัญชีบริการ Fleet Engine

บริการการเดินทางที่คุณเลือกสำหรับการติดตั้ง Fleet Engine จะกำหนด บทบาทและสิทธิ์ที่รวมอยู่

บทบาทต่อไปนี้แสดงให้เห็นว่าสิทธิ์ทำงานร่วมกับบทบาท Fleet Engine อย่างไร

  • บทบาท ondemandAdmin และ deliveryAdmin สามารถดำเนินการทั้งหมด ใน Fleet Engine ได้ โปรดใช้บทบาทเหล่านี้ในสภาพแวดล้อมที่เชื่อถือได้เท่านั้น เช่น การสื่อสารระหว่างเซิร์ฟเวอร์แบ็กเอนด์กับ Fleet Engine

  • บทบาท driverSdkUser และ consumerSdkUser จะได้รับอนุญาตให้ดูรายละเอียดการเดินทางที่กำหนดและอัปเดตหรือรับตำแหน่งยานพาหนะเท่านั้น โดยปกติแล้วไคลเอ็นต์จะใช้บทบาทประเภทเหล่านี้ใน สภาพแวดล้อมที่มีความน่าเชื่อถือต่ำ เช่น แอปไดรเวอร์ แอปสำหรับผู้บริโภค หรือแอปตรวจสอบ

บทบาทและสิทธิ์ที่มอบให้สำหรับการเดินทางตามคำขอและงานที่กำหนดเวลาไว้มีคำอธิบายในตารางต่อไปนี้

การเดินทางแบบออนดีมานด์

บทบาท สิทธิ์

ผู้ดูแลระบบ Fleet Engine On-demand

roles/fleetengine.ondemandAdmin

ให้สิทธิ์อ่าน เขียน และลบทรัพยากรยานพาหนะและการเดินทางทั้งหมด ผู้ใช้ที่มีบทบาทนี้ไม่จำเป็นต้องใช้ JWT และควรใช้ข้อมูลเข้าสู่ระบบเริ่มต้นของแอปพลิเคชันแทนทุกครั้งที่ทำได้ บทบาทนี้จะไม่สนใจการอ้างสิทธิ์ JWT ที่กำหนดเอง จำกัดการใช้บทบาทนี้ไว้เฉพาะ สภาพแวดล้อมที่เชื่อถือได้ เช่น เซิร์ฟเวอร์แบ็กเอนด์

ผู้ใช้ Fleet Engine Driver SDK

roles/fleetengine.driverSdkUser

อัปเดตตำแหน่งและเส้นทางของยานพาหนะ รวมถึงดึงข้อมูล เกี่ยวกับยานพาหนะและการเดินทาง ใช้ JWT ที่มีเคลมที่กำหนดเองซึ่งสร้างขึ้นด้วย บทบาทนี้สำหรับการตรวจสอบสิทธิ์และการให้สิทธิ์จากแอปคนขับสำหรับ การแชร์รถหรือการนำส่ง

ผู้ใช้ Fleet Engine Consumer SDK

roles/fleetengine.consumerSdkUser

ค้นหายานพาหนะและดึงข้อมูลเกี่ยวกับยานพาหนะและการเดินทาง ใช้ JWT ที่มีข้ออ้างสิทธิ์ที่กำหนดเองซึ่งสร้างขึ้นด้วยบทบาทนี้สำหรับ แอปสำหรับผู้บริโภคที่ใช้ร่วมเดินทางหรือนำส่ง

งานที่กำหนดเวลาไว้

บทบาท สิทธิ์

ผู้ดูแลระบบ Fleet Engine Delivery

roles/fleetengine.deliveryAdmin

ให้สิทธิ์ในการอ่าน เขียน และลบทรัพยากรการนำส่ง ผู้ใช้ที่มีบทบาทนี้ไม่จำเป็นต้องใช้ JWT และควรใช้ข้อมูลเข้าสู่ระบบเริ่มต้นของแอปพลิเคชันแทน ไม่สนใจการอ้างสิทธิ์ JWT ที่กำหนดเอง จำกัด การใช้บทบาทนี้ไว้ในสภาพแวดล้อมที่เชื่อถือได้ เช่น เซิร์ฟเวอร์แบ็กเอนด์

ผู้อ่านกลุ่มยานพาหนะของ Fleet Engine Delivery

roles/fleetengine.deliveryFleetReader

ให้สิทธิ์ในการอ่านยานพาหนะและงานนำส่ง รวมถึงค้นหางานโดยใช้รหัสติดตาม โดยปกติแล้ว ระบบจะใช้โทเค็นที่ออกโดยบัญชีบริการ ที่มีบทบาทนี้จากเว็บเบราว์เซอร์ของผู้ให้บริการกลุ่มยานพาหนะนำส่ง

