Vai trò trong tài khoản dịch vụ và thiết lập IAM

Việc định cấu hình IAM đúng cách là một phần tiên quyết của việc quản lý danh tính và bảo mật cho hệ thống Fleet Engine. Sử dụng các vai trò IAM để điều chỉnh quyền truy cập vào các thao tác và dữ liệu khác nhau nhằm đáp ứng yêu cầu của tài xế, người tiêu dùng và nhà điều hành đội xe.

Tài khoản dịch vụ và vai trò IAM là gì?

Bạn thiết lập tài khoản dịch vụ trong Google Cloud Console để xác thực và cho phép truy cập vào dữ liệu trong Fleet Engine. Fleet Engine có một tập hợp các vai trò IAM được xác định trước mà bạn chỉ định cho một tài khoản dịch vụ để xác định dữ liệu mà tài khoản đó có quyền truy cập. Để biết thông tin chi tiết, hãy xem bài viết Tổng quan về tài khoản dịch vụ trong tài liệu của Google Cloud.

Fleet Engine sử dụng các vai trò và chính sách IAM để quản lý quyền cho các phương thức và tài nguyên của Fleet Engine API. Để biết thêm thông tin, hãy xem Tổng quan về vai trò trong tài liệu của Google Cloud. Chỉ sử dụng các vai trò tài khoản dịch vụ Fleet Engine được mô tả trong các phần sau.

Để biết thêm thông tin chung về việc cấp vai trò IAM, hãy xem bài viết Cấp vai trò IAM bằng bảng điều khiển Cloud.

Vai trò tài khoản dịch vụ Fleet Engine

Dịch vụ hỗ trợ di chuyển mà bạn chọn cho bản cài đặt Fleet Engine sẽ xác định các vai trò và quyền được đưa vào.

Các vai trò sau đây minh hoạ cách quyền hoạt động với các vai trò Fleet Engine:

Các vai trò ondemandAdmin và deliveryAdmin có thể thực hiện tất cả các thao tác trong Fleet Engine. Chỉ sử dụng các vai trò này trong môi trường đáng tin cậy, chẳng hạn như giao tiếp giữa máy chủ phụ trợ và Fleet Engine.
Các vai trò driverSdkUser và consumerSdkUser chỉ được phép lấy thông tin chi tiết về các chuyến đi được chỉ định và cập nhật hoặc nhận thông tin vị trí của xe. Các loại vai trò này thường được ứng dụng sử dụng trong môi trường có độ tin cậy thấp, chẳng hạn như ứng dụng tài xế, người tiêu dùng hoặc ứng dụng giám sát.

Các vai trò và quyền được cấp cho các chuyến đi theo yêu cầu và nhiệm vụ đã lên lịch được mô tả trong các bảng sau.

Chuyến đi theo yêu cầu

Vai trò Quyền

Vai trò	Quyền
Quản trị viên Fleet Engine theo yêu cầu `roles/fleetengine.ondemandAdmin`	Cấp quyền đọc, ghi và xoá đối với tất cả tài nguyên về xe và chuyến đi. Các chủ thể có vai trò này không cần sử dụng JWT và nên sử dụng Thông tin xác thực mặc định của ứng dụng bất cứ khi nào có thể. Vai trò này bỏ qua các xác nhận quyền sở hữu JWT tuỳ chỉnh. Hạn chế sử dụng vai trò này cho các môi trường đáng tin cậy, chẳng hạn như máy chủ phụ trợ.
Người dùng SDK Tài xế Fleet Engine `roles/fleetengine.driverSdkUser`	Cập nhật vị trí và tuyến đường của xe, đồng thời truy xuất thông tin về xe và chuyến đi. Sử dụng JWT có xác nhận quyền sở hữu tuỳ chỉnh được tạo bằng vai trò này để xác thực và cấp quyền từ ứng dụng tài xế cho dịch vụ đi chung xe hoặc giao hàng.
Người dùng SDK Người tiêu dùng Fleet Engine `roles/fleetengine.consumerSdkUser`	Tìm kiếm xe và truy xuất thông tin về xe và chuyến đi. Sử dụng JWT có xác nhận quyền sở hữu tuỳ chỉnh được tạo bằng vai trò này cho ứng dụng người tiêu dùng cho dịch vụ đi chung xe hoặc giao hàng .

