Ta strona została przetłumaczona przez Cloud Translation API.

Role konfiguracji uprawnień i konta usługi

Prawidłowa konfiguracja uprawnień jest niezbędnym elementem zarządzania bezpieczeństwem i tożsamością w systemie Fleet Engine. Używaj ról uprawnień, aby dostosowywać dostęp do różnych operacji i danych do wymagań kierowców, konsumentów i operatorów flot.

Czym są konta usługi i role uprawnień?

Konta usługi konfigurujesz w konsoli Google Cloud, aby uwierzytelniać i autoryzować dostęp do danych w Fleet Engine. Fleet Engine ma zestaw predefiniowanych ról uprawnień, które przypisujesz do konta usługi, aby określić, do których danych ma ono dostęp. Szczegółowe informacje znajdziesz w artykule Omówienie kont usługi w dokumentacji Google Cloud.

Fleet Engine wykorzystuje role i zasady IAM do zarządzania autoryzacją metod i zasobów interfejsu API Fleet Engine. Więcej informacji znajdziesz w omówieniu ról w dokumentacji Google Cloud. Należy używać wyłącznie ról konta usługi Fleet Engine opisanych w poniższych sekcjach.

Więcej ogólnych informacji o przyznawaniu ról uprawnień znajdziesz w artykule Przyznawanie ról uprawnień za pomocą konsoli Google Cloud.

Role kont serwisowych Fleet Engine

Usługa mobilności wybrana w przypadku instalacji Fleet Engine określa role i uprawnienia, które są uwzględnione.

Poniższe role ilustrują sposób działania uprawnień w przypadku ról Fleet Engine:

Role ondemandAdmin i deliveryAdmin mogą wykonywać wszystkie operacje w Fleet Engine. Używaj tych ról tylko w zaufanych środowiskach, takich jak komunikacja między serwerem zaplecza a Fleet Engine.
Role driverSdkUser i consumerSdkUser umożliwiają wyłącznie pobieranie szczegółów dotyczących przypisanych podróży oraz aktualizowanie lub odbieranie lokalizacji pojazdu. Tego typu role są zwykle używane przez klientów w środowiskach o niskim poziomie zaufania, np. w aplikacjach dla kierowców, konsumentów lub monitorujących.

Role i uprawnienia przyznane w przypadku przejazdów na żądanie i zaplanowanych zadań są opisane w tabelach poniżej.

Przejazdy na żądanie

Rola Uprawnienie

Rola	Uprawnienie
Fleet Engine – administrator na żądanie `roles/fleetengine.ondemandAdmin`	Przyznaje uprawnienia do odczytu, zapisu i usuwania wszystkich zasobów pojazdów i przejazdów. Podmioty z tą rolą nie muszą używać tokenów JWT, ale powinny w miarę możliwości korzystać z domyślnego uwierzytelniania aplikacji. Ta rola ignoruje niestandardowe oświadczenia JWT. Ogranicz używanie tej roli do zaufanych środowisk, takich jak serwer backendu.
Użytkownik pakietu sterowników SDK Fleet Engine `roles/fleetengine.driverSdkUser`	aktualizować lokalizacje i trasy pojazdów oraz pobierać informacje o pojazdach i podróżach; Używaj tokenów JWT z niestandardowymi roszczeniami utworzonymi za pomocą tej roli do uwierzytelniania i autoryzacji w aplikacjach kierowców w przypadku przejazdów lub dostaw.
Użytkownik pakietu konsumenckiego SDK Fleet Engine `roles/fleetengine.consumerSdkUser`	wyszukiwać pojazdy i pobierać informacje o pojazdach i przejazdach; Używaj tokenów JWT z niestandardowymi roszczeniami utworzonymi za pomocą tej roli w aplikacjach konsumenckich do przewozu osób lub dostaw .

Fleet Engine – administrator na żądanie

roles/fleetengine.ondemandAdmin

Przyznaje uprawnienia do odczytu, zapisu i usuwania wszystkich zasobów pojazdów i przejazdów. Podmioty z tą rolą nie muszą używać tokenów JWT, ale powinny w miarę możliwości korzystać z domyślnego uwierzytelniania aplikacji. Ta rola ignoruje niestandardowe oświadczenia JWT. Ogranicz używanie tej roli do zaufanych środowisk, takich jak serwer backendu.

