Die korrekte Konfiguration von IAM ist eine Voraussetzung für die Sicherheit und Identitätsverwaltung Ihres Fleet Engine-Systems. Verwenden Sie IAM-Rollen, um den Zugriff auf verschiedene Vorgänge und Daten anzupassen, um die Anforderungen von Fahrern, Nutzern und Flottenbetreibern zu erfüllen.
Was sind Dienstkonten und IAM-Rollen?
Sie richten Dienstkonten in der Google Cloud Console ein, um den Zugriff auf Daten in Fleet Engine zu authentifizieren und zu autorisieren. Fleet Engine bietet eine Reihe vordefinierter IAM-Rollen, die Sie einem Dienstkonto zuweisen, um festzulegen, auf welche Daten dieses Konto Zugriff hat. Weitere Informationen finden Sie in der Google Cloud-Dokumentation unter Dienstkonten – Übersicht.
Fleet Engine verwendet IAM-Rollen und -Richtlinien, um die Autorisierung für Fleet Engine API-Methoden und -Ressourcen zu verwalten. Weitere Informationen finden Sie in der Google Cloud-Dokumentation unter Rollenübersicht. Verwenden Sie nur die in den folgenden Abschnitten beschriebenen Rollen für Fleet Engine-Dienstkonten.
Allgemeine Informationen zum Zuweisen von IAM-Rollen finden Sie unter IAM-Rolle über die Google Cloud Console zuweisen.
Rollen für Fleet Engine-Dienstkonten
Die Rollen und Berechtigungen, die enthalten sind, hängen vom Mobilitätsdienst ab, den Sie für Ihre Fleet Engine-Installation auswählen.
Die folgenden Rollen veranschaulichen, wie Berechtigungen mit Fleet Engine-Rollen funktionieren:
Nutzer mit den Rollen ondemandAdmin und deliveryAdmin können alle Vorgänge in der Fleet Engine ausführen. Verwenden Sie diese Rollen nur in vertrauenswürdigen Umgebungen, z. B. für die Kommunikation zwischen Ihrem Back-End-Server und der Fleet Engine.
Die Rollen driverSdkUser und consumerSdkUser dürfen nur Details zu zugewiesenen Fahrten abrufen und den Fahrzeugstandort aktualisieren oder empfangen. Diese Arten von Rollen werden in der Regel von Clients in Umgebungen mit geringem Vertrauen verwendet, z. B. in Treiber-, Verbraucher- oder Überwachungsanwendungen.
Die Rollen und Berechtigungen, die für Fahrten auf Abruf und geplante Aufgaben gewährt werden, werden in den folgenden Tabellen beschrieben.
Fahrten auf Abruf
Rolle | Berechtigung |
---|---|
Fleet Engine On-Demand Admin
|
Gewährt Lese- und Schreibzugriff auf alle Fahrzeug- und Fahrtenressourcen. Hauptkonten mit dieser Rolle müssen keine JWTs verwenden und sollten stattdessen nach Möglichkeit Standardanmeldedaten für Anwendungen verwenden. Bei dieser Rolle werden benutzerdefinierte JWT-Anfragen ignoriert. Beschränken Sie die Verwendung dieser Rolle auf vertrauenswürdige Umgebungen wie Ihren Backend-Server. |
Fleet Engine Driver SDK-Nutzer
|
Fahrzeugstandorte und -routen aktualisieren und Informationen zu Fahrzeugen und Fahrten abrufen. Verwenden Sie JWTs mit benutzerdefinierten Ansprüchen, die mit dieser Rolle erstellt wurden, für die Authentifizierung und Autorisierung von Fahrer-Apps für Fahrdienste oder Lieferungen. |
Fleet Engine Consumer SDK-Nutzer
|
Nach Fahrzeugen suchen und Informationen zu Fahrzeugen und Fahrten abrufen. Verwenden Sie JWTs mit benutzerdefinierten Ansprüchen, die mit dieser Rolle erstellt wurden, für Verbraucher-Apps für Fahrdienste oder Lieferservices. |
Geplante Aufgaben
Rolle | Berechtigung |
---|---|
Fleet Engine Delivery Admin
|
Gewährt Lese- und Schreibberechtigungen für Bereitstellungsressourcen. Hauptkonten mit dieser Rolle müssen keine JWTs verwenden, sondern sollten stattdessen Standardanmeldedaten für Anwendungen verwenden. Ignoriert benutzerdefinierte JWT-Anforderungen. Beschränken Sie die Verwendung dieser Rolle auf vertrauenswürdige Umgebungen wie Ihren Back-End-Server. |