Quản trị viên Fleet Engine theo yêu cầu

roles/fleetengine.ondemandAdmin

Cấp quyền đọc, ghi và xoá đối với tất cả tài nguyên về xe và chuyến đi. Các chủ thể có vai trò này không cần sử dụng JWT và nên sử dụng Thông tin xác thực mặc định của ứng dụng bất cứ khi nào có thể. Vai trò này bỏ qua các xác nhận quyền sở hữu JWT tuỳ chỉnh. Hạn chế sử dụng vai trò này cho các môi trường đáng tin cậy, chẳng hạn như máy chủ phụ trợ.

Người dùng SDK Tài xế Fleet Engine

roles/fleetengine.driverSdkUser

Cập nhật vị trí và tuyến đường của xe, đồng thời truy xuất thông tin về xe và chuyến đi. Sử dụng JWT có xác nhận quyền sở hữu tuỳ chỉnh được tạo bằng vai trò này để xác thực và cấp quyền từ ứng dụng tài xế cho dịch vụ đi chung xe hoặc giao hàng.

Người dùng SDK Người tiêu dùng Fleet Engine

roles/fleetengine.consumerSdkUser

Tìm kiếm xe và truy xuất thông tin về xe và chuyến đi. Sử dụng JWT có xác nhận quyền sở hữu tuỳ chỉnh được tạo bằng vai trò này cho ứng dụng người tiêu dùng cho dịch vụ đi chung xe hoặc giao hàng .

Nhiệm vụ đã lên lịch

Vai trò Quyền

Vai trò	Quyền
Quản trị viên giao hàng Fleet Engine `roles/fleetengine.deliveryAdmin`	Cấp quyền đọc, ghi và xoá đối với tài nguyên giao hàng. Các chủ thể có vai trò này không cần sử dụng JWT và thay vào đó, nên sử dụng Thông tin xác thực mặc định của ứng dụng. Bỏ qua các xác nhận quyền sở hữu JWT tuỳ chỉnh. Hạn chế sử dụng vai trò này cho các môi trường đáng tin cậy, chẳng hạn như máy chủ phụ trợ.
Người đọc đội xe giao hàng Fleet Engine `roles/fleetengine.deliveryFleetReader`	Cấp quyền đọc thông tin về xe và nhiệm vụ giao hàng, cũng như tìm kiếm nhiệm vụ bằng mã theo dõi. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được sử dụng từ trình duyệt web của nhà điều hành đội xe giao hàng.
Người dùng tài xế không đáng tin cậy của Fleet Engine `roles/fleetengine.deliveryUntrustedDriver`	Cấp quyền cập nhật vị trí của xe giao hàng. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được sử dụng từ thiết bị di động của tài xế giao hàng. Lưu ý: Không đáng tin cậy đề cập đến thiết bị của tài xế không do bộ phận CNTT của công ty quản lý, mà do tài xế cung cấp và thường không có các biện pháp kiểm soát bảo mật CNTT thích hợp. Các tổ chức có chính sách Mang thiết bị của riêng bạn nên chọn tính năng an toàn của vai trò này và chỉ dựa vào ứng dụng di động để gửi thông tin cập nhật vị trí của xe đến Fleet Engine. Tất cả các tương tác khác phải bắt nguồn từ máy chủ phụ trợ.
Người dùng người tiêu dùng giao hàng Fleet Engine `roles/fleetengine.deliveryConsumer`	Cấp quyền tìm kiếm nhiệm vụ bằng mã theo dõi và đọc nhưng không cập nhật thông tin nhiệm vụ. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được sử dụng từ trình duyệt web của người tiêu dùng giao hàng.
Người dùng tài xế đáng tin cậy của Fleet Engine `roles/fleetengine.deliveryTrustedDriver`	Cấp quyền tạo và cập nhật xe và nhiệm vụ giao hàng, bao gồm cả việc cập nhật vị trí của xe giao hàng và trạng thái hoặc kết quả của nhiệm vụ. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được sử dụng từ thiết bị di động của tài xế giao hàng hoặc từ máy chủ phụ trợ. Lưu ý: Đáng tin cậy đề cập đến thiết bị của tài xế do bộ phận CNTT của công ty quản lý và có các biện pháp kiểm soát bảo mật thích hợp. Các tổ chức cung cấp những thiết bị này có thể chọn tích hợp các tương tác của Fleet Engine vào ứng dụng di động.

Quản trị viên giao hàng Fleet Engine

roles/fleetengine.deliveryAdmin

Cấp quyền đọc, ghi và xoá đối với tài nguyên giao hàng. Các chủ thể có vai trò này không cần sử dụng JWT và thay vào đó, nên sử dụng Thông tin xác thực mặc định của ứng dụng. Bỏ qua các xác nhận quyền sở hữu JWT tuỳ chỉnh. Hạn chế sử dụng vai trò này cho các môi trường đáng tin cậy, chẳng hạn như máy chủ phụ trợ.