Użytkownik pakietu sterowników SDK Fleet Engine

roles/fleetengine.driverSdkUser

aktualizować lokalizacje i trasy pojazdów oraz pobierać informacje o pojazdach i podróżach; Używaj tokenów JWT z niestandardowymi roszczeniami utworzonymi za pomocą tej roli do uwierzytelniania i autoryzacji w aplikacjach kierowców w przypadku przejazdów lub dostaw.

Użytkownik pakietu konsumenckiego SDK Fleet Engine

roles/fleetengine.consumerSdkUser

wyszukiwać pojazdy i pobierać informacje o pojazdach i przejazdach; Używaj tokenów JWT z niestandardowymi roszczeniami utworzonymi za pomocą tej roli w aplikacjach konsumenckich do przewozu osób lub dostaw .

Zaplanowane zadania

Rola Uprawnienie

Rola	Uprawnienie
Administrator Fleet Engine Delivery `roles/fleetengine.deliveryAdmin`	Przyznaje uprawnienia do odczytu, zapisu i usuwania zasobów dostawy. Podmioty z tą rolą nie muszą używać tokenów JWT, ale powinny korzystać z domyślnego uwierzytelniania aplikacji. Ignoruje niestandardowe roszczenia JWT. Ogranicz użycie tej roli do zaufanych środowisk, takich jak serwer backendu.
Użytkownik odczytujący informacje o flocie w usłudze Fleet Engine Delivery `roles/fleetengine.deliveryFleetReader`	Przyznaje uprawnienia do odczytywania pojazdów dostawczych i zadań oraz wyszukiwania zadań za pomocą identyfikatora śledzenia. Tokeny wydawane przez konto usługi z tą rolą są zwykle używane w przeglądarce internetowej operatora floty dostawczej.
Użytkownik niezaufanego sterownika Fleet Engine Delivery `roles/fleetengine.deliveryUntrustedDriver`	Przyznaje uprawnienia do aktualizowania lokalizacji pojazdu dostawczego. Tokeny wydawane przez konto usługi z tą rolą są zwykle używane na urządzeniu mobilnym kierowcy dostarczającego przesyłki. Uwaga: termin „niezaufane” odnosi się do urządzenia kierowcy, które nie jest zarządzane przez dział IT firmy, ale jest dostarczane przez kierowcę i zwykle nie ma odpowiednich zabezpieczeń IT. Organizacje, które mają zasady dotyczące korzystania z własnych urządzeń, powinny zadbać o bezpieczeństwo tej roli i polegać wyłącznie na aplikacji mobilnej w zakresie wysyłania aktualizacji lokalizacji pojazdu do Fleet Engine. Wszystkie inne interakcje powinny pochodzić z serwerów backendu.
Użytkownik indywidualny Fleet Engine Delivery `roles/fleetengine.deliveryConsumer`	Udziela uprawnień do wyszukiwania zadań za pomocą identyfikatora śledzenia oraz do odczytywania informacji o zadaniu, ale nie do ich aktualizowania. Tokeny wydawane przez konto usługi z tą rolą są zwykle używane w przeglądarce internetowej odbiorcy dostawy.
Użytkownik zaufanego sterownika Fleet Engine Delivery `roles/fleetengine.deliveryTrustedDriver`	Umożliwia tworzenie i aktualizowanie pojazdów dostawczych i zadań, w tym aktualizowanie lokalizacji pojazdu dostawczego oraz stanu lub wyniku zadania. Tokeny wydawane przez konto usługi z tą rolą są zwykle używane na urządzeniach mobilnych kierowców lub na serwerach backendu. Uwaga: zaufane urządzenie to urządzenie kierowcy zarządzane przez dział IT firmy, które ma odpowiednie zabezpieczenia. Organizacje, które udostępniają te urządzenia, mogą zintegrować interakcje z Fleet Engine z aplikacją mobilną.

Administrator Fleet Engine Delivery

roles/fleetengine.deliveryAdmin

Przyznaje uprawnienia do odczytu, zapisu i usuwania zasobów dostawy. Podmioty z tą rolą nie muszą używać tokenów JWT, ale powinny korzystać z domyślnego uwierzytelniania aplikacji. Ignoruje niestandardowe roszczenia JWT. Ogranicz użycie tej roli do zaufanych środowisk, takich jak serwer backendu.

