Định cấu hình IAM một cách chính xác là một phần bắt buộc của hoạt động quản lý danh tính và bảo mật cho hệ thống Fleet Engine. Sử dụng các vai trò IAM để điều chỉnh quyền truy cập vào các thao tác và dữ liệu khác nhau nhằm đáp ứng yêu cầu của người lái xe, người tiêu dùng và người vận hành đội xe.
Tài khoản dịch vụ và vai trò IAM là gì?
Bạn thiết lập tài khoản dịch vụ trong Google Cloud Console để xác thực và cho phép truy cập vào dữ liệu trong Fleet Engine. Fleet Engine có một nhóm vai trò IAM được xác định trước mà bạn chỉ định cho một tài khoản dịch vụ để xác định dữ liệu mà tài khoản đó có quyền truy cập. Để biết thông tin chi tiết, hãy xem phần Tổng quan về tài khoản dịch vụ trong tài liệu của Google Cloud.
Fleet Engine sử dụng các vai trò và chính sách IAM để quản lý việc uỷ quyền cho các phương thức và tài nguyên Fleet Engine API. Để biết thêm thông tin, hãy xem phần Tổng quan về vai trò trong tài liệu của Google Cloud. Chỉ sử dụng các vai trò tài khoản dịch vụ Fleet Engine được mô tả trong các phần sau.
Để biết thêm thông tin chung về cách cấp vai trò IAM, hãy xem bài viết Cấp vai trò IAM bằng Google Cloud Console.
Các vai trò của tài khoản dịch vụ Fleet Engine
Dịch vụ Di động mà bạn chọn cho quá trình cài đặt Fleet Engine sẽ xác định các vai trò và quyền được đưa vào.
Các vai trò sau đây minh hoạ cách quyền hoạt động với các vai trò trong Fleet Engine:
Các vai trò ondemandAdmin và deliveryAdmin có thể thực hiện tất cả các thao tác trong Fleet Engine. Chỉ sử dụng các vai trò này trong môi trường đáng tin cậy, chẳng hạn như thông tin liên lạc giữa máy chủ phụ trợ và Fleet Engine.
Các vai trò driverSdkUser và consumerSdkUser chỉ được phép lấy thông tin chi tiết về các chuyến đi được chỉ định và cập nhật hoặc nhận vị trí của xe. Các loại vai trò này thường được ứng dụng khách sử dụng trong môi trường có độ tin cậy thấp, chẳng hạn như ứng dụng dành cho người lái xe, người tiêu dùng hoặc ứng dụng giám sát.
Các vai trò và quyền được cấp cho chuyến đi theo yêu cầu và nhiệm vụ định kỳ được mô tả trong các bảng sau.
Chuyến đi theo yêu cầu
| Vai trò | Quyền |
|---|---|
Quản trị viên Fleet Engine theo yêu cầu
|
Cấp quyền đọc, ghi và xoá cho tất cả tài nguyên về xe và chuyến đi. Các thực thể có vai trò này không cần sử dụng JWT và thay vào đó, nên sử dụng Thông tin đăng nhập mặc định của ứng dụng bất cứ khi nào có thể. Vai trò này bỏ qua các khai báo JWT tuỳ chỉnh. Chỉ sử dụng vai trò này trong các môi trường đáng tin cậy, chẳng hạn như máy chủ phụ trợ của bạn. |
Người dùng Fleet Engine Driver SDK
|
Cập nhật vị trí và tuyến đường của xe, đồng thời truy xuất thông tin về xe và chuyến đi. Sử dụng JWT có các yêu cầu tuỳ chỉnh được tạo bằng vai trò này để xác thực và uỷ quyền từ các ứng dụng dành cho tài xế cho dịch vụ đi chung xe hoặc giao hàng. |
Người dùng Fleet Engine Consumer SDK
|
Tìm kiếm xe và truy xuất thông tin về xe và chuyến đi. Sử dụng JWT có các khai báo tuỳ chỉnh được tạo bằng vai trò này cho các ứng dụng tiêu dùng để đi chung xe hoặc giao hàng . |
Nhiệm vụ theo lịch
| Vai trò | Quyền |
|---|---|
Quản trị viên dịch vụ Phân phối của Fleet Engine
|
Cấp quyền đọc, ghi và xoá cho các tài nguyên phân phối. Các thực thể có vai trò này không cần sử dụng JWT mà thay vào đó nên sử dụng Thông tin xác thực mặc định của ứng dụng. Bỏ qua các khai báo JWT tuỳ chỉnh. Hạn chế sử dụng vai trò này trong các môi trường đáng tin cậy, chẳng hạn như máy chủ phụ trợ của bạn. |
