此页面由 Cloud Translation API 翻译。

服务账号角色

服务账号角色构成了关键的安全和身份管理，使您可以定制不同的操作和展示为司机、消费者和车队运营商提供不同的数据。

什么是服务账号?

要为客户端应用管理 Fleet Engine 中数据的访问权限，您需要提供服务账号，这些服务账号预先确定角色，而不是通过个性化广告身份机制从您的系统访问数据的用户通过客户，而该角色随后将权限限制为只有系统的某些部分被认为适合特定用途。这种类型的范围限制基于最小原则权限。

有关服务账号角色的完整说明，请参阅 Google Cloud 文档中的了解 IAM 角色。

服务账号角色如何与 Fleet Engine 搭配使用？

IAM 角色为主账号。例如，管理员角色可以应用默认凭据，而不受信任的驱动程序角色则只能可以更新车辆位置，并且只能使用身份验证和授权。
对于不受信任的环境（如手机和网络浏览器），JWT 声明只会对那些已调用程序可以执行的操作。可以用于特定车辆、行程或任务。
在低可信环境中运行的代码必须先调用您的代码在可颁发 JWT 的可信环境中运行。
Fleet Engine 会对 API 调用执行以下安全检查，以确保资源：
1. 调用方主账号具有适当的权限（通过角色）分配）。
2. 对于非管理员角色，请求中传递的 JWT 声明会提供获取这项资源的必要权限。

如需了解详情，请参阅 JSON 网络令牌。

Fleet Engine 服务账号角色

根据您选择的移动服务，Fleet Engine 安装将使用如下所述的角色和权限

按需行程

角色权限

角色	权限
Fleet Engine 按需管理员 `roles/fleetengine.ondemandAdmin`	授予对所有车辆和行程的读写权限资源。拥有此角色的主账号不需要使用 JWT，并且应改用应用默认凭据。忽略自定义 JWT 声明。此角色应仅限在受信任的环境中使用例如您自己的服务器某些 Fleet Engine 用户可能仍会看到 Fleet Engine Service Super User 角色，但此角色现已弃用。
Fleet Engine Driver SDK User `roles/fleetengine.driverSdkUser`	更新车辆位置和路线，检索信息车辆和行程。令牌通常用于拼车或送货司机应用
Fleet Engine Consumer SDK User `roles/fleetengine.consumerSdkUser`	搜索车辆并检索车辆相关信息和行程。令牌通常用于拼车或配送消费者应用。

Fleet Engine 按需管理员

roles/fleetengine.ondemandAdmin

授予对所有车辆和行程的读写权限资源。拥有此角色的主账号不需要使用 JWT，并且应改用应用默认凭据。忽略自定义 JWT 声明。此角色应仅限在受信任的环境中使用例如您自己的服务器

某些 Fleet Engine 用户可能仍会看到 Fleet Engine Service Super User 角色，但此角色现已弃用。

Fleet Engine Driver SDK User

roles/fleetengine.driverSdkUser

更新车辆位置和路线，检索信息车辆和行程。令牌通常用于拼车或送货司机应用

Fleet Engine Consumer SDK User

roles/fleetengine.consumerSdkUser

搜索车辆并检索车辆相关信息和行程。令牌通常用于拼车或配送消费者应用。

计划任务

角色权限

角色	权限
Fleet Engine Delivery Admin `roles/fleetengine.deliveryAdmin`	授予对传送资源的读写权限。拥有此角色的主账号不需要使用 JWT，而应使用应用默认凭据。自定义 JWT 声明会被忽略。这个仅限受信任的环境自己的服务器。
Fleet Engine Delivery Fleet Reader `roles/fleetengine.deliveryFleetReader`	授予读取送货车辆和任务的权限，使用跟踪 ID 搜索任务。服务账号颁发的令牌此角色通常来自配送车队运营商的 Web 。
Fleet Engine Delivery Untrusted Driver User `roles/fleetengine.deliveryUntrustedDriver`	授予更新送货车辆位置的权限。令牌由拥有此角色的服务账号发出的请求通常用于送餐员的移动设备注意：“不可信”是指用户的设备（并非由公司 IT 管理，而是由驾驶员提供，通常没有适当的 IT 安全机制控件。采用自带设备政策的组织应选择确保该角色的安全，并且仅依靠移动应用来 Fleet Engine 中的车辆位置信息更新。所有其他互动应从您的后端服务器发出。
Fleet Engine Delivery Consumer User `roles/fleetengine.deliveryConsumer`	授予使用跟踪 ID 搜索任务的权限，以及读取但不更新任务信息。服务颁发的令牌此角色通常由配送消费者的网络浏览器。
Fleet Engine Delivery Trusted Driver User `roles/fleetengine.deliveryTrustedDriver`	授予创建和更新送货车辆以及任务，包括更新送货车辆位置和任务状态或结果。由拥有此角色的服务账号颁发的令牌为通常在配送员的移动设备上使用与后端服务器通信注意：“可信”是指由具有适当安全控制措施的企业 IT 人员。符合以下条件的组织：提供这些设备，它们可以选择集成 Fleet Engine 交互复制到移动应用中

Fleet Engine Delivery Admin

roles/fleetengine.deliveryAdmin

授予对传送资源的读写权限。拥有此角色的主账号不需要使用 JWT，而应使用应用默认凭据。自定义 JWT 声明会被忽略。这个仅限受信任的环境自己的服务器。

Fleet Engine Delivery Fleet Reader

roles/fleetengine.deliveryFleetReader

授予读取送货车辆和任务的权限，使用跟踪 ID 搜索任务。服务账号颁发的令牌此角色通常来自配送车队运营商的 Web 。

Fleet Engine Delivery Untrusted Driver User

roles/fleetengine.deliveryUntrustedDriver

授予更新送货车辆位置的权限。令牌由拥有此角色的服务账号发出的请求通常用于送餐员的移动设备

注意：“不可信”是指用户的设备（并非由公司 IT 管理，而是由驾驶员提供，通常没有适当的 IT 安全机制控件。采用自带设备政策的组织应选择确保该角色的安全，并且仅依靠移动应用来 Fleet Engine 中的车辆位置信息更新。所有其他互动应从您的后端服务器发出。

Fleet Engine Delivery Consumer User

roles/fleetengine.deliveryConsumer

授予使用跟踪 ID 搜索任务的权限，以及读取但不更新任务信息。服务颁发的令牌此角色通常由配送消费者的网络浏览器。

Fleet Engine Delivery Trusted Driver User

roles/fleetengine.deliveryTrustedDriver

授予创建和更新送货车辆以及任务，包括更新送货车辆位置和任务状态或结果。由拥有此角色的服务账号颁发的令牌为通常在配送员的移动设备上使用与后端服务器通信

注意：“可信”是指由具有适当安全控制措施的企业 IT 人员。符合以下条件的组织：提供这些设备，它们可以选择集成 Fleet Engine 交互复制到移动应用中

后续步骤

参阅 JSON 网络令牌，了解它们在 Fleet Engine 中的用法。