Vai trò trong tài khoản dịch vụ và thiết lập IAM

Việc định cấu hình IAM chính xác là một phần tiên quyết của việc quản lý bảo mật và danh tính cho hệ thống Fleet Engine. Sử dụng vai trò IAM để điều chỉnh quyền truy cập vào các hoạt động và dữ liệu khác nhau nhằm đáp ứng yêu cầu của người lái xe, người dùng và người vận hành đội xe.

Tài khoản dịch vụ và vai trò IAM là gì?

Bạn thiết lập tài khoản dịch vụ trong Google Cloud Console để xác thực và uỷ quyền truy cập vào dữ liệu trong Công cụ quản lý đội xe. Công cụ quản lý đội xe có một nhóm các vai trò IAM được xác định trước mà bạn chỉ định cho một tài khoản dịch vụ để xác định tài khoản đó có quyền truy cập vào dữ liệu nào. Để biết thông tin chi tiết, hãy xem phần Tổng quan về tài khoản dịch vụ trong tài liệu của Google Cloud.

Công cụ của đội xe sử dụng các vai trò và chính sách IAM để quản lý việc uỷ quyền cho các phương thức và tài nguyên API của Công cụ của đội xe. Để biết thêm thông tin, hãy xem phần Tổng quan về vai trò trong tài liệu của Google Cloud. Chỉ sử dụng các vai trò tài khoản dịch vụ của Công cụ của đội xe được mô tả trong các phần sau.

Để biết thêm thông tin chung về cách cấp vai trò IAM, hãy xem phần Cấp vai trò IAM bằng Google Cloud Console.

Vai trò của tài khoản dịch vụ Fleet Engine

Dịch vụ Di động mà bạn chọn để cài đặt Công cụ quản lý đội xe sẽ xác định các vai trò và quyền được đưa vào.

Các vai trò sau đây minh hoạ cách hoạt động của quyền với vai trò trong Công cụ quản lý đội xe:

  • Vai trò ondemandAdmindeliveryAdmin có thể thực hiện tất cả thao tác trong Công cụ của đội xe. Chỉ sử dụng các vai trò này trong môi trường đáng tin cậy, chẳng hạn như giao tiếp giữa máy chủ phụ trợ và Công cụ của đội xe.

  • Vai trò driverSdkUserconsumerSdkUser chỉ được phép lấy thông tin chi tiết về các chuyến đi được chỉ định và cập nhật hoặc nhận thông tin vị trí của xe. Các loại vai trò này thường được ứng dụng khách sử dụng trong môi trường có mức độ tin cậy thấp, chẳng hạn như trình điều khiển, người dùng hoặc ứng dụng giám sát.

Các vai trò và quyền được cấp cho chuyến đi theo yêu cầu và công việc theo lịch được mô tả trong các bảng sau.

Chuyến đi theo yêu cầu

Vai trò Quyền

Quản trị viên theo yêu cầu của Công cụ quản lý đội xe

roles/fleetengine.ondemandAdmin

Cấp quyền đọc và ghi cho tất cả tài nguyên xe và chuyến đi. Các thực thể chính có vai trò này không cần sử dụng JWT và nên sử dụng Thông tin xác thực mặc định của ứng dụng bất cứ khi nào có thể. Vai trò này bỏ qua các thông báo xác nhận JWT tuỳ chỉnh. Hạn chế sử dụng vai trò này ở các môi trường đáng tin cậy, chẳng hạn như máy chủ phụ trợ.

Người dùng SDK trình điều khiển công cụ của đội xe

roles/fleetengine.driverSdkUser

Cập nhật vị trí và tuyến đường của xe, đồng thời truy xuất thông tin về xe và chuyến đi. Sử dụng JWT có thông báo xác nhận tuỳ chỉnh được tạo bằng vai trò này để xác thực và uỷ quyền từ ứng dụng trình điều khiển cho dịch vụ đi chung xe hoặc giao hàng.

Người dùng SDK người dùng của công cụ Fleet

roles/fleetengine.consumerSdkUser

Tìm kiếm xe và truy xuất thông tin về xe và chuyến đi. Sử dụng JWT có thông báo xác nhận tuỳ chỉnh được tạo bằng vai trò này cho các ứng dụng dành cho người tiêu dùng để đi chung xe hoặc giao hàng .