Người đọc nhóm phân phối Fleet Engine
|
Cấp quyền đọc các xe giao hàng và nhiệm vụ, cũng như tìm kiếm nhiệm vụ bằng mã theo dõi. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được dùng trong trình duyệt web của nhà điều hành đội xe giao hàng. |
Fleet Engine Delivery Untrusted Driver User
|
Cấp quyền cập nhật vị trí của xe giao hàng. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được dùng trên thiết bị di động của người lái xe giao hàng. Lưu ý: Không đáng tin cậy là chỉ thiết bị của tài xế không do bộ phận CNTT của công ty quản lý, mà do tài xế cung cấp và thường không có các biện pháp kiểm soát bảo mật CNTT thích hợp. Những tổ chức có chính sách Sử dụng thiết bị của riêng bạn nên chọn vai trò này để đảm bảo an toàn và chỉ dựa vào ứng dụng di động để gửi thông tin cập nhật vị trí xe cho Fleet Engine. Tất cả các lượt tương tác khác đều phải bắt nguồn từ máy chủ phụ trợ của bạn. |
Người dùng dịch vụ giao hàng của Fleet Engine
|
Cấp quyền tìm kiếm việc cần làm bằng mã theo dõi và đọc nhưng không cập nhật thông tin về việc cần làm. Mã thông báo do tài khoản dịch vụ có vai trò này phát hành thường được sử dụng từ trình duyệt web của người dùng phân phối. |
Người dùng trình điều khiển đáng tin cậy của Fleet Engine Delivery
|
Cấp quyền tạo và cập nhật xe giao hàng và việc cần làm, bao gồm cả việc cập nhật vị trí xe giao hàng và trạng thái hoặc kết quả của việc cần làm. Mã thông báo do tài khoản dịch vụ có vai trò này cấp thường được dùng trên thiết bị di động của người lái xe giao hàng hoặc trên máy chủ phụ trợ của bạn. Lưu ý: Thiết bị đáng tin cậy là thiết bị của người lái xe do bộ phận CNTT của công ty quản lý và có các biện pháp kiểm soát bảo mật phù hợp. Những tổ chức cung cấp các thiết bị này có thể chọn tích hợp các hoạt động tương tác của Fleet Engine vào ứng dụng di động. |
Cách sử dụng vai trò IAM và tài khoản dịch vụ với Fleet Engine
Để sử dụng tài khoản dịch vụ cho hoạt động xác thực và uỷ quyền trong Fleet Engine, hãy làm theo các bước chung sau:
Tạo tài khoản dịch vụ trong Bảng điều khiển Google Cloud cho từng vai trò mà bạn cần. Bạn cần có tài khoản dịch vụ để xác thực trình điều khiển, người tiêu dùng, ứng dụng và trang web giám sát đội xe cũng như quản lý đội xe – mọi phần mềm cần có quyền truy cập vào dữ liệu Fleet Engine. Phần mềm cần có cùng quyền có thể sử dụng cùng một tài khoản dịch vụ.
Chỉ định vai trò chính sách IAM của Fleet Engine cho từng tài khoản dịch vụ. Chọn vai trò chính sách IAM dành riêng cho Fleet Engine để cấp các quyền thích hợp nhằm truy cập hoặc cập nhật dữ liệu của bạn trong Fleet Engine.
Sử dụng các tài khoản dịch vụ thích hợp trong ứng dụng và phần mềm của bạn để xác thực kết nối của chúng với Fleet Engine, đồng thời cho phép truy cập vào các tài nguyên do vai trò được chỉ định cấp.
Để biết thông tin chi tiết về cách các vai trò tài khoản dịch vụ phù hợp với tính năng bảo mật của Fleet Engine, hãy xem phần Tổng quan về bảo mật. Để biết nội dung giải thích đầy đủ về các vai trò của tài khoản dịch vụ, hãy xem phần Tìm hiểu về các vai trò IAM trong tài liệu của Google Cloud.
Bước tiếp theo
- Đọc về Mã thông báo web JSON để hiểu cách sử dụng mã này trong Fleet Engine.
- Để biết thông tin tổng quan về tính năng bảo mật của Fleet Engine, hãy xem bài viết Tổng quan về tính năng bảo mật.
- Để biết nội dung giải thích đầy đủ về các vai trò tài khoản dịch vụ của Google Cloud Console, hãy xem phần Tìm hiểu về các vai trò IAM