このページは Cloud Translation API によって翻訳されました。

セキュリティの概要

このドキュメントでは、Fleet Engine システムの 3 つの主要な環境（バックエンドサーバー、Fleet Engine サーバー、クライアントアプリケーションとウェブサイト）間の情報交換を Fleet Engine が保護する方法について説明します。

Fleet Engine は、最小権限の原則に従って、次の 2 つの基本的な方法でセキュリティを管理します。

アプリケーションのデフォルト認証情報（ADC）: サーバー間通信などの高権限環境。バックエンドサーバーが車両と乗車を作成し、Fleet Engine で管理している場合に使用されます。詳細については、アプリケーションのデフォルト認証情報をご覧ください。

注: サーバー間通信に JWT を使用できますが、ADC を使用することをおすすめします。
JSON Web Token（JWT）: スマートフォンやブラウザで実行されるクライアントアプリケーションなどの信頼性の低い環境。Fleet Engine での車両の位置情報の更新など、権限の低いオペレーションを実行するために使用されます。

信頼度の低い環境で必要な JWT は、サービスアカウントのシークレットキーを保護するためにバックエンドサーバーによって生成され、発行されます。また、Fleet Engine 固有の追加のクレームも含まれます。詳細については、JSON ウェブトークンをご覧ください。

たとえば、ドライバーアプリがある場合、ドライバーはアプリを通じて Fleet Engine のデータにアクセスします。アプリは、バックエンドサーバーから取得した JWT を使用して認証されます。含まれる JWT クレームとサービスアカウントのロールによって、ドライバーアプリがアクセスできるシステムの部分と実行できる操作が決まります。このアプローチにより、運転業務の完了に必要なデータのみにアクセスが制限されます。

Fleet Engine は、これらのセキュリティアプローチを使用して次の機能を提供します。

認証は、リクエストを行うエンティティの ID を検証します。Fleet Engine は、高信頼性環境では ADC を使用し、低信頼性環境では JWT を使用します。
認可は、認証されたエンティティがアクセスできるリソースを指定します。Fleet Engine は、Google Cloud IAM ロールを持つサービスアカウントと、認証されたエンティティがリクエストしているデータを表示または変更する権限を持つことを保証する JWT クレームを使用します。

サーバーとクライアントのセキュリティ設定

Fleet Engine でセキュリティを有効にするには、バックエンドサーバーとクライアントアプリケーションおよびウェブサイトで必要なアカウントとセキュリティを設定します。

次の図は、バックエンドサーバーとクライアントアプリケーションでセキュリティを設定する手順の概要を示しています。

サーバーアプリとクライアントアプリの認証の設定時のセキュリティフローの図

詳しくは、以降のセクションをご覧ください。

バックエンドサーバーのセキュリティ設定

フリート管理者は、以下の手順を行う必要があります。

サービスアカウントを作成して構成する:
1. Google Cloud コンソールでサービスアカウントを作成します。
2. サービスアカウントに特定の IAM ロールを割り当てます。
3. 作成したサービスアカウントを使用してバックエンドサーバーを構成します。詳細については、サービスアカウントのロールをご覧ください。
Fleet Engine との安全な通信を構成する（ADC）: 適切な *Admin サービスアカウントでアプリケーションのデフォルト認証情報を使用して Fleet Engine インスタンスと通信するようにバックエンドを構成します。詳細については、アプリケーションのデフォルト認証情報をご覧ください。
クライアントアプリとの安全な通信を構成する（JWT）: JSON Web Token ジェネレータを作成して、クライアントアプリケーションとモニタリングウェブサイトに適したクレームを含む JWT を作成します。詳細については、JSON ウェブトークンを発行するをご覧ください。

アプリケーションのセキュリティ設定

アプリケーションデベロッパーは、バックエンドサーバーで生成された JSON ウェブトークンを取得し、それを使用して Fleet Engine と安全に通信する方法をクライアントアプリやウェブサイトに組み込む必要があります。詳しくは、必要なアプリケーションのドライバーエクスペリエンスまたはコンシューマーエクスペリエンスのドキュメントにあるセットアップ手順をご覧ください。

サーバーアプリとクライアントアプリのセキュリティフロー

次のシーケンス図は、Fleet Engine で ADC を使用してバックエンドサーバーを認証し、JWT を使用してクライアントアプリケーションとウェブサイトを認証するサーバーとクライアントアプリの認証と認可のフローを示しています。

サーバーアプリとクライアントアプリの認証時のセキュリティフローの図

バックエンドサーバーが Fleet Engine で車両、乗車、タスクを作成します。
バックエンドサーバーが車両に旅行またはタスクを割り当てる: ドライバーアプリがアクティブな場合、割り当てを取得します。
バックエンドサーバー: 割り当てられたタスクまたは乗車に適切な IAM ロールを使用して、それぞれのサービスアカウントの JWT に署名して発行します。
クライアントアプリ: クライアントアプリは、受け取った JWT を使用して、車両の位置情報の更新を Fleet Engine に送信します。

次のステップ

Fleet Engine プロジェクトを作成します。
サーバーから JSON Web Token を発行する方法を学習する。
サービスアカウントのロールの詳細を確認する。
JWT の詳細を確認する。