IAM 설정 및 서비스 계정 역할

IAM을 올바르게 구성하는 것은 Fleet Engine 시스템의 보안 및 ID 관리에 필수적인 부분입니다. IAM 역할을 사용하여 운전자, 소비자, 차량 운영자의 요구사항을 충족하도록 다양한 작업 및 데이터에 대한 액세스 권한을 조정합니다.

서비스 계정 및 IAM 역할이란 무엇인가요?

Google Cloud 콘솔에서 서비스 계정을 설정하여 Fleet Engine의 데이터에 대한 액세스를 인증하고 승인합니다. Fleet Engine에는 서비스 계정에 할당하여 계정이 액세스할 수 있는 데이터를 결정하는 사전 결정된 IAM 역할이 있습니다. 자세한 내용은 Google Cloud 문서의 서비스 계정 개요를 참고하세요.

Fleet Engine은 IAM 역할 및 정책을 사용하여 Fleet Engine API 메서드와 리소스에 대한 승인을 관리합니다. 자세한 내용은 Google Cloud 문서의 역할 개요를 참고하세요. 다음 섹션에 설명된 Fleet Engine 서비스 계정 역할만 사용합니다.

IAM 역할 부여에 관한 일반적인 내용은 Google Cloud 콘솔을 사용하여 IAM 역할 부여를 참고하세요.

Fleet Engine 서비스 계정 역할

Fleet Engine 설치에 선택한 모빌리티 서비스에 따라 포함되는 역할과 권한이 결정됩니다.

다음 역할은 Fleet Engine 역할에서 권한이 작동하는 방식을 보여줍니다.

  • ondemandAdmindeliveryAdmin 역할은 Fleet Engine에서 모든 작업을 실행할 수 있습니다. 백엔드 서버와 Fleet Engine 간의 통신과 같이 신뢰할 수 있는 환경에서만 이러한 역할을 사용하세요.

  • driverSdkUserconsumerSdkUser 역할은 할당된 이동의 세부정보를 가져오고 차량 위치를 업데이트하거나 수신하는 작업만 할 수 있습니다. 이러한 유형의 역할은 일반적으로 운전자, 소비자 또는 모니터링 앱과 같이 신뢰도가 낮은 환경에서 클라이언트가 사용합니다.

주문형 이동 및 예약된 작업에 부여된 역할 및 권한은 다음 표에 설명되어 있습니다.

주문형 이동

역할 권한

Fleet Engine 주문형 관리자

roles/fleetengine.ondemandAdmin

모든 차량 및 이동 리소스에 대한 읽기 및 쓰기 권한을 부여합니다. 이 역할을 가진 사용자는 JWT를 사용할 필요가 없으며 가능하면 항상 애플리케이션 기본 사용자 인증 정보를 사용해야 합니다. 이 역할은 맞춤 JWT 클레임을 무시합니다. 이 역할의 사용을 백엔드 서버와 같은 신뢰할 수 있는 환경으로 제한합니다.

Fleet Engine Driver SDK 사용자

roles/fleetengine.driverSdkUser

차량 위치 및 경로를 업데이트하고 차량 및 이동에 관한 정보를 검색합니다. 이 역할로 만든 맞춤 클레임이 포함된 JWT를 사용하여 차량 공유 또는 배송을 위한 운전자 앱의 인증 및 승인을 처리합니다.

Fleet Engine Consumer SDK 사용자

roles/fleetengine.consumerSdkUser

차량을 검색하고 차량 및 이동에 관한 정보를 검색합니다. 이 역할로 만든 맞춤 클레임이 포함된 JWT를 라우드셰어링 또는 배송을 위한 소비자 앱에 사용합니다 .

예약된 작업

역할 권한

Fleet Engine Delivery 관리자

roles/fleetengine.deliveryAdmin

전송 리소스에 대한 읽기 및 쓰기 권한을 부여합니다. 이 역할을 가진 주 구성원은 JWT를 사용할 필요가 없으며 대신 애플리케이션 기본 사용자 인증 정보를 사용해야 합니다. 맞춤 JWT 클레임을 무시합니다. 이 역할의 사용을 백엔드 서버와 같은 신뢰할 수 있는 환경으로 제한합니다.