Użytkownik odczytujący informacje o flocie w usłudze Fleet Engine Delivery

roles/fleetengine.deliveryFleetReader

Przyznaje uprawnienia do odczytywania pojazdów dostawczych i zadań oraz wyszukiwania zadań za pomocą identyfikatora śledzenia. Tokeny wydawane przez konto usługi z tą rolą są zwykle używane w przeglądarce internetowej operatora floty dostawczej.

Użytkownik niezaufanego sterownika Fleet Engine Delivery

roles/fleetengine.deliveryUntrustedDriver

Przyznaje uprawnienia do aktualizowania lokalizacji pojazdu dostawczego. Tokeny wydawane przez konto usługi z tą rolą są zwykle używane na urządzeniu mobilnym kierowcy dostarczającego przesyłki.

Uwaga: termin „niezaufane” odnosi się do urządzenia kierowcy, które nie jest zarządzane przez dział IT firmy, ale jest dostarczane przez kierowcę i zwykle nie ma odpowiednich zabezpieczeń IT. Organizacje, które mają zasady dotyczące korzystania z własnych urządzeń, powinny zadbać o bezpieczeństwo tej roli i polegać wyłącznie na aplikacji mobilnej w zakresie wysyłania aktualizacji lokalizacji pojazdu do Fleet Engine. Wszystkie inne interakcje powinny pochodzić z serwerów backendu.

Użytkownik indywidualny Fleet Engine Delivery

roles/fleetengine.deliveryConsumer

Udziela uprawnień do wyszukiwania zadań za pomocą identyfikatora śledzenia oraz do odczytywania informacji o zadaniu, ale nie do ich aktualizowania. Tokeny wydawane przez konto usługi z tą rolą są zwykle używane w przeglądarce internetowej odbiorcy dostawy.

Użytkownik zaufanego sterownika Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

Umożliwia tworzenie i aktualizowanie pojazdów dostawczych i zadań, w tym aktualizowanie lokalizacji pojazdu dostawczego oraz stanu lub wyniku zadania. Tokeny wydawane przez konto usługi z tą rolą są zwykle używane na urządzeniach mobilnych kierowców lub na serwerach backendu.

Uwaga: zaufane urządzenie to urządzenie kierowcy zarządzane przez dział IT firmy, które ma odpowiednie zabezpieczenia. Organizacje, które udostępniają te urządzenia, mogą zintegrować interakcje z Fleet Engine z aplikacją mobilną.

Jak używać ról uprawnień i kont usługi w Fleet Engine

Aby używać kont usługowych do uwierzytelniania i autoryzacji w Fleet Engine, wykonaj następujące ogólne kroki:

Utwórz konta usługi w konsoli Google Cloud dla każdej roli, której potrzebujesz. Konta usługi są potrzebne do uwierzytelniania aplikacji i stron internetowych dla kierowców, konsumentów, monitorowania floty i zarządzania flotą – każdego oprogramowania, które potrzebuje dostępu do danych Fleet Engine. Oprogramowanie, które potrzebuje tych samych uprawnień, może korzystać z tego samego konta usługi.
Do każdego konta usługi przypisz rolę uprawnień Fleet Engine. Wybierz rolę w zasadach IAM dotyczącą Fleet Engine, która zapewnia odpowiednie uprawnienia do uzyskiwania dostępu do danych w Fleet Engine lub ich aktualizowania.
Używaj w aplikacjach i oprogramowaniu odpowiednich kont usługi, aby uwierzytelniać połączenie z Fleet Engine i autoryzować dostęp do zasobów przyznanych przez przypisaną rolę.

Więcej informacji o tym, jak role kont usługi pasują do zabezpieczeń Fleet Engine, znajdziesz w omówieniu zabezpieczeń. Pełne wyjaśnienie ról kont usługi znajdziesz w artykule Omówienie ról uprawnień w dokumentacji Google Cloud.

Co dalej?

Przeczytaj artykuł o tokenach sieciowych JSON, aby dowiedzieć się, jak są one używane w Fleet Engine.
Aby zapoznać się z ogólnym zarysem zabezpieczeń Fleet Engine, zobacz Omówienie zabezpieczeń.
Pełne wyjaśnienie ról kont usługi w Google Cloud Console znajdziesz w artykule Omówienie ról uprawnień.