Fleet Engine güvenlik tasarımı

Artık Fleet Engine'de hesap rolleri ve JWT'ler hakkındaki temel bilgileri okuduğunuza göre Kimlik doğrulama sürecinin temel akışını anlamak ve yetkilendirme işlemleri.

Güvenlik tasarımı

Fleet Engine'in güvenlik tasarımı aşağıdaki öğelerden oluşur:

  • Roller:
    • IAM rolleri, arayan. Örneğin, ondemandAdmin veya deliveryAdmin rolüne izin verilir her şeyi yapmasını sağlar, ancak driverSdkUser veya deliveryUntrustedDriver rolü yalnızca minimum düzeyde konum güncellemesi gerçekleştirebilir.
    • IAM rolleri, hizmet hesaplarıyla ilişkilendirilir.
  • İstekler
    • JWT hak talepleri, çağrıyı yapan kişinin üzerinde çalışabileceği varlıkları daha da kısıtlar. Bunlar belirli görevler veya teslimat araçları olabilir.
    • Fleet Engine'e gönderilen istekler her zaman bir JWT içerir.
    • JWT'ler hizmet hesaplarıyla ilişkilendirildiğinden, istekler Fleet'e gönderilir Arama motoru, JWT'dir.
    • Ardından Filo'ya iletebileceğiniz uygun JWT'yi istemek için güvenirliği düşük bir ortamda çalışan kodunuz önce bir ortamda çalıştırılması gerekir.
  • Fleet Engine tarafından yapılan güvenlik kontrolleri
    • Hizmet hesabıyla ilişkili IAM rolleri doğru verileri sağlıyor API çağrısı yapma yetkisi verir.
    • İstekte iletilen JWT hak talepleri, aşağıdakiler için doğru yetkilendirmeyi sağlar: çağrıda bulunan kişinin varlık üzerinde işlem yapmasına izin verilmelidir.

İstemci uygulaması kimlik doğrulama akışı

Aşağıdaki sıra şemasında, bu istemci uygulaması kimlik doğrulama akışı gösterilmektedir bolca fırsat sunuyor.

  • Filo yöneticisi hesapları aşağıdaki şekilde oluşturur:
    • Hizmet hesapları oluşturur
    • Hizmet hesaplarına belirli IAM rollerini atar
    • Arka uçlarını hizmet hesaplarıyla yapılandırır
  • İstemci uygulaması, sunucunuzdan bir JWT ister. Talep eden kişi, Drive uygulaması, Tüketici uygulaması veya izleme uygulaması.
  • Fleet Engine, ilgili hizmet hesabı için bir JWT yayınlar.
  • İstemci uygulaması aşağıdakileri yapar:
    • JWT'yi alır
    • Verileri okumak veya değiştirmek amacıyla Fleet Engine'e bağlanmak için JWT'yi kullanır. Bu işlem, kurulum aşamasında kendisine atanan IAM rollerine göre değişiklik gösterir.

İstemci uygulaması kimlik doğrulaması için kurulum sırasında güvenlik akışının şeması

Sırada ne var?