Trang này được dịch bởi Cloud Translation API.

Tổng quan về hoạt động bảo mật

Tài liệu này giải thích cách công cụ Fleet bảo mật việc trao đổi thông tin giữa ba môi trường chính của hệ thống Công cụ Fleet: máy chủ phụ trợ, máy chủ Công cụ Fleet và các ứng dụng khách cũng như trang web của bạn.

Công cụ của Fleet quản lý bảo mật theo hai cách cơ bản, sử dụng nguyên tắc về quyền tối thiểu:

Thông tin xác thực mặc định của ứng dụng (ADC): Dành cho các môi trường có đặc quyền cao, chẳng hạn như giao tiếp giữa máy chủ với máy chủ. Được dùng khi máy chủ phụ trợ tạo xe và chuyến đi, đồng thời quản lý các xe và chuyến đi đó trong Công cụ quản lý đội xe. Để biết thông tin chi tiết, hãy xem phần Thông tin xác thực mặc định của ứng dụng.

Lưu ý: Mặc dù bạn có thể sử dụng JWT để giao tiếp giữa các máy chủ, nhưng Google khuyên bạn nên sử dụng ADC.
Mã thông báo web JSON (JWT): Dành cho các môi trường có độ tin cậy thấp như các ứng dụng khách chạy trên điện thoại thông minh và trình duyệt. Dùng để thực hiện các thao tác có đặc quyền thấp hơn, chẳng hạn như cập nhật vị trí xe trong Công cụ quản lý đội xe.

Các JWT mà môi trường có mức độ tin cậy thấp yêu cầu được máy chủ phụ trợ của bạn tạo và phát hành để bảo vệ khoá bí mật của tài khoản dịch vụ, đồng thời bao gồm các thông báo xác nhận bổ sung dành riêng cho Công cụ của đội xe. Để biết thông tin chi tiết, hãy xem phần Mã thông báo web JSON.

Ví dụ: nếu bạn có ứng dụng dành cho tài xế, thì tài xế sẽ truy cập dữ liệu từ Công cụ quản lý đội xe thông qua ứng dụng. Ứng dụng được xác thực bằng cách sử dụng JWT mà ứng dụng nhận được từ máy chủ phụ trợ. Các thông báo xác nhận JWT đi kèm, cùng với vai trò của tài khoản dịch vụ, xác định những phần của hệ thống mà ứng dụng trình điều khiển có quyền truy cập và những việc mà ứng dụng này có thể làm. Phương pháp này chỉ giới hạn quyền truy cập vào dữ liệu cần thiết để hoàn tất các nhiệm vụ lái xe.

Công cụ của đội xe sử dụng các phương pháp bảo mật này để cung cấp những lợi ích sau:

Xác thực xác minh danh tính của thực thể đưa ra yêu cầu. Công cụ của Fleet sử dụng ADC cho các môi trường có độ tin cậy cao và JWT cho các môi trường có độ tin cậy thấp.
Uỷ quyền chỉ định tài nguyên mà một thực thể đã xác thực có quyền truy cập. Công cụ của Fleet sử dụng các tài khoản dịch vụ có vai trò IAM trên Google Cloud, cùng với các tuyên bố JWT đảm bảo rằng các thực thể đã xác thực có quyền xem hoặc thay đổi dữ liệu mà họ đang yêu cầu.

Thiết lập bảo mật máy chủ và ứng dụng

Để bật tính năng bảo mật bằng Công cụ của đội xe, hãy thiết lập các tài khoản và tính năng bảo mật bắt buộc trên máy chủ phụ trợ, cũng như trên các ứng dụng khách và trang web của bạn.

Sơ đồ sau đây cho thấy thông tin tổng quan về các bước thiết lập tính năng bảo mật trên máy chủ phụ trợ và ứng dụng khách.

Sơ đồ quy trình bảo mật trong quá trình thiết lập để xác thực ứng dụng máy chủ và ứng dụng khách

Để biết thêm thông tin chi tiết, hãy xem các phần sau.

Thiết lập bảo mật máy chủ phụ trợ

Quản trị viên của đội xe cần làm theo các bước sau:

Tạo và định cấu hình tài khoản dịch vụ:
1. Trong Google Cloud Console, hãy tạo tài khoản dịch vụ.
2. Chỉ định các vai trò IAM cụ thể cho tài khoản dịch vụ.
3. Định cấu hình máy chủ phụ trợ bằng các tài khoản dịch vụ đã tạo. Để biết thông tin chi tiết, hãy xem phần Vai trò của tài khoản dịch vụ.
Định cấu hình giao tiếp bảo mật với Công cụ của đội xe (ADC): Định cấu hình phần phụ trợ để giao tiếp với thực thể Công cụ của đội xe bằng Thông tin xác thực mặc định của ứng dụng với *Tài khoản dịch vụ quản trị thích hợp. Để biết thêm thông tin chi tiết, hãy xem phần Thông tin xác thực mặc định của ứng dụng.
Định cấu hình giao tiếp bảo mật với ứng dụng khách (JWT): Tạo trình tạo mã thông báo web JSON để tạo JWT có các thông báo xác nhận quyền sở hữu thích hợp cho ứng dụng khách và trang web giám sát. Để biết thông tin chi tiết, hãy xem phần Phát hành mã thông báo web JSON.

Thiết lập tính năng bảo mật ứng dụng

Nhà phát triển ứng dụng cần thêm một cách để tìm nạp mã thông báo web JSON do máy chủ phụ trợ tạo trong ứng dụng hoặc trang web của ứng dụng khách và sử dụng các mã thông báo đó để giao tiếp một cách an toàn với Công cụ của đội xe. Để biết thông tin chi tiết, hãy xem hướng dẫn thiết lập trong tài liệu về Trải nghiệm người lái xe hoặc Trải nghiệm người dùng cho các ứng dụng bạn cần.

Luồng bảo mật của máy chủ và ứng dụng khách

Sơ đồ trình tự sau đây minh hoạ quy trình xác thực và uỷ quyền của máy chủ và ứng dụng khách bằng Công cụ của đội xe sử dụng ADC với máy chủ phụ trợ và JWT với các ứng dụng khách và trang web.

Sơ đồ quy trình bảo mật trong quá trình xác thực ứng dụng máy chủ và ứng dụng khách

Máy chủ phụ trợ của bạn tạo xe và chuyến đi hoặc công việc trong Công cụ quản lý đội xe.
Máy chủ phụ trợ của bạn gửi một chuyến đi hoặc công việc cho một xe: Khi đang hoạt động, ứng dụng trình điều khiển sẽ truy xuất công việc được giao.
Máy chủ phụ trợ của bạn: Ký và phát hành JWT cho tài khoản dịch vụ tương ứng có vai trò IAM thích hợp cho nhiệm vụ hoặc chuyến đi được chỉ định.
Ứng dụng khách: Ứng dụng khách sử dụng JWT đã nhận được để gửi thông tin cập nhật về vị trí xe đến Công cụ quản lý đội xe.

Bước tiếp theo

Tạo dự án Fleet Engine.
Tìm hiểu cách Phát hành mã thông báo web JSON từ máy chủ của bạn.
Tìm hiểu thêm về Vai trò của tài khoản dịch vụ.
Tìm hiểu thêm về JWTs.