דף זה תורגם על ידי Cloud Translation API.

הגדרת IAM ותפקידי חשבון שירות

הגדרה נכונה של IAM היא חלק חיוני מאבטחת המערכת של Fleet Engine ומניהול הזהויות בה. כדאי להשתמש בתפקידי IAM כדי להתאים את הגישה לפעולות ולנתונים שונים בהתאם לדרישות של הנהגים, הצרכנים ומנהלי הצי.

מהם חשבונות שירות ותפקידי IAM?

מגדירים חשבונות שירות במסוף Google Cloud כדי לאמת את הגישה לנתונים ב-Fleet Engine ולאשר אותה. ל-Fleet Engine יש קבוצה של תפקידי IAM שמוגדרים מראש, שאפשר להקצות לחשבון שירות כדי לקבוע לאילו נתונים יש לחשבון גישה. לפרטים, ראו סקירה כללית על חשבונות שירות במסמכי Google Cloud.

‫Fleet Engine משתמש בתפקידים ובמדיניות של IAM כדי לנהל את ההרשאות ל-methods ולמשאבים של Fleet Engine API. מידע נוסף זמין במאמר סקירה כללית של תפקידים במסמכי התיעוד של Google Cloud. צריך להשתמש רק בתפקידים בחשבון השירות של Fleet Engine שמתוארים בקטעים הבאים.

מידע כללי נוסף על מתן תפקידים ב-IAM זמין במאמר איך נותנים תפקידים ב-IAM באמצעות מסוף Google Cloud.

תפקידים של חשבון שירות ב-Fleet Engine

התפקידים וההרשאות שכלולים בהתקנה של Fleet Engine נקבעים לפי שירות הניידות שבוחרים.

התפקידים הבאים ממחישים איך הרשאות פועלות עם תפקידים ב-Fleet Engine:

התפקידים ondemandAdmin ו-deliveryAdmin יכולים לבצע את כל הפעולות ב-Fleet Engine. מומלץ להשתמש בתפקידים האלה רק בסביבות מהימנות, כמו תקשורת בין שרת הבק-אנד לבין Fleet Engine.
התפקידים driverSdkUser ו-consumerSdkUser מורשים רק לקבל פרטים על נסיעות שהוקצו להם ולעדכן או לקבל את מיקום הרכב. בדרך כלל לקוחות משתמשים בסוגים האלה של תפקידים בסביבות עם רמת אמון נמוכה, כמו אפליקציות של נהגים, צרכנים או אפליקציות למעקב.

התפקידים וההרשאות שניתנים לנסיעות לפי דרישה ולמשימות מתוזמנות מתוארים בטבלאות הבאות.

נסיעות על פי דרישה

תפקיד הרשאה

תפקיד	הרשאה
Fleet Engine On-demand Admin `roles/fleetengine.ondemandAdmin`	מעניק הרשאת קריאה, כתיבה ומחיקה לכל משאבי הרכבים והנסיעות. חשבונות משתמש עם התפקיד הזה לא צריכים להשתמש ב-JWT, ועדיף להשתמש ב-Application Default Credentials כשהדבר אפשרי. התפקיד הזה מתעלם מטענות JWT בהתאמה אישית. השימוש בתפקיד הזה מוגבל לסביבות מהימנות כמו שרת הקצה העורפי.
Fleet Engine Driver SDK User `roles/fleetengine.driverSdkUser`	עדכון של מיקומי כלי רכב ומסלולים, ואחזור מידע על כלי רכב ונסיעות. שימוש ב-JWT עם הצהרות מותאמות אישית שנוצרו באמצעות התפקיד הזה לצורך אימות והרשאה מאפליקציות נהגים של שירותי נסיעות שיתופיות או משלוחים.
Fleet Engine Consumer SDK User `roles/fleetengine.consumerSdkUser`	חיפוש רכבים ואחזור מידע על רכבים ונסיעות. אפשר להשתמש ב-JWT עם טענות מותאמות אישית שנוצרו באמצעות התפקיד הזה באפליקציות לצרכנים של שיתוף נסיעות או משלוחים .

Fleet Engine On-demand Admin

roles/fleetengine.ondemandAdmin

מעניק הרשאת קריאה, כתיבה ומחיקה לכל משאבי הרכבים והנסיעות. חשבונות משתמש עם התפקיד הזה לא צריכים להשתמש ב-JWT, ועדיף להשתמש ב-Application Default Credentials כשהדבר אפשרי. התפקיד הזה מתעלם מטענות JWT בהתאמה אישית. השימוש בתפקיד הזה מוגבל לסביבות מהימנות כמו שרת הקצה העורפי.

