הגדרת IAM ותפקידי חשבון שירות

הגדרה נכונה של IAM היא חלק מדרישות מוקדמות לניהול האבטחה והזהויות של מערכת Fleet Engine. אפשר להשתמש בתפקידי IAM כדי להתאים אישית את הגישה לפעולות ולנתונים שונים בהתאם לדרישות של נהגים, צרכנים ומפעילי ציי רכב.

מהם חשבונות שירות ותפקידי IAM?

מגדירים חשבונות שירות במסוף Google Cloud כדי לאמת ולתת הרשאת גישה לנתונים ב-Fleet Engine. ל-Fleet Engine יש קבוצה של תפקידי IAM מוגדרים מראש שאפשר להקצות לחשבון שירות כדי לקבוע לאילו נתונים לחשבון יש גישה. לפרטים, ראו סקירה כללית על חשבונות שירות במסמכי העזרה של Google Cloud.

ב-Fleet Engine נעשה שימוש בתפקידים ובמדיניות של IAM כדי לנהל את ההרשאות לשיטות ולמשאבים של Fleet Engine API. מידע נוסף זמין במאמר סקירה כללית על תפקידים במסמכי העזרה של Google Cloud. מומלץ להשתמש רק בתפקידים של חשבונות השירות של Fleet Engine שמפורטים בקטעים הבאים.

מידע כללי יותר על הקצאת תפקידים ב-IAM זמין במאמר איך נותנים תפקידים ב-IAM באמצעות מסוף Google Cloud.

תפקידים של חשבונות שירות ב-Fleet Engine

התפקידים וההרשאות שכלולים מוגדרים לפי שירות התנועה שבחרתם להתקנה של Fleet Engine.

התפקידים הבאים ממחישים איך ההרשאות פועלות עם התפקידים ב-Fleet Engine:

  • התפקידים ondemandAdmin ו-deliveryAdmin יכולים לבצע את כל הפעולות ב-Fleet Engine. מומלץ להשתמש בתפקידים האלה רק בסביבות מהימנות, כמו תקשורת בין שרת הקצה העורפי לבין Fleet Engine.

  • התפקידים driverSdkUser ו-consumerSdkUser יכולים רק לקבל פרטים על נסיעות שהוקצו ולעדכן או לקבל את מיקום הרכב. בדרך כלל, לקוחות משתמשים בתפקידים האלה בסביבות עם רמת אמון נמוכה, כמו אפליקציות לניהול התקנים, לצרכן או למעקב.

התפקידים וההרשאות שניתנו לנסיעות על פי דרישה ולמשימות מתוזמנות מתוארים בטבלאות הבאות.

נסיעות על פי דרישה

תפקיד הרשאה

אדמין על פי דרישה ב-Fleet Engine

roles/fleetengine.ondemandAdmin

מעניק הרשאת קריאה וכתיבה לכל משאבי הרכב והנסיעות. חשבונות משתמשים עם התפקיד הזה לא צריכים להשתמש באסימוני JWT, ועדיף להשתמש ב-Application Default Credentials כשזה אפשרי. התפקיד הזה מתעלם מטענות נכונות (claims) מותאמות אישית של JWT. להגביל את השימוש בתפקיד הזה לסביבות מהימנות, כמו שרת הקצה העורפי.

משתמש ב-SDK של Fleet Engine Driver

roles/fleetengine.driverSdkUser

עדכון המיקומים והמסלולים של כלי הרכב, אחזור מידע על כלי רכב ונסיעות. שימוש באסימוני JWT עם הצהרות בהתאמה אישית שנוצרו באמצעות התפקיד הזה, לצורך אימות והרשאה מאפליקציות של נהגים לשירותי שיתוף נסיעות או משלוחים.

משתמש ב-SDK של צרכן Fleet Engine

roles/fleetengine.consumerSdkUser

חיפוש רכבים ואחזור מידע על רכבים ונסיעות. שימוש באסימוני JWT עם הצהרות בהתאמה אישית שנוצרו באמצעות התפקיד הזה לאפליקציות של צרכנים לשירותי שיתוף נסיעות או משלוחים.

