La configurazione corretta di IAM è un prerequisito per la gestione della sicurezza e dell'identità del sistema Fleet Engine. Utilizza i ruoli IAM per personalizzare l'accesso a diverse operazioni e dati in modo da soddisfare i requisiti di conducenti, consumatori e operatori della flotta.
Che cosa sono i service account e i ruoli IAM?
Configura i service account nella console Google Cloud per autenticare e autorizzare l'accesso ai dati in Fleet Engine. Fleet Engine ha un insieme di ruoli IAM predeterminati che assegni a un service account per determinare a quali dati ha accesso l'account. Per maggiori dettagli, consulta la panoramica dei service account nella documentazione di Google Cloud.
Fleet Engine utilizza ruoli e policy IAM per gestire l'autorizzazione per i metodi e le risorse dell'API Fleet Engine. Per saperne di più, consulta la panoramica dei ruoli nella documentazione di Google Cloud. Utilizza solo i ruoli del service account Fleet Engine descritti nelle sezioni seguenti.
Per informazioni più generali sulla concessione dei ruoli IAM, consulta Concedi un ruolo IAM utilizzando la console Google Cloud.
Ruoli del service account Fleet Engine
Il servizio di mobilità che scegli per l'installazione di Fleet Engine determina i ruoli e le autorizzazioni inclusi.
I seguenti ruoli illustrano il funzionamento delle autorizzazioni con i ruoli di Fleet Engine:
I ruoli ondemandAdmin e deliveryAdmin possono eseguire tutte le operazioni in Fleet Engine. Utilizza questi ruoli solo in ambienti attendibili, ad esempio nelle comunicazioni tra il server di backend e Fleet Engine.
I ruoli driverSdkUser e consumerSdkUser sono autorizzati solo a recuperare i dettagli delle corse assegnate e ad aggiornare o ricevere la posizione del veicolo. Questi tipi di ruoli vengono in genere utilizzati dai client in ambienti a bassa attendibilità, come le app per conducenti, consumatori o di monitoraggio.
I ruoli e le autorizzazioni concessi per le corse on demand e le attività pianificate sono descritti nelle tabelle seguenti.
Corse on demand
| Ruolo | Autorizzazione |
|---|---|
Fleet Engine On-Demand Admin
|
Concede l'autorizzazione di lettura, scrittura ed eliminazione per tutte le risorse di veicoli e corse risorse. I principali con questo ruolo non devono utilizzare i JWT, ma devono utilizzare le credenziali predefinite dell'applicazione, ove possibile. Questo ruolo ignora le attestazioni JWT personalizzate. Limita l'utilizzo di questo ruolo agli ambienti attendibili, come il server di backend. |
Fleet Engine Driver SDK User
|
Aggiorna le posizioni e le rotte dei veicoli e recupera informazioni su veicoli e corse. Utilizza i JWT con attestazioni personalizzate create con questo ruolo per l'autenticazione e l'autorizzazione dalle app per conducenti per il ridesharing o la consegna. |
Fleet Engine Consumer SDK User
|
Cerca i veicoli e recupera informazioni su veicoli e corse. Utilizza i JWT con attestazioni personalizzate create con questo ruolo per le app per i consumatori per il ridesharing o la consegna . |
Attività pianificate
| Ruolo | Autorizzazione |
|---|---|
Fleet Engine Delivery Admin
|
Concede l'autorizzazione di lettura, scrittura ed eliminazione per le risorse di consegna. I principali con questo ruolo non devono utilizzare i JWT, ma devono utilizzare le credenziali predefinite dell'applicazione. Ignora le attestazioni JWT personalizzate. Limita l'utilizzo di questo ruolo agli ambienti attendibili, come il server di backend. |
Fleet Engine Delivery Fleet Reader
|
Concede l'autorizzazione a leggere i veicoli e le attività di consegna e a cercare le attività utilizzando un ID di monitoraggio. I token emessi da un service account con questo ruolo vengono in genere utilizzati dal browser web di un operatore della flotta di consegna. |
Fleet Engine Delivery Untrusted Driver User
|
Concede l'autorizzazione ad aggiornare la posizione del veicolo di consegna. I token emessi da un service account con questo ruolo vengono in genere utilizzati dal dispositivo mobile del conducente di consegna. Nota: non attendibile si riferisce al dispositivo di un conducente non gestito dall'IT aziendale, ma fornito dal conducente e in genere senza controlli di sicurezza IT appropriati. Le organizzazioni con policy BYOD (Bring Your Own Device) devono optare per la sicurezza di questo ruolo e fare affidamento solo sull'app mobile per inviare gli aggiornamenti della posizione del veicolo a Fleet Engine. Tutte le altre interazioni devono provenire dai server di backend. |
Fleet Engine Delivery Consumer User
|
Concede l'autorizzazione a cercare le attività utilizzando un ID di monitoraggio e a leggere, ma non aggiornare, le informazioni sulle attività. I token emessi da un service account con questo ruolo vengono in genere utilizzati dal browser web di un consumatore di consegna. |
Fleet Engine Delivery Trusted Driver User
|
Concede l'autorizzazione a creare e aggiornare i veicoli e le attività di consegna, inclusi l'aggiornamento della posizione del veicolo di consegna e dello stato o del risultato dell'attività. I token emessi da un service account con questo ruolo vengono in genere utilizzati dai dispositivi mobili del conducente di consegna o dai server di backend. Nota: attendibile si riferisce al dispositivo di un conducente gestito dall'IT aziendale che dispone di controlli di sicurezza appropriati. Le organizzazioni che forniscono questi dispositivi possono scegliere di integrare le interazioni di Fleet Engine nell'app mobile. |
Come utilizzare i ruoli IAM e i service account con Fleet Engine
Per utilizzare i service account per l'autenticazione e l'autorizzazione in Fleet Engine, segui questi passaggi generali:
Crea service account nella console Google Cloud per ogni ruolo di cui hai bisogno. Hai bisogno di service account per autenticare le applicazioni e i siti web per conducenti, consumatori, monitoraggio della flotta e gestione della flotta, ovvero qualsiasi software che necessiti dell'accesso ai dati di Fleet Engine. Il software che necessita delle stesse autorizzazioni può utilizzare lo stesso service account.
Assegna un ruolo di policy IAM di Fleet Engine a ogni service account. Seleziona il ruolo di policy IAM specifico di Fleet Engine che fornisce le autorizzazioni appropriate per accedere o aggiornare i dati in Fleet Engine.
Utilizza i service account appropriati nelle app e nel software per autenticare la connessione a Fleet Engine e autorizzare l'accesso alle risorse concesse dal ruolo assegnato.
Per informazioni dettagliate su come i ruoli dei service account si adattano alla sicurezza di Fleet Engine, consulta la panoramica sulla sicurezza. Per una spiegazione completa dei ruoli dei service account, consulta Informazioni sui ruoli IAM nella documentazione di Google Cloud.
Passaggi successivi
- Leggi informazioni sui JSON Web Token per comprenderne l'utilizzo in Fleet Engine.
- Per una panoramica della sicurezza di Fleet Engine, consulta la panoramica sulla sicurezza.
- Per una spiegazione completa dei ruoli dei service account della console Google Cloud, consulta Informazioni sui ruoli IAM