Tác vụ đã lên lịch

Vai trò Quyền

Quản trị viên phân phối Đội xe

roles/fleetengine.deliveryAdmin

Cấp quyền đọc và ghi cho các tài nguyên phân phối. Các thực thể chính có vai trò này không cần sử dụng JWT mà thay vào đó nên sử dụng Thông tin xác thực mặc định của ứng dụng. Bỏ qua các thông báo xác nhận quyền sở hữu JWT tuỳ chỉnh. Hạn chế việc sử dụng vai trò này ở các môi trường đáng tin cậy, chẳng hạn như máy chủ phụ trợ.

Trình đọc Fleet Engine Delivery Fleet

roles/fleetengine.deliveryFleetReader

Cấp quyền đọc xe tải và công việc giao hàng, cũng như tìm kiếm công việc bằng mã theo dõi. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được sử dụng từ trình duyệt web của nhà điều hành đội xe giao hàng.

Người dùng trình điều khiển không đáng tin cậy trong quy trình phân phối bằng công cụ Fleet Engine

roles/fleetengine.deliveryUntrustedDriver

Cấp quyền cập nhật vị trí của xe giao hàng. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được sử dụng trên thiết bị di động của người lái xe giao hàng.

Lưu ý: Không đáng tin cậy đề cập đến thiết bị của người lái xe không do bộ phận CNTT của công ty quản lý, mà do người lái xe cung cấp và thường không có các biện pháp kiểm soát bảo mật CNTT thích hợp. Những tổ chức có chính sách Sử dụng thiết bị của riêng bạn nên chọn vai trò này để đảm bảo an toàn và chỉ dựa vào ứng dụng di động để gửi thông tin cập nhật về vị trí của xe đến Công cụ quản lý đội xe. Tất cả các hoạt động tương tác khác phải bắt nguồn từ máy chủ phụ trợ của bạn.

Người dùng tiêu dùng của công cụ phân phối động cơ của Fleet

roles/fleetengine.deliveryConsumer

Cấp quyền tìm kiếm việc cần làm bằng mã theo dõi và đọc nhưng không cập nhật thông tin về việc cần làm. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được sử dụng từ trình duyệt web của người dùng phân phối.

Người dùng là tài xế đáng tin cậy của dịch vụ phân phối qua Fleet Engine

roles/fleetengine.deliveryTrustedDriver

Cấp quyền tạo và cập nhật xe giao hàng và nhiệm vụ, bao gồm cả việc cập nhật vị trí xe giao hàng và trạng thái hoặc kết quả của nhiệm vụ. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được sử dụng từ thiết bị di động của trình điều khiển phân phối hoặc từ máy chủ phụ trợ.

Lưu ý: Đã tin cậy đề cập đến thiết bị của người lái xe do bộ phận CNTT của công ty quản lý và có các biện pháp kiểm soát bảo mật thích hợp. Các tổ chức cung cấp những thiết bị này có thể chọn tích hợp các hoạt động tương tác với Công cụ của đội xe vào ứng dụng di động.

Cách sử dụng vai trò IAM và tài khoản dịch vụ bằng Công cụ quản lý đội xe

Để sử dụng tài khoản dịch vụ cho việc xác thực và uỷ quyền trong Công cụ quản lý xe, hãy làm theo các bước chung sau:

  1. Tạo tài khoản dịch vụ trong Google Cloud Console cho từng vai trò bạn cần. Bạn cần có tài khoản dịch vụ để xác thực ứng dụng và trang web của người dùng, người lái xe, giám sát đội xe và quản lý đội xe – mọi phần mềm cần quyền truy cập vào dữ liệu của Công cụ quản lý đội xe. Phần mềm cần có cùng một quyền có thể sử dụng cùng một tài khoản dịch vụ.

  2. Chỉ định vai trò chính sách IAM cho Công cụ của đội xe cho từng tài khoản dịch vụ. Chọn vai trò theo chính sách IAM dành riêng cho Fleet Engine để cấp các quyền thích hợp truy cập hoặc cập nhật dữ liệu của bạn trong Fleet Engine.

  3. Sử dụng các tài khoản dịch vụ thích hợp trong ứng dụng và phần mềm để xác thực kết nối của các tài khoản đó với Công cụ của đội xe, đồng thời cho phép truy cập vào các tài nguyên do vai trò được chỉ định cấp.

Để biết thông tin chi tiết về cách các vai trò của tài khoản dịch vụ phù hợp với tính năng bảo mật của Công cụ của đội xe, hãy xem phần Tổng quan về bảo mật. Để biết nội dung giải thích đầy đủ về các vai trò của tài khoản dịch vụ, hãy xem phần Tìm hiểu về các vai trò của IAM trong tài liệu của Google Cloud.

Bước tiếp theo