משימות מתוזמנות

תפקיד הרשאה

אדמין מסירה של מנועי Fleet

roles/fleetengine.deliveryAdmin

מעניק הרשאת קריאה וכתיבה למשאבי העברה. חשבונות משתמשים עם התפקיד הזה לא צריכים להשתמש ב-JWT, ובמקום זאת צריכים להשתמש ב-Application Default Credentials. התעלמות מטענות נכונות (claims) מותאמות אישית של JWT. להגביל את השימוש בתפקיד הזה לסביבות מהימנות, כמו שרת הקצה העורפי.

Fleet Engine Delivery Fleet Reader

roles/fleetengine.deliveryFleetReader

הרשאה לקרוא משימות וכלי רכב להעברה, ולחפש משימות באמצעות מזהה מעקב. אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים בדרך כלל מדפדפן האינטרנט של מפעיל שירות משלוחים.

משתמש לא מהימן של נהג בשירות Fleet Engine Delivery

roles/fleetengine.deliveryUntrustedDriver

התפקיד הזה מאפשר לעדכן את מיקום הרכב למשלוח. בדרך כלל, אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים את הנהגים במכשיר הנייד שלהם.

הערה: 'לא מהימן' מתייחס למכשיר של נהג שלא מנוהל על ידי מחלקת ה-IT של הארגון, אלא מסופק על ידי הנהג, ובדרך כלל ללא אמצעי בקרה מתאימים לאבטחת ה-IT. ארגונים עם מדיניות 'הבאת מכשיר משלך' צריכים לבחור לשמור על הבטיחות של התפקיד הזה ולהסתמך רק על האפליקציה לנייד כדי לשלוח עדכונים של מיקום הרכב ל-Fleet Engine. כל שאר האינטראקציות צריכות להגיע מהשרתים בקצה העורפי שלכם.

משתמש צרכן של Fleet Engine Delivery

roles/fleetengine.deliveryConsumer

התפקיד הזה מאפשר לחפש משימות באמצעות מזהה לצורכי מעקב, לקרוא את פרטי המשימה אבל לא לעדכן אותם. בדרך כלל, אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים בדפדפן האינטרנט של צרכן המסירה.

משתמש נהג מהימן למסירה ב-Fleet Engine

roles/fleetengine.deliveryTrustedDriver

הרשאה ליצירה ולעדכון של משימות ורכבי משלוחים, כולל עדכון המיקום של רכבי המשלוחים וסטטוס או תוצאה של משימות. אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים בדרך כלל מהמכשירים הניידים של נהג ההעברה או מהשרתים העורפיים שלכם.

הערה: המונח 'מהימנות' מתייחס למכשיר של נהיגה שמנוהל על ידי צוות ה-IT של הארגון, ושיש לו אמצעי בקרת אבטחה מתאימים. ארגונים שיספקו את המכשירים האלה יכולים לבחור לשלב אינטראקציות של Fleet Engine באפליקציה לנייד.

איך משתמשים בתפקידים ובחשבונות שירות ב-IAM עם Fleet Engine

כדי להשתמש בחשבונות שירות לצורך אימות והרשאה ב-Fleet Engine, פועלים לפי השלבים הכלליים הבאים:

  1. יוצרים חשבונות שירות במסוף Google Cloud לכל תפקיד שנחוץ לכם. חשבונות שירות נדרשים לאימות של אפליקציות ואתרים למעקב אחרי נהגים, צרכנים, צי רכב וניהול צי רכב – כל תוכנה שזקוקה לגישה לנתונים של Fleet Engine. תוכנות שצריכים את אותן ההרשאות יכולות להשתמש באותו חשבון שירות.

  2. מקצים תפקיד של מדיניות IAM ב-Fleet Engine לכל חשבון שירות. בוחרים את התפקיד במדיניות IAM שספציפי ל-Fleet Engine, שמספק את ההרשאות המתאימות לגישה לנתונים ב-Fleet Engine או לעדכון שלהם.

  3. משתמשים בחשבונות השירות המתאימים באפליקציות ובתוכנות כדי לאמת את החיבור שלהם ל-Fleet Engine, ולאשר את הגישה למשאבים שהוקצו על ידי התפקיד שהוקצה.

במאמר סקירה כללית על אבטחה מוסבר איך התפקידים של חשבונות השירות משתלבים באבטחה של Fleet Engine. הסבר מלא על התפקידים של חשבונות השירות זמין במאמר הסבר על התפקידים ב-IAM במסמכי העזרה של Google Cloud.

המאמרים הבאים