Fleet Engine Delivery Fleet 리더

roles/fleetengine.deliveryFleetReader

배송 차량 및 작업을 읽고 추적 ID를 사용하여 작업을 검색할 수 있는 권한을 부여합니다. 이 역할이 있는 서비스 계정에서 발급된 토큰은 일반적으로 배송 차량 운영자의 웹브라우저에서 사용됩니다.

Fleet Engine Delivery 신뢰할 수 없는 드라이버 사용자

roles/fleetengine.deliveryUntrustedDriver

배송 차량 위치를 업데이트할 권한을 부여합니다. 이 역할이 있는 서비스 계정에서 발급된 토큰은 일반적으로 배송 기사의 휴대기기에서 사용됩니다.

참고: 신뢰할 수 없음은 기업 IT에서 관리하지 않고 대신 운전자가 제공하며 일반적으로 적절한 IT 보안 제어가 없는 운전자의 기기를 의미합니다. Bring Your Own Device(BYOD) 정책이 있는 조직은 이 역할의 안전을 선택하고 모바일 앱만 사용하여 차량 위치 업데이트를 Fleet Engine으로 전송해야 합니다. 그 밖의 모든 상호작용은 백엔드 서버에서 시작되어야 합니다.

Fleet Engine Delivery 일반 사용자

roles/fleetengine.deliveryConsumer

추적 ID를 사용하여 할 일을 검색하고 할 일 정보를 읽을 수 있는 권한을 부여하지만 업데이트할 수는 없습니다. 이 역할이 있는 서비스 계정에서 발급된 토큰은 일반적으로 전송 소비자의 웹브라우저에서 사용됩니다.

Fleet Engine Delivery 신뢰할 수 있는 드라이버 사용자

roles/fleetengine.deliveryTrustedDriver

배송 차량 위치 및 작업 상태 또는 결과 업데이트를 비롯하여 배송 차량 및 작업을 생성하고 업데이트할 권한을 부여합니다. 이 역할이 있는 서비스 계정에서 발급된 토큰은 일반적으로 배송 기사의 휴대기기 또는 백엔드 서버에서 사용됩니다.

참고: 신뢰할 수 있는 기기는 적절한 보안 제어 기능이 있는 기업 IT에서 관리하는 운전자의 기기를 의미합니다. 이러한 기기를 제공하는 조직은 Fleet Engine 상호작용을 모바일 앱에 통합할 수 있습니다.

Fleet Engine에서 IAM 역할 및 서비스 계정을 사용하는 방법

Fleet Engine에서 인증 및 승인에 서비스 계정을 사용하려면 다음 일반 단계를 따르세요.

  1. 필요한 각 역할에 대해 Google Cloud 콘솔에서 서비스 계정을 만듭니다. 운전자, 소비자, 차량 모니터링, 차량 관리 애플리케이션 및 웹사이트(Fleet Engine 데이터에 액세스해야 하는 모든 소프트웨어)를 인증하려면 서비스 계정이 필요합니다. 동일한 권한이 필요한 소프트웨어는 동일한 서비스 계정을 사용할 수 있습니다.

  2. 각 서비스 계정에 Fleet Engine IAM 정책 역할을 할당합니다. Fleet Engine에서 데이터에 액세스하거나 업데이트하는 데 적절한 권한을 제공하는 Fleet Engine용 IAM 정책 역할을 선택합니다.

  3. 앱과 소프트웨어에서 적절한 서비스 계정을 사용하여 Fleet Engine에 대한 연결을 인증하고 할당된 역할에서 부여된 리소스에 대한 액세스를 승인합니다.

서비스 계정 역할이 Fleet Engine 보안에 어떻게 적용되는지 자세히 알아보려면 보안 개요를 참고하세요. 서비스 계정 역할에 관한 자세한 설명은 Google Cloud 문서의 IAM 역할 이해를 참고하세요.

다음 단계

  • JSON 웹 토큰에 관해 알아보고 Fleet Engine에서의 사용을 이해합니다.
  • Fleet Engine 보안 개요는 보안 개요를 참고하세요.
  • Google Cloud 콘솔 서비스 계정 역할에 관한 자세한 설명은 IAM 역할 이해하기를 참고하세요.