Роли сервисных учетных записей

Роли сервисных учетных записей — это ключевая часть безопасности и управления идентификацией вашей системы Fleet Engine. Эти роли позволяют адаптировать доступ к различным операциям и данным в соответствии с требованиями водителей, потребителей и операторов автопарков.

Что такое сервисный аккаунт?

Сервисные учетные записи — это учетные записи Google Cloud Console, которые вы используете для аутентификации и авторизации доступа к данным в Fleet Engine. Fleet Engine имеет набор заранее определенных ролей политики IAM, которые вы назначаете сервисной учетной записи, чтобы определить, к каким данным эта учетная запись имеет доступ.

Роли сервисного аккаунта Fleet Engine

Служба мобильности, которую вы выбираете для установки Fleet Engine, определяет включенные роли и разрешения.

Следующие роли иллюстрируют, как разрешения работают с ролями Fleet Engine:

  • Роли ondemandAdmin и DeliveryAdmin могут выполнять все операции в Fleet Engine. Используйте эти роли только в доверенных средах, таких как связь между вашим внутренним сервером и Fleet Engine.

  • Ролям driverSdkUser и ConsumerSdkUser разрешено только получать сведения о назначенных поездках, а также обновлять или получать местоположение транспортного средства. Эти типы ролей обычно используются клиентами в средах с низким уровнем доверия, например приложениями драйвера, потребителя или мониторинга.

Роли и разрешения, предоставленные для поездок по требованию и запланированных задач, описаны в следующих таблицах.

Поездки по запросу

Роль Разрешение

Администратор Fleet Engine по требованию

roles/fleetengine.ondemandAdmin

Предоставляет разрешение на чтение и запись для всех ресурсов транспортных средств и поездок. Участникам с этой ролью не нужно использовать JWT, вместо этого им следует использовать учетные данные приложения по умолчанию, когда это возможно. Эта роль игнорирует пользовательские утверждения JWT. Ограничьте использование этой роли доверенными средами, такими как внутренний сервер.

Пользователь SDK драйвера Fleet Engine

roles/fleetengine.driverSdkUser

Обновляйте местоположения и маршруты транспортных средств, а также получайте информацию о транспортных средствах и поездках. Используйте JWT с настраиваемыми утверждениями, созданными с помощью этой роли, для аутентификации и авторизации в приложениях для водителей для совместного использования поездок или доставки.

Пользователь Fleet Engine Consumer SDK

roles/fleetengine.consumerSdkUser

Ищите транспортные средства и получайте информацию о транспортных средствах и поездках. Используйте JWT с настраиваемыми утверждениями, созданными с помощью этой роли, для потребительских приложений для совместного использования поездок или доставки.

Запланированные задачи

Роль Разрешение

Администратор по доставке двигателей флота

roles/fleetengine.deliveryAdmin

Предоставляет разрешение на чтение и запись для ресурсов доставки. Участникам с этой ролью не нужно использовать JWT, вместо этого им следует использовать учетные данные приложения по умолчанию. Игнорирует пользовательские утверждения JWT. Ограничьте использование этой роли доверенными средами, такими как внутренний сервер.

Fleet Engine Delivery Fleet Reader

roles/fleetengine.deliveryFleetReader

Предоставляет разрешение на чтение средств доставки и задач, а также на поиск задач с использованием идентификатора отслеживания. Токены, выданные сервисной учетной записью с этой ролью, обычно используются из веб-браузера оператора автопарка доставки.

Недоверенный водитель-пользователь Fleet Engine Delivery

roles/fleetengine.deliveryUntrustedDriver

Предоставляет разрешение на обновление местоположения средства доставки. Токены, выданные сервисным аккаунтом с этой ролью, обычно используются с мобильного устройства вашего водителя доставки.

Примечание. Под «недоверенным» подразумевается устройство драйвера, которое не управляется корпоративным ИТ-отделом, а предоставляется драйвером и обычно не имеет соответствующих средств контроля ИТ-безопасности. Организациям, придерживающимся политики «Принеси свое собственное устройство», следует выбрать безопасную эту роль и полагаться только на мобильное приложение для отправки обновлений о местоположении транспортных средств в Fleet Engine. Все остальные взаимодействия должны происходить с ваших внутренних серверов.

Пользователь-потребитель доставки транспортных средств флота

roles/fleetengine.deliveryConsumer

Предоставляет разрешение на поиск задач с использованием идентификатора отслеживания, а также на чтение, но не обновление информации о задачах. Токены, выданные учетной записью службы с этой ролью, обычно используются из веб-браузера потребителя доставки.

Доверенный водитель Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

Предоставляет разрешение на создание и обновление средств доставки и задач, включая обновление местоположения средства доставки, а также статуса или результата задачи. Токены, выданные сервисным аккаунтом с этой ролью, обычно используются с мобильных устройств вашего водителя доставки или с ваших внутренних серверов.

Примечание. Под «доверенным» подразумевается устройство водителя, управляемое корпоративным ИТ-отделом и имеющее соответствующие средства контроля безопасности. Организации, поставляющие эти устройства, могут интегрировать взаимодействие Fleet Engine в мобильное приложение.

Как использовать сервисные учетные записи с Fleet Engine

Чтобы использовать учетные записи служб для аутентификации и авторизации в Fleet Engine, выполните следующие общие шаги:

  1. Создайте сервисные учетные записи в Google Cloud Console для каждой необходимой вам роли. Вам нужны сервисные учетные записи для аутентификации приложений и веб-сайтов водителей, потребителей, мониторинга автопарка и управления автопарком — любого программного обеспечения, которому требуется доступ к данным Fleet Engine. Программное обеспечение, которому требуются одинаковые разрешения, может использовать одну и ту же учетную запись службы.

  2. Назначьте роль Fleet Engine каждому сервисному аккаунту. Выберите роль политики IAM, специфичную для Fleet Engine, которая обеспечивает соответствующий доступ или обновление ваших данных в Fleet Engine.

  3. Используйте соответствующие учетные записи служб в своих приложениях и программном обеспечении для аутентификации их подключения к Fleet Engine и авторизации доступа к ресурсам, предоставленным назначенной ролью.

Подробную информацию о том, как роли сервисных учетных записей вписываются в систему безопасности Fleet Engine, см. в разделе Обзор безопасности . Полное объяснение ролей сервисных учетных записей см. в разделе «Понимание ролей IAM» в документации Google Cloud.

Что дальше