การตั้งค่า IAM และบทบาทของบัญชีบริการ

การกำหนดค่า IAM อย่างถูกต้องเป็นส่วนหนึ่งของข้อกำหนดเบื้องต้นในการจัดการความปลอดภัยและข้อมูลประจำตัวสำหรับระบบ Fleet Engine ใช้บทบาท IAM เพื่อปรับแต่งการเข้าถึงการดำเนินการและข้อมูลต่างๆ ให้ตรงตามข้อกำหนดของผู้ขับขี่ ผู้บริโภค และผู้ให้บริการยานพาหนะ

บัญชีบริการและบทบาท IAM คืออะไร

คุณตั้งค่าบัญชีบริการในคอนโซล Google Cloud เพื่อตรวจสอบสิทธิ์และให้สิทธิ์เข้าถึงข้อมูลใน Fleet Engine Fleet Engine มีชุดบทบาท IAM ที่กำหนดไว้ล่วงหน้า ซึ่งคุณจะมอบหมายให้กับบัญชีบริการเพื่อกำหนดข้อมูลที่บัญชีดังกล่าวมีสิทธิ์เข้าถึง ดูรายละเอียดได้ที่ ภาพรวมบัญชีบริการในเอกสารประกอบของ Google Cloud

Fleet Engine ใช้บทบาทและนโยบาย IAM เพื่อจัดการการให้สิทธิ์สำหรับเมธอดและทรัพยากร Fleet Engine API ดูข้อมูลเพิ่มเติมได้ที่ภาพรวมบทบาท ในเอกสารประกอบของ Google Cloud ใช้เฉพาะบทบาทบัญชีบริการ Fleet Engine ที่อธิบายไว้ในส่วนต่อไปนี้

ดูข้อมูลทั่วไปเพิ่มเติมเกี่ยวกับการมอบบทบาท IAM ได้ที่ หัวข้อการมอบบทบาท IAM โดยใช้คอนโซล Google Cloud

บทบาทบัญชีบริการ Fleet Engine

บริการคมนาคมขนส่งที่คุณเลือกสำหรับการติดตั้ง Fleet Engine จะกำหนดบทบาทและสิทธิ์ที่จะรวมไว้

บทบาทต่อไปนี้แสดงให้เห็นว่าสิทธิ์ทำงานร่วมกับบทบาท Fleet Engine อย่างไร

  • บทบาท ondemandAdmin และ deliveryAdmin สามารถดำเนินการทั้งหมดใน Fleet Engine ได้ ใช้บทบาทเหล่านี้ในสภาพแวดล้อมที่เชื่อถือได้เท่านั้น เช่น การสื่อสารระหว่างเซิร์ฟเวอร์แบ็กเอนด์กับ Fleet Engine

  • บทบาท driverSdkUser และ consumerSdkUser ได้รับอนุญาตให้ดูรายละเอียดการเดินทางที่ได้รับมอบหมายและอัปเดตหรือรับตำแหน่งยานพาหนะเท่านั้น บทบาทประเภทนี้มักใช้โดยไคลเอ็นต์ในสภาพแวดล้อมที่มีความน่าเชื่อถือต่ำ เช่น แอปของผู้ขับขี่ ผู้บริโภค หรือแอปการตรวจสอบ

บทบาทและสิทธิ์ที่มอบให้สำหรับการเดินทางตามความต้องการและงานที่กำหนดเวลาไว้จะอธิบายไว้ในตารางต่อไปนี้

การเดินทางตามความต้องการ

บทบาท สิทธิ์

ผู้ดูแลระบบ Fleet Engine On-demand

roles/fleetengine.ondemandAdmin

ให้สิทธิ์อ่าน เขียน และลบทรัพยากรยานพาหนะและการเดินทางทั้งหมด พรินซิเพิลที่มีบทบาทนี้ไม่จำเป็นต้องใช้ JWT และ ควรใช้ข้อมูลเข้าสู่ระบบเริ่มต้นของแอปพลิเคชันแทนทุกครั้งที่ทำได้ บทบาทนี้จะไม่สนใจการอ้างสิทธิ์ JWT ที่กำหนดเอง จำกัดการใช้บทบาทนี้ไว้ใน สภาพแวดล้อมที่เชื่อถือได้ เช่น เซิร์ฟเวอร์แบ็กเอนด์

ผู้ใช้ Fleet Engine Driver SDK

roles/fleetengine.driverSdkUser

อัปเดตตำแหน่งและเส้นทางของยานพาหนะ รวมถึงดึงข้อมูล เกี่ยวกับยานพาหนะและการเดินทาง ใช้ JWT ที่มีการอ้างสิทธิ์ที่กำหนดเองซึ่งสร้างขึ้นด้วย บทบาทนี้สำหรับการตรวจสอบสิทธิ์และการให้สิทธิ์จากแอปของผู้ขับขี่สำหรับการ แชร์รถหรือการจัดส่ง

ผู้ใช้ Fleet Engine Consumer SDK

roles/fleetengine.consumerSdkUser

ค้นหายานพาหนะและดึงข้อมูลเกี่ยวกับยานพาหนะและการเดินทาง ใช้ JWT ที่มีการอ้างสิทธิ์ที่กำหนดเองซึ่งสร้างขึ้นด้วยบทบาทนี้สำหรับ แอปของผู้บริโภคสำหรับการแชร์รถหรือการจัดส่ง