Fleet Engine Driver SDK User

roles/fleetengine.driverSdkUser

עדכון של מיקומי כלי רכב ומסלולים, ואחזור מידע על כלי רכב ונסיעות. שימוש ב-JWT עם הצהרות מותאמות אישית שנוצרו באמצעות התפקיד הזה לצורך אימות והרשאה מאפליקציות נהגים של שירותי נסיעות שיתופיות או משלוחים.

Fleet Engine Consumer SDK User

roles/fleetengine.consumerSdkUser

חיפוש רכבים ואחזור מידע על רכבים ונסיעות. אפשר להשתמש ב-JWT עם טענות מותאמות אישית שנוצרו באמצעות התפקיד הזה באפליקציות לצרכנים של שיתוף נסיעות או משלוחים .

משימות מתוזמנות

תפקיד הרשאה

תפקיד	הרשאה
Fleet Engine Delivery Admin `roles/fleetengine.deliveryAdmin`	מעניק הרשאת קריאה, כתיבה ומחיקה למשאבי משלוח. חשבונות משתמש עם התפקיד הזה לא צריכים להשתמש ב-JWT, אלא ב-Application Default Credentials. התעלמות מטענות JWT מותאמות אישית. מומלץ להגביל את השימוש בתפקיד הזה לסביבות מהימנות, כמו שרת הקצה העורפי.
Fleet Engine Delivery Fleet Reader `roles/fleetengine.deliveryFleetReader`	מעניקה הרשאה לקרוא כלי רכב ומשימות של משלוחים ולחפש משימות באמצעות מזהה מעקב. אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים בדרך כלל מדפדפן אינטרנט של מפעיל צי רכבים למשלוחים.
Fleet Engine Delivery Untrusted Driver User `roles/fleetengine.deliveryUntrustedDriver`	נותן הרשאה לעדכן את המיקום של רכב המשלוחים. אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים בדרך כלל במכשיר הנייד של נהג המשלוחים. הערה: 'לא מהימן' מתייחס למכשיר של נהג שלא מנוהל על ידי מחלקת ה-IT של החברה, אלא מסופק על ידי הנהג ובדרך כלל ללא אמצעי בקרה מתאימים של אבטחת IT. ארגונים עם מדיניות 'הבאת מכשיר משלך' צריכים לבחור באפשרות הזו כדי לשמור על הבטיחות של התפקיד, ולהסתמך רק על האפליקציה לנייד כדי לשלוח עדכונים על מיקום הרכב ל-Fleet Engine. כל האינטראקציות האחרות צריכות להגיע משרתי הקצה העורפי שלכם.
משתמש צרכן של Fleet Engine Delivery `roles/fleetengine.deliveryConsumer`	ההרשאה מאפשרת לחפש משימות באמצעות מזהה מעקב, ולקרוא את פרטי המשימה אבל לא לעדכן אותם. בדרך כלל, נעשה שימוש באסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה מדפדפן אינטרנט של צרכן משלוחים.
Fleet Engine Delivery Trusted Driver User `roles/fleetengine.deliveryTrustedDriver`	ההרשאה מאפשרת ליצור ולעדכן כלי רכב למשלוחים ומשימות, כולל עדכון המיקום של כלי הרכב למשלוחים והסטטוס או התוצאה של המשימה. בדרך כלל, נעשה שימוש בטוקנים שהונפקו על ידי חשבון שירות עם התפקיד הזה ממכשירים ניידים של נהגי משלוחים או משרתי קצה עורפיים. הערה: 'מהימן' מתייחס למכשיר של נהג שמנוהל על ידי מחלקת ה-IT של החברה, ושמוגדרות בו אמצעי אבטחה מתאימים. ארגונים שמספקים את המכשירים האלה יכולים לבחור לשלב אינטראקציות עם Fleet Engine באפליקציה לנייד.

Fleet Engine Delivery Admin

roles/fleetengine.deliveryAdmin

מעניק הרשאת קריאה, כתיבה ומחיקה למשאבי משלוח. חשבונות משתמש עם התפקיד הזה לא צריכים להשתמש ב-JWT, אלא ב-Application Default Credentials. התעלמות מטענות JWT מותאמות אישית. מומלץ להגביל את השימוש בתפקיד הזה לסביבות מהימנות, כמו שרת הקצה העורפי.

