תכנון האבטחה למנועי Fleet

עכשיו, אחרי שקראתם את העקרונות הבסיסיים של תפקידי חשבון ואסימוני JWT ב-Fleet Engine, לעיין בקטע הזה כדי להבין את התהליך הבסיסי של האימות פעולות הרשאה ב-Fleet Engine.

תכנון אבטחה

תכנון האבטחה של Fleet Engine מורכב מהאלמנטים הבאים:

  • תפקידים:
    • תפקידי IAM מגדירים את היקף הפעילות המותרת של הקריאה החוזרת. לדוגמה, מותר להשתמש בתפקיד ondemandAdmin או בתפקיד deliveryAdmin. כדי לעשות הכול, ואילו driverSdkUser התפקיד deliveryUntrustedDriver יכול לבצע עדכוני מיקום מינימליים בלבד.
    • תפקידי ה-IAM משויכים לחשבונות השירות.
  • בקשות
    • הצהרות JWT מגבילות עוד יותר את הישויות שעליהן אפשר להתקשר. משימות כאלה יכולות להיות משימות ספציפיות או רכבי משלוח.
    • בקשות שנשלחות אל Fleet Engine תמיד מכילות JWT.
    • מכיוון שאסימוני JWT משויכים לחשבונות שירות, הבקשות נשלחות ל-Fleet המנועים משויכים במרומז לחשבון השירות שמשויך אל ה-JWT.
    • כדי לבקש את ה-JWT המתאים, ניתן להעביר ל-Fleet מנוע, הקוד שרץ בסביבה לא מהימנה צריך להפעיל קודם פועל בסביבה מהימנה באופן מלא.
  • בדיקות אבטחה של Fleet Engine
    • תפקידי ה-IAM שמשויכים לחשבון השירות מספקים את הפרטים הנכונים הרשאה למבצע הקריאה ל-API.
    • הצהרות ה-JWT שהועברו בבקשה מספקות את ההרשאה הנכונה עבור את מבצע הקריאה החוזרת על הישות.

תהליך האימות של אפליקציית לקוח

תרשים הרצף הבא מדגים את תהליכי האימות האלה של אפליקציית לקוח פרטים.

  • האדמין של כלל המכשירים בארגון מגדיר את החשבונות באופן הבא:
    • יצירת חשבונות שירות
    • הקצאת תפקידים ספציפיים ב-IAM לחשבונות השירות
    • הגדרת הקצה העורפי שלהם בחשבונות השירות
  • אפליקציית הלקוח מבקשת JWT מהשרת שלכם. המבקש יכול להיות אפליקציית הנהג, אפליקציית הצרכן או אפליקציית מעקב.
  • Fleet Engine מנפיק JWT עבור חשבון השירות הרלוונטי.
  • אפליקציית הלקוח מבצעת את הפעולות הבאות:
    • מקבל את ה-JWT
    • משתמשת ב-JWT כדי להתחבר ל-Fleet Engine כדי לקרוא או לשנות נתונים, בהתאם לתפקידי IAM שהוקצו לו בשלב ההגדרה.

תרשים של תהליך האבטחה במהלך ההגדרה של אימות אפליקציית לקוח

המאמרים הבאים