Việc định cấu hình IAM chính xác là một phần tiên quyết của việc quản lý bảo mật và danh tính cho hệ thống Fleet Engine. Sử dụng vai trò IAM để điều chỉnh quyền truy cập vào các hoạt động và dữ liệu khác nhau nhằm đáp ứng yêu cầu của người lái xe, người dùng và người vận hành đội xe.
Tài khoản dịch vụ và vai trò IAM là gì?
Bạn thiết lập tài khoản dịch vụ trong Google Cloud Console để xác thực và uỷ quyền truy cập vào dữ liệu trong Công cụ quản lý đội xe. Công cụ quản lý đội xe có một nhóm các vai trò IAM được xác định trước mà bạn chỉ định cho một tài khoản dịch vụ để xác định tài khoản đó có quyền truy cập vào dữ liệu nào. Để biết thông tin chi tiết, hãy xem phần Tổng quan về tài khoản dịch vụ trong tài liệu của Google Cloud.
Công cụ của đội xe sử dụng các vai trò và chính sách IAM để quản lý việc uỷ quyền cho các phương thức và tài nguyên API của Công cụ của đội xe. Để biết thêm thông tin, hãy xem phần Tổng quan về vai trò trong tài liệu của Google Cloud. Chỉ sử dụng các vai trò tài khoản dịch vụ của Công cụ của đội xe được mô tả trong các phần sau.
Để biết thêm thông tin chung về cách cấp vai trò IAM, hãy xem phần Cấp vai trò IAM bằng Google Cloud Console.
Vai trò của tài khoản dịch vụ Fleet Engine
Dịch vụ Di động mà bạn chọn để cài đặt Công cụ quản lý đội xe sẽ xác định các vai trò và quyền được đưa vào.
Các vai trò sau đây minh hoạ cách hoạt động của quyền với vai trò trong Công cụ quản lý đội xe:
Vai trò ondemandAdmin và deliveryAdmin có thể thực hiện tất cả thao tác trong Công cụ của đội xe. Chỉ sử dụng các vai trò này trong môi trường đáng tin cậy, chẳng hạn như giao tiếp giữa máy chủ phụ trợ và Công cụ của đội xe.
Vai trò driverSdkUser và consumerSdkUser chỉ được phép lấy thông tin chi tiết về các chuyến đi được chỉ định và cập nhật hoặc nhận thông tin vị trí của xe. Các loại vai trò này thường được ứng dụng khách sử dụng trong môi trường có mức độ tin cậy thấp, chẳng hạn như trình điều khiển, người dùng hoặc ứng dụng giám sát.
Các vai trò và quyền được cấp cho chuyến đi theo yêu cầu và công việc theo lịch được mô tả trong các bảng sau.
Chuyến đi theo yêu cầu
Vai trò | Quyền |
---|---|
Quản trị viên theo yêu cầu của Công cụ quản lý đội xe
|
Cấp quyền đọc và ghi cho tất cả tài nguyên xe và chuyến đi. Các thực thể chính có vai trò này không cần sử dụng JWT và nên sử dụng Thông tin xác thực mặc định của ứng dụng bất cứ khi nào có thể. Vai trò này bỏ qua các thông báo xác nhận JWT tuỳ chỉnh. Hạn chế sử dụng vai trò này ở các môi trường đáng tin cậy, chẳng hạn như máy chủ phụ trợ. |
Người dùng SDK trình điều khiển công cụ của đội xe
|
Cập nhật vị trí và tuyến đường của xe, đồng thời truy xuất thông tin về xe và chuyến đi. Sử dụng JWT có thông báo xác nhận tuỳ chỉnh được tạo bằng vai trò này để xác thực và uỷ quyền từ ứng dụng trình điều khiển cho dịch vụ đi chung xe hoặc giao hàng. |
Người dùng SDK người dùng của công cụ Fleet
|
Tìm kiếm xe và truy xuất thông tin về xe và chuyến đi. Sử dụng JWT có thông báo xác nhận tuỳ chỉnh được tạo bằng vai trò này cho các ứng dụng dành cho người tiêu dùng để đi chung xe hoặc giao hàng . |
Tác vụ đã lên lịch
Vai trò | Quyền |
---|---|
Quản trị viên phân phối Đội xe
|
Cấp quyền đọc và ghi cho các tài nguyên phân phối. Các thực thể chính có vai trò này không cần sử dụng JWT mà thay vào đó nên sử dụng Thông tin xác thực mặc định của ứng dụng. Bỏ qua các thông báo xác nhận quyền sở hữu JWT tuỳ chỉnh. Hạn chế việc sử dụng vai trò này ở các môi trường đáng tin cậy, chẳng hạn như máy chủ phụ trợ. |
Trình đọc Fleet Engine Delivery Fleet
