การตั้งค่า IAM และบทบาทของบัญชีบริการ

การกําหนดค่า IAM อย่างถูกต้องเป็นขั้นตอนสําคัญของการจัดการความปลอดภัยและข้อมูลประจําตัวสําหรับระบบ Fleet Engine ใช้บทบาท IAM เพื่อปรับแต่งสิทธิ์เข้าถึงการดำเนินการและข้อมูลต่างๆ ให้เป็นไปตามข้อกำหนดของคนขับ ผู้บริโภค และผู้ให้บริการขนส่ง

บัญชีบริการและบทบาท IAM คืออะไร

คุณตั้งค่าบัญชีบริการในคอนโซล Google Cloud เพื่อตรวจสอบสิทธิ์และอนุญาตให้เข้าถึงข้อมูลใน Fleet Engine เครื่องมือจัดการฟลีตมีชุดบทบาท IAM ที่กําหนดไว้ล่วงหน้าซึ่งคุณกําหนดให้กับบัญชีบริการเพื่อระบุข้อมูลที่มีสิทธิ์เข้าถึง โปรดดูรายละเอียดที่หัวข้อภาพรวมบัญชีบริการในเอกสารประกอบของ Google Cloud

Fleet Engine ใช้บทบาทและนโยบาย IAM เพื่อจัดการการให้สิทธิ์สำหรับเมธอดและทรัพยากร Fleet Engine API ดูข้อมูลเพิ่มเติมได้ที่ภาพรวมบทบาทในเอกสารประกอบของ Google Cloud ใช้เฉพาะบทบาทของบัญชีบริการ Fleet Engine ที่อธิบายไว้ในส่วนต่อไปนี้

ดูข้อมูลทั่วไปเพิ่มเติมเกี่ยวกับการให้บทบาท IAM ได้ที่หัวข้อให้บทบาท IAM โดยใช้คอนโซล Google Cloud

บทบาทของบัญชีบริการ Fleet Engine

บริการ Mobility ที่คุณเลือกสําหรับการติดตั้ง Fleet Engine จะกําหนดบทบาทและสิทธิ์ที่รวมอยู่ด้วย

บทบาทต่อไปนี้แสดงวิธีที่สิทธิ์ทำงานร่วมกับบทบาทใน Fleet Engine

  • บทบาท ondemandAdmin และ deliveryAdmin สามารถดําเนินการทั้งหมดใน Fleet Engine ได้ ใช้บทบาทเหล่านี้ในสภาพแวดล้อมที่เชื่อถือเท่านั้น เช่น การสื่อสารระหว่างเซิร์ฟเวอร์แบ็กเอนด์กับ Fleet Engine

  • บทบาท driverSdkUser และ consumerSdkUser ได้รับอนุญาตให้ดูรายละเอียดของการเดินทางที่ได้รับมอบหมาย รวมถึงอัปเดตหรือรับตำแหน่งของยานพาหนะเท่านั้น โดยปกติแล้ว บทบาทประเภทเหล่านี้จะใช้โดยไคลเอ็นต์ในสภาพแวดล้อมที่มีระดับความน่าเชื่อถือต่ำ เช่น แอปไดรเวอร์ ผู้บริโภค หรือการติดตาม

บทบาทและสิทธิ์ที่มอบให้สำหรับการเดินทางแบบออนดีมานด์และงานที่กำหนดเวลาไว้จะอธิบายไว้ในตารางต่อไปนี้

การเดินทางแบบออนดีมานด์

บทบาท สิทธิ์

ผู้ดูแลระบบแบบออนดีมานด์ของ Fleet Engine

roles/fleetengine.ondemandAdmin

ให้สิทธิ์การอ่านและเขียนสำหรับทรัพยากรยานพาหนะและการเดินทางทั้งหมด ผู้ที่มีบทบาทนี้ไม่จำเป็นต้องใช้ JWT และควรใช้ข้อมูลเข้าสู่ระบบเริ่มต้นของแอปพลิเคชันทุกครั้งที่ทำได้ บทบาทนี้จะละเว้นการอ้างสิทธิ์ JWT ที่กําหนดเอง จำกัดการใช้บทบาทนี้ในสภาพแวดล้อมที่เชื่อถือได้ เช่น เซิร์ฟเวอร์แบ็กเอนด์

ผู้ใช้ Fleet Engine Driver SDK

roles/fleetengine.driverSdkUser

อัปเดตตำแหน่งและเส้นทางของยานพาหนะ รวมถึงเรียกข้อมูลเกี่ยวกับยานพาหนะและการเดินทาง ใช้ JWT ที่มีการอ้างสิทธิ์ที่กำหนดเองซึ่งสร้างด้วยบทบาทนี้เพื่อการตรวจสอบสิทธิ์และการให้สิทธิ์จากแอปคนขับสำหรับบริการร่วมเดินทางหรือการนำส่ง

ผู้ใช้ Fleet Engine Consumer SDK

roles/fleetengine.consumerSdkUser

ค้นหายานพาหนะและเรียกข้อมูลเกี่ยวกับยานพาหนะและการเดินทาง ใช้ JWT ที่มีการอ้างสิทธิ์ที่กำหนดเองซึ่งสร้างด้วยบทบาทนี้สำหรับแอปผู้บริโภคสำหรับการแชร์รถหรือการนำส่ง

