La configuration correcte d'IAM est une condition préalable à la sécurité et à la gestion des identités pour votre système Fleet Engine. Utilisez les rôles IAM pour personnaliser l'accès à différentes opérations et données afin de répondre aux exigences des conducteurs, des consommateurs et des gestionnaires de flotte.
Que sont les comptes de service et les rôles IAM ?
Vous configurez des comptes de service dans la console Google Cloud pour authentifier et autoriser l'accès aux données dans Fleet Engine. Fleet Engine dispose d'un ensemble de rôles IAM prédéterminés que vous attribuez à un compte de service pour déterminer les données auxquelles ce compte a accès. Pour en savoir plus, consultez la présentation des comptes de service dans la documentation Google Cloud.
Fleet Engine utilise des rôles et des règles IAM pour gérer l'autorisation d'accès aux méthodes et ressources de l'API Fleet Engine. Pour en savoir plus, consultez Présentation des rôles dans la documentation Google Cloud. N'utilisez que les rôles de compte de service Fleet Engine décrits dans les sections suivantes.
Pour en savoir plus sur l'attribution de rôles IAM, consultez Attribuer un rôle IAM à l'aide de la console Google Cloud.
Rôles de compte de service Fleet Engine
Le service Mobility que vous choisissez pour votre installation Fleet Engine détermine les rôles et les autorisations inclus.
Les rôles suivants illustrent le fonctionnement des autorisations avec les rôles Fleet Engine :
Les rôles ondemandAdmin et deliveryAdmin peuvent effectuer toutes les opérations dans Fleet Engine. N'utilisez ces rôles que dans des environnements fiables, par exemple pour les communications entre votre serveur de backend et Fleet Engine.
Les rôles driverSdkUser et consumerSdkUser sont uniquement autorisés à obtenir des informations sur les trajets attribués, et à mettre à jour ou recevoir la position du véhicule. Ces types de rôles sont généralement utilisés par les clients dans des environnements à faible niveau de confiance, tels que les applications de chauffeur, de consommateur ou de surveillance.
Les rôles et autorisations accordés pour les trajets à la demande et les tâches planifiées sont décrits dans les tableaux suivants.
Trajets à la demande
| Rôle | Autorisation |
|---|---|
Administrateur Fleet Engine On-Demand
|
Accorde l'autorisation de lire, d'écrire et de supprimer toutes les ressources de véhicules et de trajets. Les principaux disposant de ce rôle n'ont pas besoin d'utiliser de jetons JWT. Ils doivent plutôt utiliser les identifiants par défaut de l'application dans la mesure du possible. Ce rôle ignore les revendications JWT personnalisées. Limitez l'utilisation de ce rôle aux environnements de confiance, tels que votre serveur de backend. |
Utilisateur du SDK pilote Fleet Engine
|
Mettez à jour la position et les itinéraires des véhicules, et récupérez des informations sur les véhicules et les trajets. Utilisez des jetons JWT avec des revendications personnalisées créées avec ce rôle pour l'authentification et l'autorisation à partir des applications de chauffeur pour le transport de personnes ou la livraison. |
Utilisateur du SDK client Fleet Engine
|
Recherchez des véhicules et récupérez des informations sur les véhicules et les trajets. Utilisez des jetons JWT avec des revendications personnalisées créées avec ce rôle pour les applications grand public de covoiturage ou de livraison . |
Tâches planifiées
| Rôle | Autorisation |
|---|---|
Administrateur Fleet Engine Delivery
|
Accorde des autorisations de lecture, d'écriture et de suppression pour les ressources de diffusion. Les comptes principaux disposant de ce rôle n'ont pas besoin d'utiliser de jetons JWT. Ils doivent utiliser les identifiants par défaut de l'application. Ignore les revendications JWT personnalisées. Limitez l'utilisation de ce rôle aux environnements de confiance, tels que votre serveur de backend. |
