IAM kurulumu ve hizmet hesabı rolleri

IAM'ı doğru şekilde yapılandırmak, Fleet Engine sisteminizin güvenlik ve kimlik yönetiminin ön şartıdır. Sürücüler, tüketiciler ve filo operatörlerinin gereksinimlerini karşılamak için farklı işlemlere ve verilere erişimi özelleştirmek üzere IAM rollerini kullanın.

Hizmet hesapları ve IAM rolleri nedir?

Fleet Engine'daki verilere erişim için kimlik doğrulama ve yetkilendirme yapmak üzere Google Cloud Console'da hizmet hesapları oluşturursunuz. Fleet Engine'da, bir hizmet hesabına atayarak hesabın hangi verilere erişebileceğini belirlemenizi sağlayan önceden belirlenmiş bir IAM rolü grubu bulunur. Ayrıntılar için Google Cloud belgelerindeki Hizmet hesaplarına genel bakış başlıklı makaleyi inceleyin.

Fleet Engine, Fleet Engine API yöntemleri ve kaynakları için yetkilendirmeyi yönetmek üzere IAM rollerini ve politikalarını kullanır. Daha fazla bilgi için Google Cloud belgelerindeki Rollere genel bakış başlıklı makaleyi inceleyin. Yalnızca aşağıdaki bölümlerde açıklanan Fleet Engine hizmet hesabı rollerini kullanın.

IAM rolü atama hakkında daha genel bilgi edinmek için Google Cloud Console'u kullanarak IAM rolü atama başlıklı makaleyi inceleyin.

Fleet Engine hizmet hesabı rolleri

Fleet Engine kurulumunuzda seçtiğiniz Mobility hizmeti, dahil edilen rolleri ve izinleri belirler.

Aşağıdaki rollerde, izinlerin Fleet Engine rolleriyle nasıl çalıştığı gösterilmektedir:

  • ondemandAdmin ve deliveryAdmin rolleri, Fleet Engine'da tüm işlemleri gerçekleştirebilir. Bu rolleri yalnızca arka uç sunucunuz ile Fleet Engine arasındaki iletişim gibi güvenilir ortamlarda kullanın.

  • driverSdkUser ve consumerSdkUser rollerinin yalnızca atanan seyahatlerin ayrıntılarını almasına, araç konumunu güncellemesine veya almasına izin verilir. Bu tür roller genellikle sürücü, tüketici veya izleme uygulamaları gibi güven düzeyi düşük ortamlarda istemciler tarafından kullanılır.

İsteğe bağlı seyahatler ve planlanmış görevler için verilen roller ve izinler aşağıdaki tablolarda açıklanmıştır.

İsteğe bağlı geziler

Rol İzin

Fleet Engine İsteğe Bağlı Yöneticisi

roles/fleetengine.ondemandAdmin

Tüm araç ve gezi kaynakları için okuma ve yazma izni verir. Bu role sahip yöneticilerin JWT kullanması gerekmez ve mümkün olduğunda Uygulama Varsayılan Kimlik Bilgileri kullanılmalıdır. Bu rol, özel JWT iddialarını yoksayar. Bu rolün kullanımını arka uç sunucunuz gibi güvenilir ortamlarla sınırlandırın.

Fleet Engine Sürücü SDK Kullanıcısı

roles/fleetengine.driverSdkUser

Araç konumlarını ve rotalarını güncelleyin, araçlar ve gezilerle ilgili bilgi alın. Araç paylaşma veya teslimat için sürücü uygulamalarından kimlik doğrulama ve yetkilendirme amacıyla bu rolle oluşturulan özel iddialarla JWT'leri kullanın.

Fleet Engine Tüketici SDK Kullanıcısı

roles/fleetengine.consumerSdkUser

Araç arayın ve araçlar ile geziler hakkında bilgi edinin. Araç paylaşma veya teslimat için tüketici uygulamalarına yönelik bu rolle oluşturulan özel iddialarla JWT'leri kullanın .

Planlanmış görevler

Rol İzin

Fleet Engine Delivery Yöneticisi

roles/fleetengine.deliveryAdmin

Yayınlama kaynakları için okuma ve yazma izni verir. Bu role sahip yöneticilerin JWT kullanması gerekmez. Bunun yerine, uygulama varsayılan kimlik bilgilerini kullanmalıdır. Özel JWT hak taleplerini yoksayar. Bu rolün kullanımını arka uç sunucunuz gibi güvenilir ortamlarla sınırlandırın.