|
Cấp quyền đọc xe tải và công việc giao hàng, cũng như tìm kiếm công việc bằng mã theo dõi. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được sử dụng từ trình duyệt web của nhà điều hành đội xe giao hàng. |
Người dùng trình điều khiển không đáng tin cậy trong quy trình phân phối bằng công cụ Fleet Engine
|
Cấp quyền cập nhật vị trí của xe giao hàng. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được sử dụng trên thiết bị di động của người lái xe giao hàng. Lưu ý: Không đáng tin cậy đề cập đến thiết bị của người lái xe không do bộ phận CNTT của công ty quản lý, mà do người lái xe cung cấp và thường không có các biện pháp kiểm soát bảo mật CNTT thích hợp. Những tổ chức có chính sách Sử dụng thiết bị của riêng bạn nên chọn vai trò này để đảm bảo an toàn và chỉ dựa vào ứng dụng di động để gửi thông tin cập nhật về vị trí của xe đến Công cụ quản lý đội xe. Tất cả các hoạt động tương tác khác phải bắt nguồn từ máy chủ phụ trợ của bạn. |
Người dùng tiêu dùng của công cụ phân phối động cơ của Fleet
|
Cấp quyền tìm kiếm việc cần làm bằng mã theo dõi và đọc nhưng không cập nhật thông tin về việc cần làm. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được sử dụng từ trình duyệt web của người dùng phân phối. |
Người dùng là tài xế đáng tin cậy của dịch vụ phân phối qua Fleet Engine
|
Cấp quyền tạo và cập nhật xe giao hàng và nhiệm vụ, bao gồm cả việc cập nhật vị trí xe giao hàng và trạng thái hoặc kết quả của nhiệm vụ. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được sử dụng từ thiết bị di động của trình điều khiển phân phối hoặc từ máy chủ phụ trợ. Lưu ý: Đã tin cậy đề cập đến thiết bị của người lái xe do bộ phận CNTT của công ty quản lý và có các biện pháp kiểm soát bảo mật thích hợp. Các tổ chức cung cấp những thiết bị này có thể chọn tích hợp các hoạt động tương tác với Công cụ của đội xe vào ứng dụng di động. |
Cách sử dụng vai trò IAM và tài khoản dịch vụ bằng Công cụ quản lý đội xe
Để sử dụng tài khoản dịch vụ cho việc xác thực và uỷ quyền trong Công cụ quản lý xe, hãy làm theo các bước chung sau:
Tạo tài khoản dịch vụ trong Google Cloud Console cho từng vai trò bạn cần. Bạn cần có tài khoản dịch vụ để xác thực ứng dụng và trang web của người dùng, người lái xe, giám sát đội xe và quản lý đội xe – mọi phần mềm cần quyền truy cập vào dữ liệu của Công cụ quản lý đội xe. Phần mềm cần có cùng một quyền có thể sử dụng cùng một tài khoản dịch vụ.
Chỉ định vai trò chính sách IAM cho Công cụ của đội xe cho từng tài khoản dịch vụ. Chọn vai trò theo chính sách IAM dành riêng cho Fleet Engine để cấp các quyền thích hợp truy cập hoặc cập nhật dữ liệu của bạn trong Fleet Engine.
Sử dụng các tài khoản dịch vụ thích hợp trong ứng dụng và phần mềm để xác thực kết nối của các tài khoản đó với Công cụ của đội xe, đồng thời cho phép truy cập vào các tài nguyên do vai trò được chỉ định cấp.
Để biết thông tin chi tiết về cách các vai trò của tài khoản dịch vụ phù hợp với tính năng bảo mật của Công cụ của đội xe, hãy xem phần Tổng quan về bảo mật. Để biết nội dung giải thích đầy đủ về các vai trò của tài khoản dịch vụ, hãy xem phần Tìm hiểu về các vai trò của IAM trong tài liệu của Google Cloud.
Bước tiếp theo
- Đọc về Mã thông báo web JSON để hiểu cách sử dụng mã này trong Công cụ của đội xe.
- Để biết thông tin tổng quan về tính năng bảo mật của Công cụ của đội xe, hãy xem bài viết Tổng quan về tính năng bảo mật.
- Để biết nội dung giải thích đầy đủ về các vai trò của tài khoản dịch vụ trên Google Cloud Console, hãy xem bài viết Tìm hiểu về các vai trò trong IAM