Fleet Engine Delivery-Fleet Reader
|
Gewährt die Berechtigung zum Lesen von Lieferfahrzeugen und -aufgaben und zum Suchen nach Aufgaben mithilfe einer Tracking-ID. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel über den Webbrowser eines Flottenbetreibers verwendet. |
Nicht vertrauenswürdiger Fleet Engine Delivery-Fahrernutzer
|
Gewährt die Berechtigung, den Standort des Lieferfahrzeugs zu aktualisieren. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel auf dem Mobilgerät des Lieferfahrers verwendet. Hinweis: „Nicht vertrauenswürdig“ bezieht sich auf das Gerät eines Fahrers, das nicht von der IT des Unternehmens verwaltet, sondern vom Fahrer bereitgestellt wird und in der Regel keine geeigneten IT-Sicherheitsfunktionen hat. Organisationen mit Richtlinien zum Verwenden eigener Geräte (Bring Your Own Device) sollten sich für die Sicherheit dieser Rolle entscheiden und sich nur auf die mobile App verlassen, um Updates zum Fahrzeugstandort an Fleet Engine zu senden. Alle anderen Interaktionen sollten von Ihren Backend-Servern stammen. |
Fleet Engine Delivery-Privatnutzer
|
Ermöglicht die Suche nach Aufgaben mithilfe einer Tracking-ID und das Lesen, aber nicht das Aktualisieren von Aufgabeninformationen. Tokens, die von einem Dienstkonto mit dieser Rolle ausgestellt werden, werden normalerweise über den Webbrowser eines Bereitstellungsnutzers verwendet. |
Nutzer der vertrauenswürdigen Treiber von Fleet Engine Delivery
|
Ermöglicht das Erstellen und Aktualisieren von Lieferfahrzeugen und Aufgaben, einschließlich der Aktualisierung des Standorts des Lieferfahrzeugs und des Aufgabenstatus oder -ergebnisses. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel von den Mobilgeräten Ihrer Fahrer oder von Ihren Back-End-Servern verwendet. Hinweis: „Vertrauenswürdig“ bezieht sich auf ein Fahrergerät, das von der Unternehmens-IT verwaltet wird und über entsprechende Sicherheitskontrollen verfügt. Organisationen, die diese Geräte bereitstellen, können Fleet Engine-Interaktionen in die mobile App einbinden. |
IAM-Rollen und Dienstkonten mit der Fleet Engine verwenden
So verwenden Sie Dienstkonten für die Authentifizierung und Autorisierung in der Fleet Engine:
Erstellen Sie in der Google Cloud Console Dienstkonten für jede Rolle, die Sie benötigen. Sie benötigen Dienstkonten, um Fahrer, Kunden, Flottenüberwachungs- und Flottenverwaltungsanwendungen und ‑websites zu authentifizieren – also jede Software, die Zugriff auf Fleet Engine-Daten benötigt. Software, die dieselben Berechtigungen benötigt, kann dasselbe Dienstkonto verwenden.
Weisen Sie jedem Dienstkonto eine IAM-Richtlinienrolle für die Fleet Engine zu. Wählen Sie die Fleet Engine-spezifische IAM-Richtlinienrolle aus, die die entsprechenden Berechtigungen für den Zugriff auf oder die Aktualisierung Ihrer Daten in Fleet Engine bietet.
Verwenden Sie die entsprechenden Dienstkonten in Ihren Apps und Ihrer Software, um die Verbindung zur Fleet Engine zu authentifizieren und den Zugriff auf die durch die zugewiesene Rolle gewährten Ressourcen zu autorisieren.
Weitere Informationen dazu, wie sich Dienstkontorollen in die Sicherheit von Fleet Engine einfügen, finden Sie unter Sicherheit – Übersicht. Eine vollständige Erklärung zu Dienstkontorollen finden Sie in der Google Cloud-Dokumentation unter IAM-Rollen.
Nächste Schritte
- Weitere Informationen zur Verwendung von JSON Web Tokens in der Fleet Engine
- Eine Übersicht über die Sicherheit der Fleet Engine finden Sie in der Übersicht über die Sicherheit.
- Eine vollständige Erklärung der Rollen von Dienstkonten in der Google Cloud Console finden Sie unter IAM-Rollen.