ผู้ใช้ไดรเวอร์ที่ไม่น่าเชื่อถือของ Fleet Engine Delivery

roles/fleetengine.deliveryUntrustedDriver

ให้สิทธิ์ในการอัปเดตตำแหน่งของยานพาหนะนำส่ง โดยปกติแล้ว โทเค็น ที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะใช้จากอุปกรณ์เคลื่อนที่ของ คนขับรถนำส่ง

หมายเหตุ: "ไม่น่าเชื่อถือ" หมายถึง อุปกรณ์ของคนขับที่ไม่ได้จัดการโดยไอทีของบริษัท แต่ คนขับเป็นผู้จัดหาให้ และโดยปกติจะไม่มีการควบคุมด้านความปลอดภัยไอทีที่เหมาะสม องค์กรที่มีนโยบายการใช้อุปกรณ์ส่วนตัวควรเลือก เพื่อความปลอดภัยของบทบาทนี้ และใช้แอปบนอุปกรณ์เคลื่อนที่เท่านั้นในการส่ง การอัปเดตตำแหน่งยานพาหนะไปยัง Fleet Engine การโต้ตอบอื่นๆ ทั้งหมด ควรมาจากเซิร์ฟเวอร์แบ็กเอนด์

ผู้ใช้ผู้บริโภคของ Fleet Engine Delivery

roles/fleetengine.deliveryConsumer

ให้สิทธิ์ในการค้นหางานโดยใช้รหัสติดตาม และ อ่านแต่ไม่อัปเดตข้อมูลงาน โดยปกติแล้ว ระบบจะใช้โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จากเว็บเบราว์เซอร์ของผู้ใช้ที่ส่ง

ผู้ใช้ไดรเวอร์ที่เชื่อถือได้ของ Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

ให้สิทธิ์ในการสร้างและอัปเดตยานพาหนะนำส่งและงาน รวมถึงการอัปเดตตำแหน่งยานพาหนะนำส่งและสถานะงานหรือผลลัพธ์ โดยปกติแล้ว ระบบจะใช้โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จากอุปกรณ์เคลื่อนที่ของคนขับรถนำส่งหรือจากเซิร์ฟเวอร์แบ็กเอนด์ของคุณ

หมายเหตุ: "เชื่อถือได้" หมายถึงอุปกรณ์ของคนขับที่จัดการโดย ไอทีขององค์กรซึ่งมีการควบคุมความปลอดภัยที่เหมาะสม องค์กรที่ จัดหาอุปกรณ์เหล่านี้สามารถเลือกผสานรวมการโต้ตอบกับ Fleet Engine เข้ากับแอปบนอุปกรณ์เคลื่อนที่ได้

วิธีใช้บทบาท IAM และบัญชีบริการกับ Fleet Engine

หากต้องการใช้บัญชีบริการสำหรับการตรวจสอบสิทธิ์และการให้สิทธิ์ใน Fleet Engine ให้ทำตามขั้นตอนทั่วไปต่อไปนี้

  1. สร้างบัญชีบริการในคอนโซล Google Cloud สำหรับแต่ละบทบาทที่คุณต้องการ คุณต้องมีบัญชีบริการเพื่อตรวจสอบสิทธิ์แอปพลิเคชันและเว็บไซต์ของคนขับ ผู้บริโภค การตรวจสอบกองยานพาหนะ และการจัดการกองยานพาหนะ ซึ่งเป็นซอฟต์แวร์ที่ต้องเข้าถึงข้อมูล Fleet Engine ซอฟต์แวร์ที่ต้องการสิทธิ์เดียวกันสามารถใช้บัญชีบริการเดียวกันได้

  2. มอบหมายบทบาทนโยบาย IAM ของ Fleet Engine ให้กับบัญชีบริการแต่ละบัญชี เลือกบทบาทนโยบาย IAM ที่เฉพาะเจาะจงของ Fleet Engine ซึ่งให้สิทธิ์ที่เหมาะสมในการเข้าถึงหรืออัปเดตข้อมูลใน Fleet Engine

  3. ใช้บัญชีบริการที่เหมาะสมในแอปและซอฟต์แวร์เพื่อ ตรวจสอบสิทธิ์การเชื่อมต่อกับ Fleet Engine และให้สิทธิ์เข้าถึง ทรัพยากรที่ได้รับจากบทบาทที่กำหนด

ดูรายละเอียดเกี่ยวกับบทบาทของบัญชีบริการที่เหมาะกับความปลอดภัยของ Fleet Engine ได้ที่ ภาพรวมด้านความปลอดภัย ดูคำอธิบายแบบเต็มเกี่ยวกับบทบาทของบัญชีบริการได้ที่ทำความเข้าใจบทบาท IAM ในเอกสารประกอบของ Google Cloud

ขั้นตอนถัดไป