Lecteur Fleet Engine Delivery
|
Accorde l'autorisation de lire les véhicules et les tâches de livraison, et de rechercher des tâches à l'aide d'un numéro de suivi. Les jetons émis par un compte de service disposant de ce rôle sont généralement utilisés à partir du navigateur Web d'un opérateur de flotte de livraison. |
Utilisateur non approuvé Fleet Engine Delivery
|
Accorde l'autorisation de mettre à jour la position du véhicule de livraison. Les jetons émis par un compte de service avec ce rôle sont généralement utilisés depuis l'appareil mobile de votre livreur. Remarque : Le terme "non approuvé" fait référence à un appareil de chauffeur qui n'est pas géré par l'équipe informatique de l'entreprise, mais qui est fourni par le chauffeur et qui, en général, ne dispose pas des contrôles de sécurité informatique appropriés. Les organisations qui appliquent des règles BYOD (Bring Your Own Device) doivent opter pour la sécurité de ce rôle et ne s'appuyer que sur l'application mobile pour envoyer les mises à jour de la position du véhicule à Fleet Engine. Toutes les autres interactions doivent provenir de vos serveurs de backend. |
Consommateur Fleet Engine Delivery
|
Accorde l'autorisation de rechercher des tâches à l'aide d'un ID de suivi, et de lire les informations sur les tâches, mais pas de les modifier. Les jetons émis par un compte de service disposant de ce rôle sont généralement utilisés à partir du navigateur Web d'un consommateur de livraison. |
Utilisateur de confiance Fleet Engine Delivery
|
Accorde l'autorisation de créer et de mettre à jour les véhicules et les tâches de livraison, y compris de mettre à jour la position du véhicule de livraison et l'état ou le résultat de la tâche. Les jetons émis par un compte de service disposant de ce rôle sont généralement utilisés à partir des appareils mobiles de vos chauffeurs-livreurs ou de vos serveurs de backend. Remarque : Le terme "de confiance" fait référence à un appareil de chauffeur géré par l'informatique de l'entreprise et disposant de contrôles de sécurité appropriés. Les entreprises qui fournissent ces appareils peuvent choisir d'intégrer les interactions Fleet Engine dans l'application mobile. |
Utiliser des rôles IAM et des comptes de service avec Fleet Engine
Pour utiliser des comptes de service pour l'authentification et l'autorisation dans Fleet Engine, suivez ces étapes générales :
Créez des comptes de service dans la console Google Cloud pour chaque rôle dont vous avez besoin. Vous avez besoin de comptes de service pour authentifier les applications et les sites Web de gestion de parc, de surveillance de parc, de consommateur et de chauffeur, ainsi que tout logiciel ayant besoin d'accéder aux données Fleet Engine. Les logiciels qui ont besoin des mêmes autorisations peuvent utiliser le même compte de service.
Attribuez un rôle de stratégie IAM Fleet Engine à chaque compte de service. Sélectionnez le rôle de stratégie IAM spécifique à Fleet Engine qui fournit les autorisations appropriées pour accéder à vos données ou les mettre à jour dans Fleet Engine.
Utilisez les comptes de service appropriés dans vos applications et logiciels pour authentifier leur connexion à Fleet Engine et autoriser l'accès aux ressources accordées par le rôle attribué.
Pour en savoir plus sur la façon dont les rôles de compte de service s'intègrent à la sécurité de Fleet Engine, consultez la présentation de la sécurité. Pour obtenir une explication complète des rôles de compte de service, consultez Comprendre les rôles IAM dans la documentation Google Cloud.
Étape suivante
- Consultez la page sur les jetons Web JSON pour comprendre leur utilisation dans Fleet Engine.
- Pour obtenir une présentation de la sécurité de Fleet Engine, consultez la présentation de la sécurité.
- Pour obtenir une explication complète des rôles de compte de service de la console Google Cloud, consultez Comprendre les rôles IAM.