Fleet Engine Delivery Fleet Reader

roles/fleetengine.deliveryFleetReader

מעניקה הרשאה לקרוא כלי רכב ומשימות של משלוחים ולחפש משימות באמצעות מזהה מעקב. אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים בדרך כלל מדפדפן אינטרנט של מפעיל צי רכבים למשלוחים.

Fleet Engine Delivery Untrusted Driver User

roles/fleetengine.deliveryUntrustedDriver

נותן הרשאה לעדכן את המיקום של רכב המשלוחים. אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים בדרך כלל במכשיר הנייד של נהג המשלוחים.

הערה: 'לא מהימן' מתייחס למכשיר של נהג שלא מנוהל על ידי מחלקת ה-IT של החברה, אלא מסופק על ידי הנהג ובדרך כלל ללא אמצעי בקרה מתאימים של אבטחת IT. ארגונים עם מדיניות 'הבאת מכשיר משלך' צריכים לבחור באפשרות הזו כדי לשמור על הבטיחות של התפקיד, ולהסתמך רק על האפליקציה לנייד כדי לשלוח עדכונים על מיקום הרכב ל-Fleet Engine. כל האינטראקציות האחרות צריכות להגיע משרתי הקצה העורפי שלכם.

משתמש צרכן של Fleet Engine Delivery

roles/fleetengine.deliveryConsumer

ההרשאה מאפשרת לחפש משימות באמצעות מזהה מעקב, ולקרוא את פרטי המשימה אבל לא לעדכן אותם. בדרך כלל, נעשה שימוש באסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה מדפדפן אינטרנט של צרכן משלוחים.

Fleet Engine Delivery Trusted Driver User

roles/fleetengine.deliveryTrustedDriver

ההרשאה מאפשרת ליצור ולעדכן כלי רכב למשלוחים ומשימות, כולל עדכון המיקום של כלי הרכב למשלוחים והסטטוס או התוצאה של המשימה. בדרך כלל, נעשה שימוש בטוקנים שהונפקו על ידי חשבון שירות עם התפקיד הזה ממכשירים ניידים של נהגי משלוחים או משרתי קצה עורפיים.

הערה: 'מהימן' מתייחס למכשיר של נהג שמנוהל על ידי מחלקת ה-IT של החברה, ושמוגדרות בו אמצעי אבטחה מתאימים. ארגונים שמספקים את המכשירים האלה יכולים לבחור לשלב אינטראקציות עם Fleet Engine באפליקציה לנייד.

איך משתמשים בתפקידי IAM ובחשבונות שירות עם Fleet Engine

כדי להשתמש בחשבונות שירות לצורך אימות והרשאה ב-Fleet Engine, פועלים לפי השלבים הכלליים הבאים:

יוצרים חשבונות שירות במסוף Google Cloud לכל תפקיד שצריך. אתם צריכים חשבונות שירות כדי לאמת אפליקציות ואתרי אינטרנט של נהגים, צרכנים, מעקב אחר צי רכבים וניהול צי רכבים – כל תוכנה שזקוקה לגישה לנתונים של Fleet Engine. תוכנות שזקוקות לאותן הרשאות יכולות להשתמש באותו חשבון שירות.
מקצים תפקיד במדיניות IAM של Fleet Engine לכל חשבון שירות. בוחרים את תפקיד מדיניות ה-IAM הספציפי ל-Fleet Engine שמספק את ההרשאות המתאימות לגישה לנתונים או לעדכון שלהם ב-Fleet Engine.
משתמשים בחשבונות השירות המתאימים באפליקציות ובתוכנות כדי לאמת את החיבור שלהם ל-Fleet Engine, ולאשר גישה למשאבים שניתנו על ידי התפקיד שהוקצה.

לפרטים על האופן שבו תפקידים של חשבונות שירות משתלבים באבטחה של Fleet Engine, אפשר לעיין בסקירה כללית על אבטחה. הסבר מלא על תפקידים בחשבון שירות זמין במאמר הסבר על תפקידים ב-IAM במסמכי Google Cloud.

המאמרים הבאים

כדאי לקרוא על אסימוני JSON Web Token כדי להבין איך משתמשים בהם ב-Fleet Engine.
סקירה כללית על האבטחה ב-Fleet Engine זמינה במאמר סקירה כללית על אבטחה.
הסבר מלא על תפקידי חשבונות שירות במסוף Google Cloud מופיע במאמר הסבר על תפקידים ב-IAM.