Правильная настройка IAM является обязательной частью управления безопасностью и идентификацией для вашей системы Fleet Engine. Используйте роли IAM для настройки доступа к различным операциям и данным в соответствии с требованиями водителей, потребителей и операторов автопарка.
Что такое учетные записи служб и роли IAM?
Вы настраиваете учетные записи служб в Google Cloud Console для аутентификации и авторизации доступа к данным в Fleet Engine. Fleet Engine имеет набор предопределенных ролей IAM, которые вы назначаете учетной записи службы, чтобы определить, к каким данным эта учетная запись имеет доступ. Подробности см. в разделе Обзор учетных записей служб в документации Google Cloud.
Fleet Engine использует роли и политики IAM для управления авторизацией методов и ресурсов API Fleet Engine. Для получения дополнительной информации см. Обзор ролей в документации Google Cloud. Используйте только роли учетной записи службы Fleet Engine, описанные в следующих разделах.
Более общую информацию о предоставлении ролей IAM см. в разделе Предоставление роли IAM с помощью консоли Google Cloud .
Роли учетной записи службы Fleet Engine
Служба мобильности, которую вы выбираете для установки Fleet Engine, определяет включенные роли и разрешения.
Следующие роли иллюстрируют, как разрешения работают с ролями Fleet Engine:
Роли ondemandAdmin и deliveryAdmin могут выполнять все операции в Fleet Engine. Используйте эти роли только в доверенных средах, таких как связь между вашим внутренним сервером и Fleet Engine.
Роли driverSdkUser и consumerSdkUser разрешены только для получения данных о назначенных поездках и обновления или получения местоположения транспортного средства. Эти типы ролей обычно используются клиентами в средах с низким уровнем доверия, например, приложениями для водителей, потребителей или мониторинга.
Роли и разрешения, предоставляемые для поездок по требованию и запланированных задач, описаны в следующих таблицах.
Поездки по требованию
| Роль | Разрешение |
|---|---|
Администратор по требованию для двигателей флота | Предоставляет разрешение на чтение, запись и удаление для всех ресурсов транспортных средств и поездок. Принципалам с этой ролью не нужно использовать JWT, вместо этого им следует использовать учетные данные приложения по умолчанию, когда это возможно. Эта роль игнорирует пользовательские утверждения JWT. Ограничьте использование этой роли доверенными средами, такими как ваш внутренний сервер. |
Пользователь SDK для драйверов двигателей флота | Обновляйте местоположения и маршруты транспортных средств и извлекайте информацию о транспортных средствах и поездках. Используйте JWT с пользовательскими утверждениями, созданными с этой ролью, для аутентификации и авторизации из приложений водителя для совместных поездок или доставки. |
Пользователь SDK Fleet Engine Consumer | Поиск транспортных средств и получение информации о транспортных средствах и поездках. Используйте JWT с пользовательскими утверждениями, созданными с этой ролью для потребительских приложений для совместных поездок или доставки. |
Запланированные задачи
| Роль | Разрешение |
|---|---|
Администратор доставки двигателей для флота | Предоставляет разрешение на чтение, запись и удаление для ресурсов доставки. Принципалам с этой ролью не нужно использовать JWT, вместо этого следует использовать учетные данные приложения по умолчанию. Игнорирует пользовательские утверждения JWT. Ограничьте использование этой роли доверенными средами, такими как ваш внутренний сервер. |
Доставка двигателя флота Считыватель флота | Предоставляет разрешение на чтение транспортных средств доставки и задач, а также на поиск задач с использованием идентификатора отслеживания. Токены, выпущенные учетной записью службы с этой ролью, обычно используются из веб-браузера оператора автопарка доставки. |
Доставка двигателя автопарка Ненадежный водитель Пользователь | Предоставляет разрешение на обновление местоположения транспортного средства доставки. Токены, выпущенные учетной записью службы с этой ролью, обычно используются с мобильного устройства водителя доставки. Примечание: Ненадежный относится к устройству водителя, которое не управляется корпоративным ИТ, а вместо этого предоставляется водителем и, как правило, не имеет соответствующих элементов управления ИТ-безопасностью. Организации с политиками Bring Your Own Device должны выбрать безопасность этой роли и полагаться только на мобильное приложение для отправки обновлений местоположения транспортного средства в Fleet Engine. Все остальные взаимодействия должны исходить от ваших внутренних серверов. |
Доставка двигателя для автопарка Потребитель Пользователь | Предоставляет разрешение на поиск задач с использованием идентификатора отслеживания и на чтение, но не обновление информации о задачах. Токены, выпущенные учетной записью службы с этой ролью, обычно используются из веб-браузера потребителя доставки. |
Пользователь доверенного водителя Fleet Engine Delivery | Предоставляет разрешение на создание и обновление транспортных средств доставки и задач, включая обновление местоположения транспортного средства доставки и статуса или результата задачи. Токены, выпущенные учетной записью службы с этой ролью, обычно используются с мобильных устройств вашего водителя доставки или с ваших внутренних серверов. Примечание: Trusted относится к устройству водителя, управляемому корпоративным ИТ, которое имеет соответствующие элементы управления безопасностью. Организации, предоставляющие эти устройства, могут выбрать интеграцию взаимодействия Fleet Engine в мобильное приложение. |
Как использовать роли IAM и учетные записи служб с Fleet Engine
Чтобы использовать учетные записи служб для аутентификации и авторизации в Fleet Engine, выполните следующие общие шаги:
Создайте учетные записи служб в Google Cloud Console для каждой необходимой вам роли. Учетные записи служб нужны для аутентификации водителей, потребителей, мониторинга автопарка и приложений управления автопарком и веб-сайтов — любого программного обеспечения, которому требуется доступ к данным Fleet Engine. Программное обеспечение, которому требуются те же разрешения, может использовать ту же учетную запись службы.
Назначьте роль политики Fleet Engine IAM для каждой учетной записи службы. Выберите роль политики Fleet Engine IAM, специфичную для Fleet Engine, которая предоставляет соответствующие разрешения для доступа или обновления ваших данных в Fleet Engine.
Используйте соответствующие учетные записи служб в своих приложениях и программном обеспечении для аутентификации их подключения к Fleet Engine и авторизации доступа к ресурсам, предоставленным назначенной ролью.
Подробную информацию о том, как роли учетных записей служб вписываются в безопасность Fleet Engine, см. в разделе Обзор безопасности . Полное объяснение ролей учетных записей служб см. в разделе Понимание ролей IAM в документации Google Cloud.
Что дальше?
- Прочитайте о JSON Web Tokens , чтобы понять их использование в Fleet Engine.
- Обзор безопасности Fleet Engine см. в разделе Обзор безопасности .
- Полное описание ролей учетной записи службы Google Cloud Console см. в разделе Общие сведения о ролях IAM.