งานที่กำหนดเวลาไว้

บทบาท สิทธิ์

ผู้ดูแลระบบ Fleet Engine Delivery

roles/fleetengine.deliveryAdmin

มอบสิทธิ์การอ่านและเขียนสําหรับทรัพยากรการนำส่ง ผู้ที่มีบทบาทนี้ไม่จำเป็นต้องใช้ JWT แต่ควรใช้ข้อมูลเข้าสู่ระบบเริ่มต้นของแอปพลิเคชันแทน ละเว้นการอ้างสิทธิ์ JWT ที่กําหนดเอง จำกัดการใช้บทบาทนี้ในสภาพแวดล้อมที่เชื่อถือได้ เช่น เซิร์ฟเวอร์แบ็กเอนด์

Fleet Reader ของ Fleet Engine Delivery

roles/fleetengine.deliveryFleetReader

ให้สิทธิ์อ่านยานพาหนะสำหรับนำส่งและงาน รวมถึงสิทธิ์ค้นหางานโดยใช้รหัสติดตาม โดยปกติแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะมาจากเว็บเบราว์เซอร์ของผู้ให้บริการขนส่ง

ผู้ใช้ไดรฟ์ที่ไม่น่าเชื่อถือของ Fleet Engine Delivery

roles/fleetengine.deliveryUntrustedDriver

ให้สิทธิ์อัปเดตตำแหน่งยานพาหนะนำส่ง โดยปกติแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะมาจากอุปกรณ์เคลื่อนที่ของคนขับรถส่งของ

หมายเหตุ: "ไม่น่าเชื่อถือ" หมายถึงอุปกรณ์ของคนขับที่ไม่ได้จัดการโดยไอทีของบริษัท แต่เป็นคนขับเป็นผู้จัดหาให้และโดยทั่วไปไม่มีการควบคุมความปลอดภัยด้านไอทีที่เหมาะสม องค์กรที่มีนโยบาย BYOD ควรเลือกบทบาทนี้เพื่อความปลอดภัย และใช้เฉพาะแอปบนอุปกรณ์เคลื่อนที่เพื่อส่งการอัปเดตตำแหน่งของยานพาหนะไปยัง Fleet Engine การโต้ตอบอื่นๆ ทั้งหมดควรมาจากเซิร์ฟเวอร์แบ็กเอนด์

ผู้ใช้ผู้บริโภคของ Fleet Engine Delivery

roles/fleetengine.deliveryConsumer

ให้สิทธิ์ในการค้นหางานโดยใช้รหัสติดตาม และอ่านแต่ไม่อัปเดตข้อมูลงาน โดยปกติแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะมาจากเว็บเบราว์เซอร์ของผู้บริโภคการนำส่ง

ผู้ใช้ไดรเวอร์ที่เชื่อถือได้ของ Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

ให้สิทธิ์สร้างและอัปเดตยานพาหนะนำส่งและงาน รวมถึงอัปเดตตำแหน่งยานพาหนะนำส่งและสถานะหรือผลลัพธ์ของงาน โดยปกติแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะมาจากอุปกรณ์เคลื่อนที่ของคนขับรถส่งของหรือจากเซิร์ฟเวอร์แบ็กเอนด์

หมายเหตุ: เชื่อถือได้หมายถึงอุปกรณ์ของคนขับที่จัดการโดยไอทีของบริษัทซึ่งมีการควบคุมความปลอดภัยที่เหมาะสม องค์กรที่จัดหาอุปกรณ์เหล่านี้สามารถเลือกผสานรวมการโต้ตอบกับ Fleet Engine เข้ากับแอปบนอุปกรณ์เคลื่อนที่ได้

วิธีใช้บทบาท IAM และบัญชีบริการกับ Fleet Engine

หากต้องการใช้บัญชีบริการเพื่อตรวจสอบสิทธิ์และการให้สิทธิ์ใน Fleet Engine ให้ทำตามขั้นตอนทั่วไปต่อไปนี้

  1. สร้างบัญชีบริการในคอนโซล Google Cloud สำหรับบทบาทแต่ละบทบาทที่ต้องการ คุณต้องใช้บัญชีบริการเพื่อตรวจสอบสิทธิ์ไดรเวอร์ ผู้บริโภค แอปพลิเคชันและเว็บไซต์ตรวจสอบยานพาหนะ รวมถึงซอฟต์แวร์ใดก็ตามที่ต้องเข้าถึงข้อมูล Fleet Engine ซอฟต์แวร์ที่ต้องการสิทธิ์เดียวกันสามารถใช้บัญชีบริการเดียวกันได้

  2. กำหนดบทบาทนโยบาย IAM ของ Fleet Engine ให้กับบัญชีบริการแต่ละบัญชี เลือกบทบาทนโยบาย IAM สำหรับ Fleet Engine โดยเฉพาะที่ให้สิทธิ์ที่เหมาะสมในการเข้าถึงหรืออัปเดตข้อมูลใน Fleet Engine

  3. ใช้บัญชีบริการที่เหมาะสมในแอปและซอฟต์แวร์เพื่อตรวจสอบสิทธิ์การเชื่อมต่อกับ Fleet Engine และให้สิทธิ์เข้าถึงแหล่งข้อมูลที่บทบาทที่ได้รับมอบหมายอนุญาต

โปรดดูรายละเอียดเกี่ยวกับบทบาทของบัญชีบริการที่สอดคล้องกับการรักษาความปลอดภัยของ Fleet Engine ที่หัวข้อภาพรวมการรักษาความปลอดภัย ดูคำอธิบายบทบาทของบัญชีบริการทั้งหมดได้ที่การทำความเข้าใจบทบาท IAM ในเอกสารประกอบของ Google Cloud

ขั้นตอนถัดไป