การตั้งค่า IAM และบทบาทของบัญชีบริการ

การกำหนดค่า IAM อย่างถูกต้องเป็นส่วนที่จำเป็นเบื้องต้นของการรักษาความปลอดภัยและการจัดการข้อมูลประจำตัวสำหรับระบบ Fleet Engine ใช้บทบาท IAM เพื่อปรับแต่งการเข้าถึงการดำเนินการและข้อมูลต่างๆ ให้ตรงตามข้อกำหนดของผู้ขับขี่ ผู้บริโภค และผู้ให้บริการยานพาหนะ

บัญชีบริการและบทบาท IAM คืออะไร

คุณตั้งค่าบัญชีบริการในคอนโซล Google Cloud เพื่อตรวจสอบสิทธิ์และให้สิทธิ์เข้าถึงข้อมูลใน Fleet Engine Fleet Engine มีชุดบทบาท IAM ที่กำหนดไว้ล่วงหน้า ซึ่งคุณจะมอบหมายให้กับบัญชีบริการเพื่อกำหนดข้อมูลที่บัญชีดังกล่าวมีสิทธิ์เข้าถึง ดูรายละเอียดได้ที่ ภาพรวมบัญชีบริการในเอกสารประกอบของ Google Cloud

Fleet Engine ใช้บทบาทและนโยบาย IAM เพื่อจัดการการให้สิทธิ์สำหรับเมธอดและทรัพยากร Fleet Engine API ดูข้อมูลเพิ่มเติมได้ที่ภาพรวมบทบาท ในเอกสารประกอบของ Google Cloud ใช้เฉพาะบทบาทบัญชีบริการ Fleet Engine ที่อธิบายไว้ในส่วนต่อไปนี้

ดูข้อมูลทั่วไปเพิ่มเติมเกี่ยวกับการมอบบทบาท IAM ได้ที่ หัวข้อมอบบทบาท IAM โดยใช้คอนโซล Google Cloud

บทบาทบัญชีบริการ Fleet Engine

บริการคมนาคมขนส่งที่คุณเลือกสำหรับการติดตั้ง Fleet Engine จะกำหนดบทบาทและสิทธิ์ที่จะรวมไว้

บทบาทต่อไปนี้แสดงให้เห็นว่าสิทธิ์ทำงานร่วมกับบทบาท Fleet Engine อย่างไร

  • บทบาท ondemandAdmin และ deliveryAdmin สามารถดำเนินการทั้งหมดใน Fleet Engine ได้ ใช้บทบาทเหล่านี้ในสภาพแวดล้อมที่เชื่อถือได้เท่านั้น เช่น การสื่อสารระหว่างเซิร์ฟเวอร์แบ็กเอนด์กับ Fleet Engine

  • บทบาท driverSdkUser และ consumerSdkUser ได้รับอนุญาตให้ดูรายละเอียดการเดินทางที่ได้รับมอบหมายและอัปเดตหรือรับตำแหน่งยานพาหนะเท่านั้น บทบาทประเภทนี้มักใช้โดยไคลเอ็นต์ในสภาพแวดล้อมที่มีความน่าเชื่อถือต่ำ เช่น แอปของผู้ขับขี่ ผู้บริโภค หรือแอปตรวจสอบ

บทบาทและสิทธิ์ที่มอบให้สำหรับการเดินทางตามความต้องการและงานที่กำหนดเวลาไว้จะอธิบายไว้ในตารางต่อไปนี้

การเดินทางตามความต้องการ

บทบาท สิทธิ์

ผู้ดูแลระบบ Fleet Engine On-demand

roles/fleetengine.ondemandAdmin

ให้สิทธิ์อ่าน เขียน และลบสำหรับทรัพยากรยานพาหนะและการเดินทางทั้งหมด ผู้รับสิทธิ์ที่มีบทบาทนี้ไม่จำเป็นต้องใช้ JWT และควรใช้ข้อมูลรับรองเริ่มต้นของแอปพลิเคชันแทนทุกครั้งที่ทำได้ บทบาทนี้ไม่สนใจการอ้างสิทธิ์ JWT ที่กำหนดเอง จำกัดการใช้บทบาทนี้ไว้ใน สภาพแวดล้อมที่เชื่อถือได้ เช่น เซิร์ฟเวอร์แบ็กเอนด์