Người đọc đội xe giao hàng Fleet Engine

roles/fleetengine.deliveryFleetReader

Cấp quyền đọc thông tin về xe và nhiệm vụ giao hàng, cũng như tìm kiếm nhiệm vụ bằng mã theo dõi. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được sử dụng từ trình duyệt web của nhà điều hành đội xe giao hàng.

Người dùng tài xế không đáng tin cậy của Fleet Engine

roles/fleetengine.deliveryUntrustedDriver

Cấp quyền cập nhật vị trí của xe giao hàng. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được sử dụng từ thiết bị di động của tài xế giao hàng.

Lưu ý: Không đáng tin cậy đề cập đến thiết bị của tài xế không do bộ phận CNTT của công ty quản lý, mà do tài xế cung cấp và thường không có các biện pháp kiểm soát bảo mật CNTT thích hợp. Các tổ chức có chính sách Mang thiết bị của riêng bạn nên chọn tính năng an toàn của vai trò này và chỉ dựa vào ứng dụng di động để gửi thông tin cập nhật vị trí của xe đến Fleet Engine. Tất cả các tương tác khác phải bắt nguồn từ máy chủ phụ trợ.

Người dùng người tiêu dùng giao hàng Fleet Engine

roles/fleetengine.deliveryConsumer

Cấp quyền tìm kiếm nhiệm vụ bằng mã theo dõi và đọc nhưng không cập nhật thông tin nhiệm vụ. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được sử dụng từ trình duyệt web của người tiêu dùng giao hàng.

Người dùng tài xế đáng tin cậy của Fleet Engine

roles/fleetengine.deliveryTrustedDriver

Cấp quyền tạo và cập nhật xe và nhiệm vụ giao hàng, bao gồm cả việc cập nhật vị trí của xe giao hàng và trạng thái hoặc kết quả của nhiệm vụ. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được sử dụng từ thiết bị di động của tài xế giao hàng hoặc từ máy chủ phụ trợ.

Lưu ý: Đáng tin cậy đề cập đến thiết bị của tài xế do bộ phận CNTT của công ty quản lý và có các biện pháp kiểm soát bảo mật thích hợp. Các tổ chức cung cấp những thiết bị này có thể chọn tích hợp các tương tác của Fleet Engine vào ứng dụng di động.

Cách sử dụng vai trò IAM và tài khoản dịch vụ với Fleet Engine

Để sử dụng tài khoản dịch vụ cho việc xác thực và cấp quyền trong Fleet Engine, hãy làm theo các bước chung sau:

Tạo tài khoản dịch vụ trong Google Cloud Console cho từng vai trò mà bạn cần. Bạn cần có tài khoản dịch vụ để xác thực ứng dụng và trang web của tài xế, người tiêu dùng, giám sát đội xe và quản lý đội xe – bất kỳ phần mềm nào cần truy cập vào dữ liệu Fleet Engine. Phần mềm cần có cùng quyền có thể sử dụng cùng một tài khoản dịch vụ.
Chỉ định vai trò chính sách IAM của Fleet Engine cho từng tài khoản dịch vụ. Chọn vai trò chính sách IAM dành riêng cho Fleet Engine cung cấp các quyền thích hợp để truy cập hoặc cập nhật dữ liệu của bạn trong Fleet Engine.
Sử dụng tài khoản dịch vụ thích hợp trong ứng dụng và phần mềm để xác thực kết nối của chúng với Fleet Engine, đồng thời cho phép truy cập vào các tài nguyên do vai trò được chỉ định cấp.

Để biết thông tin chi tiết về cách các vai trò tài khoản dịch vụ phù hợp với tính năng bảo mật của Fleet Engine, hãy xem bài viết Tổng quan về bảo mật. Để biết giải thích đầy đủ về các vai trò tài khoản dịch vụ, hãy xem bài viết Tìm hiểu về vai trò IAM trong tài liệu của Google Cloud.

Bước tiếp theo

Đọc bài viết về Mã thông báo web JSON để hiểu cách sử dụng mã này trong Fleet Engine.
Để biết thông tin tổng quan về tính năng bảo mật của Fleet Engine, hãy xem bài viết Tổng quan về bảo mật.
Để biết giải thích đầy đủ về các vai trò tài khoản dịch vụ của Google Cloud Console, hãy xem bài viết Tìm hiểu về vai trò IAM