Fleet Engine Delivery Fleet Okuyucu

roles/fleetengine.deliveryFleetReader

Yayın araçlarını ve görevleri okuma ve takip kimliği kullanarak görev arama izni verir. Bu role sahip bir hizmet hesabı tarafından verilen jetonlar genellikle teslimat filosu operatörünün web tarayıcısında kullanılır.

Fleet Engine Delivery Güvenilmeyen Sürücü Kullanıcısı

roles/fleetengine.deliveryUntrustedDriver

Teslimat aracının konumunu güncelleme izni verir. Bu role sahip bir hizmet hesabı tarafından verilen jetonlar genellikle teslimat sürücünüzün mobil cihazından kullanılır.

Not: Güvenilmeyen, sürücünün kurumsal BT tarafından yönetilmeyen, bunun yerine sürücü tarafından sağlanan ve genellikle uygun BT güvenlik denetimlerine sahip olmayan cihazını ifade eder. Kendi Cihazınızı Getirin politikaları olan kuruluşlar, bu rolün güvenliğini tercih etmeli ve Fleet Engine'e araç konumu güncellemeleri göndermek için yalnızca mobil uygulamayı kullanmalıdır. Diğer tüm etkileşimler arka uç sunucularınızdan gelmelidir.

Fleet Engine Delivery Tüketici Kullanıcısı

roles/fleetengine.deliveryConsumer

Takip kimliği kullanarak görevleri arama ve görev bilgilerini okuma ancak güncelleme izni verir. Bu role sahip bir hizmet hesabı tarafından verilen jetonlar genellikle yayın tüketicisinin web tarayıcısında kullanılır.

Fleet Engine Delivery Güvenilir Sürücü Kullanıcısı

roles/fleetengine.deliveryTrustedDriver

Teslimat aracı ve görev oluşturma ve güncelleme izni verir. Teslimat aracı konumu, görev durumu veya sonucunun güncellenmesi de buna dahildir. Bu role sahip bir hizmet hesabı tarafından verilen jetonlar genellikle teslimat sürücünüzün mobil cihazlarından veya arka uç sunucularınızdan kullanılır.

Not: Güvenilir, sürücünün kurumsal BT tarafından yönetilen ve uygun güvenlik denetimlerine sahip cihazını ifade eder. Bu cihazları sağlayan kuruluşlar, Fleet Engine etkileşimlerini mobil uygulamaya entegre etmeyi seçebilir.

Fleet Engine ile IAM rollerini ve hizmet hesaplarını kullanma

Fleet Engine'da kimlik doğrulama ve yetkilendirme için hizmet hesaplarını kullanmak üzere aşağıdaki genel adımları uygulayın:

  1. İhtiyacınız olan her rol için Google Cloud Console'da hizmet hesabı oluşturun. Sürücü, tüketici, filo izleme ve filo yönetimi uygulamaları ile web sitelerinin (Fleet Engine verilerine erişmesi gereken tüm yazılımlar) kimliğini doğrulamak için hizmet hesaplarına ihtiyacınız vardır. Aynı izinlere ihtiyaç duyan yazılımlar aynı hizmet hesabını kullanabilir.

  2. Her hizmet hesabına Fleet Engine IAM politikası rolü atayın. Fleet Engine'daki verilerinize erişmek veya verileri güncellemek için uygun izinleri sağlayan Fleet Engine'a özel IAM politikası rolünü seçin.

  3. Uygulamalarınız ve yazılımlarınızda uygun hizmet hesaplarını kullanarak Fleet Engine ile bağlantılarının kimliğini doğrulayın ve atanan rol tarafından verilen kaynaklara erişim yetkisi verin.

Hizmet hesabı rollerinin Fleet Engine güvenliğine nasıl uyduğu hakkında ayrıntılı bilgi için Güvenliğe genel bakış başlıklı makaleyi inceleyin. Hizmet hesabı rollerinin tam açıklaması için Google Cloud dokümanlarında IAM rollerini anlama başlıklı makaleyi inceleyin.

Sırada ne var?

  • Fleet Engine'da kullanımlarını anlamak için JSON Web Jetonları hakkında bilgi edinin.
  • Fleet Engine güvenliğine genel bakış için Güvenliğe genel bakış başlıklı makaleyi inceleyin.
  • Google Cloud Console hizmet hesabı rollerinin tam açıklaması için IAM rollerini anlama başlıklı makaleyi inceleyin.