ผู้ใช้ Fleet Engine Driver SDK

roles/fleetengine.driverSdkUser

อัปเดตตำแหน่งและเส้นทางของยานพาหนะ รวมถึงดึงข้อมูล เกี่ยวกับยานพาหนะและการเดินทาง ใช้ JWT ที่มีการอ้างสิทธิ์ที่กำหนดเองซึ่งสร้างขึ้นด้วย บทบาทนี้สำหรับการตรวจสอบสิทธิ์และการให้สิทธิ์จากแอปของผู้ขับขี่สำหรับการ แชร์รถหรือการจัดส่ง

ผู้ใช้ Fleet Engine Consumer SDK

roles/fleetengine.consumerSdkUser

ค้นหายานพาหนะและดึงข้อมูลเกี่ยวกับยานพาหนะและการเดินทาง ใช้ JWT ที่มีการอ้างสิทธิ์ที่กำหนดเองซึ่งสร้างขึ้นด้วยบทบาทนี้สำหรับ แอปของผู้บริโภคสำหรับการแชร์รถหรือการจัดส่ง

งานที่กําหนดเวลาไว้

บทบาท สิทธิ์

ผู้ดูแลระบบ Fleet Engine Delivery

roles/fleetengine.deliveryAdmin

ให้สิทธิ์อ่าน เขียน และลบสำหรับทรัพยากรการจัดส่ง ผู้รับสิทธิ์ที่มีบทบาทนี้ไม่จำเป็นต้องใช้ JWT และควรใช้ข้อมูลรับรองเริ่มต้นของแอปพลิเคชันแทน ไม่สนใจการอ้างสิทธิ์ JWT ที่กำหนดเอง จำกัด การใช้บทบาทนี้ไว้ในสภาพแวดล้อมที่เชื่อถือได้ เช่น เซิร์ฟเวอร์แบ็กเอนด์

ผู้อ่านยานพาหนะ Fleet Engine Delivery

roles/fleetengine.deliveryFleetReader

ให้สิทธิ์อ่านยานพาหนะและงานการจัดส่ง รวมถึง ค้นหางานโดยใช้รหัสติดตาม โดยปกติแล้ว โทเค็นที่ออกโดยบัญชีบริการ ที่มีบทบาทนี้จะใช้จากเว็บเบราว์เซอร์ของผู้ให้บริการยานพาหนะสำหรับการจัดส่ง

ผู้ใช้ไดรเวอร์ที่ไม่มีความน่าเชื่อถือของ Fleet Engine Delivery

roles/fleetengine.deliveryUntrustedDriver

ให้สิทธิ์อัปเดตตำแหน่งยานพาหนะสำหรับการจัดส่ง โดยปกติแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะใช้จากอุปกรณ์เคลื่อนที่ของผู้ขับขี่สำหรับการจัดส่ง

หมายเหตุ: "ไม่มีความน่าเชื่อถือ" หมายถึงอุปกรณ์ของผู้ขับขี่ที่ไม่ได้จัดการโดยไอทีของบริษัท แต่ผู้ขับขี่เป็นผู้จัดหาให้ และโดยปกติแล้วจะไม่มีการควบคุมด้านความปลอดภัยของไอทีที่เหมาะสม องค์กรที่มีนโยบายนำอุปกรณ์มาเองควรเลือกใช้บทบาทนี้เพื่อความปลอดภัย และใช้แอปบนอุปกรณ์เคลื่อนที่เพื่อส่งการอัปเดตตำแหน่งยานพาหนะไปยัง Fleet Engine เท่านั้น การโต้ตอบอื่นๆ ทั้งหมด ควรมาจากเซิร์ฟเวอร์แบ็กเอนด์