งานที่กําหนดเวลาไว้

บทบาท สิทธิ์

ผู้ดูแลระบบ Fleet Engine Delivery

roles/fleetengine.deliveryAdmin

ให้สิทธิ์อ่าน เขียน และลบทรัพยากรการจัดส่ง ผู้รับสิทธิ์ที่มีบทบาทนี้ไม่จำเป็นต้องใช้ JWT และควรใช้ข้อมูลรับรองเริ่มต้นของแอปพลิเคชันแทน ไม่สนใจการอ้างสิทธิ์ JWT ที่กำหนดเอง จำกัด การใช้บทบาทนี้ไว้ในสภาพแวดล้อมที่เชื่อถือได้ เช่น เซิร์ฟเวอร์แบ็กเอนด์

ผู้อ่านยานพาหนะ Fleet Engine Delivery

roles/fleetengine.deliveryFleetReader

ให้สิทธิ์อ่านยานพาหนะและงานการจัดส่ง รวมถึง ค้นหางานโดยใช้รหัสติดตาม โดยปกติแล้วโทเค็นที่ออกโดยบัญชีบริการ ที่มีบทบาทนี้จะใช้จากเว็บเบราว์เซอร์ของผู้ให้บริการยานพาหนะการจัดส่ง

ผู้ใช้ไดรเวอร์ที่ไม่มีความน่าเชื่อถือของ Fleet Engine Delivery

roles/fleetengine.deliveryUntrustedDriver

ให้สิทธิ์อัปเดตตำแหน่งยานพาหนะการจัดส่ง โดยปกติแล้วโทเค็น ที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะใช้จากอุปกรณ์เคลื่อนที่ของผู้ขับขี่การจัดส่ง

หมายเหตุ: "ไม่มีความน่าเชื่อถือ" หมายถึงอุปกรณ์ของผู้ขับขี่ที่ไม่ได้จัดการโดยไอทีขององค์กร แต่ผู้ขับขี่เป็นผู้จัดหาให้ และโดยปกติแล้วจะไม่มีการควบคุมด้านความปลอดภัยของไอทีที่เหมาะสม องค์กรที่มีนโยบายนำอุปกรณ์มาเองควรเลือกใช้บทบาทนี้เพื่อความปลอดภัย และใช้แอปบนอุปกรณ์เคลื่อนที่เพื่อส่งการอัปเดตตำแหน่งยานพาหนะไปยัง Fleet Engine เท่านั้น การโต้ตอบอื่นๆ ทั้งหมด ควรมาจากเซิร์ฟเวอร์แบ็กเอนด์

ผู้ใช้ผู้บริโภคของ Fleet Engine Delivery

roles/fleetengine.deliveryConsumer

ให้สิทธิ์ค้นหางานโดยใช้รหัสติดตาม รวมถึง อ่านแต่ไม่อนุญาตให้อัปเดตข้อมูลงาน โดยปกติแล้วโทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะใช้จากเว็บเบราว์เซอร์ของผู้บริโภคการจัดส่ง

ผู้ใช้ไดรเวอร์ที่เชื่อถือได้ของ Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

ให้สิทธิ์สร้างและอัปเดตยานพาหนะและ งานการจัดส่ง รวมถึงอัปเดตตำแหน่งยานพาหนะการจัดส่งและสถานะ หรือผลลัพธ์ของงาน โดยปกติแล้วโทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะใช้จากอุปกรณ์เคลื่อนที่ของผู้ขับขี่การจัดส่งหรือจากเซิร์ฟเวอร์แบ็กเอนด์

หมายเหตุ: "เชื่อถือได้" หมายถึงอุปกรณ์ของผู้ขับขี่ที่จัดการโดย ไอทีขององค์กรซึ่งมีการควบคุมด้านความปลอดภัยที่เหมาะสม องค์กรที่ จัดหาอุปกรณ์เหล่านี้สามารถเลือกผสานรวมการโต้ตอบ Fleet Engine เข้ากับแอปบนอุปกรณ์เคลื่อนที่ได้

วิธีใช้บทบาท IAM และบัญชีบริการกับ Fleet Engine

หากต้องการใช้บัญชีบริการสำหรับการตรวจสอบสิทธิ์และการให้สิทธิ์ใน Fleet Engine ให้ทำตามขั้นตอนทั่วไปต่อไปนี้

  1. สร้างบัญชีบริการ ในคอนโซล Google Cloud สำหรับแต่ละบทบาทที่ต้องการ คุณต้องมีบัญชีบริการเพื่อตรวจสอบสิทธิ์แอปพลิเคชันและเว็บไซต์ของผู้ขับขี่ ผู้บริโภค การตรวจสอบยานพาหนะ และการจัดการยานพาหนะ รวมถึงซอฟต์แวร์ใดก็ตามที่ต้องเข้าถึงข้อมูล Fleet Engine ซอฟต์แวร์ที่ต้องการสิทธิ์เดียวกันสามารถใช้บัญชีบริการเดียวกันได้

  2. มอบหมายบทบาทนโยบาย IAM ของ Fleet Engine ให้กับบัญชีบริการแต่ละบัญชี เลือกบทบาทนโยบาย IAM ที่เฉพาะเจาะจงของ Fleet Engine ซึ่งให้สิทธิ์ที่เหมาะสมในการเข้าถึงหรืออัปเดตข้อมูลใน Fleet Engine

  3. ใช้บัญชีบริการที่เหมาะสม ในแอปและซอฟต์แวร์เพื่อตรวจสอบสิทธิ์การเชื่อมต่อกับ Fleet Engine และให้สิทธิ์เข้าถึงทรัพยากรที่บทบาทที่มอบหมายให้

ดูรายละเอียดเกี่ยวกับบทบาทบัญชีบริการที่เหมาะกับความปลอดภัยของ Fleet Engine ได้ที่ ภาพรวมความปลอดภัย ดูคำอธิบายโดยละเอียดเกี่ยวกับบทบาทบัญชีบริการ ได้ที่หัวข้อทำความเข้าใจบทบาท IAM ในเอกสารประกอบของ Google Cloud

ขั้นตอนถัดไป