Progettazione della sicurezza di Fleet Engine

Ora che hai appreso le nozioni di base sui ruoli degli account e sui JWT in Fleet Engine, puoi consultare questa sezione per comprendere il flusso di base dell'autenticazione e le operazioni di autorizzazione in Fleet Engine.

Progettazione della sicurezza

La struttura di sicurezza di Fleet Engine è costituita dai seguenti elementi:

  • Ruoli:
      .
    • I ruoli IAM definiscono l'ambito dell'attività consentita per il chiamante. Ad esempio, è consentito il ruolo ondemandAdmin o deliveryAdmin per fare tutto, mentre driverSdkUser o Il ruolo deliveryUntrustedDriver potrebbe eseguire solo aggiornamenti minimi della posizione.
    • I ruoli IAM sono associati agli account di servizio.
  • Richieste
      .
    • Le dichiarazioni JWT limitano ulteriormente le entità su cui il chiamante può operare. Possono essere attività specifiche o veicoli per la consegna.
    • Le richieste inviate a Fleet Engine contengono sempre un JWT.
    • Poiché i JWT sono associati agli account di servizio, le richieste inviate al parco risorse I motori sono implicitamente associati all'account di servizio associato il JWT.
    • Per richiedere il JWT appropriato che potrai poi passare al parco risorse Engine, il codice in esecuzione in un ambiente con attendibilità scarsa deve prima chiamare il tuo il codice in esecuzione in un ambiente completamente attendibile.
  • Controlli di sicurezza di Fleet Engine
      .
    • I ruoli IAM associati all'account di servizio forniscono il corretto l'autorizzazione per consentire al chiamante di emettere la chiamata API.
    • Le dichiarazioni JWT trasmesse nella richiesta forniscono l'autorizzazione corretta per affinché il chiamante operi sull'entità.

Flusso di autenticazione dell'app client

Il seguente diagramma di sequenza mostra questo flusso di autenticazione delle app client i dettagli.

  • L'amministratore del parco risorse configura gli account nel seguente modo:
      .
    • Crea account di servizio
    • Assegna ruoli IAM specifici agli account di servizio
    • Configura il backend con gli account di servizio
  • L'app client richiede un JWT al server. Il richiedente potrebbe essere l'app Driver, l'app consumer o un'app di monitoraggio.
  • Fleet Engine emette un JWT per il rispettivo account di servizio.
  • L'app client esegue le seguenti operazioni:
      .
    • Riceve il JWT
    • Utilizza il JWT per connettersi a Fleet Engine e leggere o modificare dati, a seconda dei ruoli IAM assegnati durante la fase di configurazione.

Diagramma del flusso di sicurezza durante la configurazione dell'autenticazione delle app client

Passaggi successivi