ผู้ใช้ผู้บริโภคของ Fleet Engine Delivery

roles/fleetengine.deliveryConsumer

ให้สิทธิ์ค้นหางานโดยใช้รหัสติดตาม รวมถึง อ่านข้อมูลงานได้ แต่ไม่อนุญาตให้อัปเดต โดยปกติแล้ว โทเค็นที่ออกโดยบัญชีบริการ ที่มีบทบาทนี้จะใช้จากเว็บเบราว์เซอร์ของผู้บริโภคการจัดส่ง

ผู้ใช้ไดรเวอร์ที่เชื่อถือได้ของ Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

ให้สิทธิ์สร้างและอัปเดตยานพาหนะและ งานการจัดส่ง รวมถึงอัปเดตตำแหน่งยานพาหนะสำหรับการจัดส่งและสถานะ หรือผลลัพธ์ของงาน โดยปกติแล้ว โทเค็นที่ออกโดยบัญชีบริการที่มีบทบาทนี้จะใช้จากอุปกรณ์เคลื่อนที่ของผู้ขับขี่สำหรับการจัดส่งหรือจากเซิร์ฟเวอร์แบ็กเอนด์

หมายเหตุ: "เชื่อถือได้" หมายถึงอุปกรณ์ของผู้ขับขี่ที่จัดการโดยไอทีของบริษัทและมีการควบคุมด้านความปลอดภัยที่เหมาะสม องค์กรที่ จัดหาอุปกรณ์เหล่านี้สามารถเลือกผสานรวมการโต้ตอบ Fleet Engine เข้ากับแอปบนอุปกรณ์เคลื่อนที่ได้

วิธีใช้บทบาท IAM และบัญชีบริการกับ Fleet Engine

หากต้องการใช้บัญชีบริการสำหรับการตรวจสอบสิทธิ์และการให้สิทธิ์ใน Fleet Engine ให้ทำตามขั้นตอนทั่วไปต่อไปนี้

  1. สร้างบัญชีบริการ ในคอนโซล Google Cloud สำหรับแต่ละบทบาทที่คุณต้องการ คุณต้องมีบัญชีบริการเพื่อตรวจสอบสิทธิ์แอปพลิเคชันและเว็บไซต์ของผู้ขับขี่ ผู้บริโภค การตรวจสอบยานพาหนะ และการจัดการยานพาหนะ รวมถึงซอฟต์แวร์ใดก็ตามที่ต้องเข้าถึงข้อมูล Fleet Engine ซอฟต์แวร์ที่ต้องการสิทธิ์เดียวกันสามารถใช้บัญชีบริการเดียวกันได้

  2. มอบหมายบทบาทนโยบาย IAM ของ Fleet Engine ให้กับบัญชีบริการแต่ละบัญชี เลือกบทบาทนโยบาย IAM ที่เฉพาะเจาะจงของ Fleet Engine ซึ่งให้สิทธิ์ที่เหมาะสมในการเข้าถึงหรืออัปเดตข้อมูลใน Fleet Engine

  3. ใช้บัญชีบริการที่เหมาะสม ในแอปและซอฟต์แวร์เพื่อตรวจสอบสิทธิ์การเชื่อมต่อกับ Fleet Engine และให้สิทธิ์เข้าถึงทรัพยากรที่บทบาทที่ได้รับมอบหมายอนุญาต

ดูรายละเอียดเกี่ยวกับบทบาทบัญชีบริการที่เหมาะกับการรักษาความปลอดภัยของ Fleet Engine ได้ที่ ภาพรวมความปลอดภัย ดูคำอธิบายโดยละเอียดเกี่ยวกับบทบาทบัญชีบริการ ได้ที่หัวข้อทำความเข้าใจบทบาท IAM ในเอกสารประกอบของ Google Cloud

ขั้นตอนถัดไป