Rôles de compte de service

Les rôles de compte de service sont un élément clé de la sécurité et de la gestion des identités votre système Fleet Engine. Ces rôles vous permettent d'adapter l'accès des opérations et des données pour répondre aux exigences des chauffeurs, des consommateurs et de la flotte. les opérateurs.

Qu'est-ce qu'un compte de service ?

Les comptes de service sont des comptes de la console Google Cloud qui vous permettent de vous authentifier et autoriser l'accès aux données dans Fleet Engine. Fleet Engine dispose d'un ensemble des rôles de stratégie IAM prédéterminés que vous attribuez à un compte de service pour déterminer les données auxquelles ce compte a accès.

Rôles de compte de service Fleet Engine

Le service de mobilité que vous choisissez pour l'installation de Fleet Engine détermine les rôles et les autorisations inclus.

Les rôles suivants illustrent le fonctionnement des autorisations avec les rôles Fleet Engine :

  • Les rôles ondemandAdmin et deliveryAdmin peuvent effectuer toutes les opérations dans Fleet Engine. N'utilisez ces rôles que dans des environnements approuvés, tels que les communications entre votre serveur backend et Fleet Engine.

  • Les rôles driverSdkUser et consumerSdkUser sont accessibles autorisé à obtenir des informations sur les trajets attribués, et à mettre à jour ou recevoir le véhicule l'emplacement. Ces types de rôles sont généralement utilisés par les clients dans des environnements à faible confiance, tels que les applications de pilote, de consommation ou de surveillance.

Les rôles et autorisations accordés pour les trajets à la demande et les tâches planifiées sont décrites dans les tableaux suivants.

Trajets à la demande

Rôle Autorisation

Administrateur Fleet Engine On-Demand

roles/fleetengine.ondemandAdmin

Accorde une autorisation en lecture et en écriture pour tous les véhicules et trajets ressources. Les principaux disposant de ce rôle n'ont pas besoin d'utiliser de jetons JWT et doivent plutôt utiliser les identifiants par défaut de l'application dans la mesure du possible. Ce rôle ignore les revendications JWT personnalisées. Restreindre l'utilisation de ce rôle à des environnements approuvés, tels que votre serveur backend.

Utilisateur du SDK pilote Fleet Engine

roles/fleetengine.driverSdkUser

Mettre à jour les positions et les itinéraires des véhicules, et récupérer des informations sur les véhicules et les trajets Utiliser des jetons JWT avec des revendications personnalisées créées avec ce rôle pour l'authentification et l'autorisation des applications de pilote pour partage de course ou livraison.

Utilisateur du SDK client Fleet Engine

roles/fleetengine.consumerSdkUser

Recherchez des véhicules et récupérez des informations sur les véhicules et les trajets. Utiliser des jetons JWT avec des revendications personnalisées créées avec ce rôle pour des applications grand public pour le partage de course ou la livraison .

Tâches planifiées

Rôle Autorisation

Administrateur Fleet Engine Delivery

roles/fleetengine.deliveryAdmin

Accorde une autorisation de lecture et d'écriture pour les ressources de diffusion. Les principaux disposant de ce rôle n'ont pas besoin d'utiliser de jetons JWT, mais doivent plutôt utiliser les identifiants par défaut de l'application. Ignore les revendications JWT personnalisées. Limiter l'utilisation de ce rôle dans des environnements de confiance tels que votre serveur backend.

Lecteur de parc Fleet Engine Delivery

roles/fleetengine.deliveryFleetReader

Accorde l'autorisation de lire les véhicules de livraison et les tâches, et de rechercher des tâches à l'aide d'un ID de suivi. Les jetons émis par un compte de service disposant de ce rôle sont généralement utilisés à partir du navigateur Web d'un opérateur de flotte de livraison.

Utilisateur non approuvé Fleet Engine Delivery

roles/fleetengine.deliveryUntrustedDriver

Accorde l'autorisation de mettre à jour l'emplacement du véhicule de livraison. Jetons émis par un compte de service doté de ce rôle sont généralement utilisés l'appareil mobile du livreur.

Remarque : "Non approuvé" désigne de pilote qui n'est pas géré par le service informatique de l'entreprise, mais fournis par le conducteur et, généralement, sans sécurité informatique appropriée . Les organisations qui ont mis en place des règles BYOD (Bring Your Own Device) doivent privilégier la sécurité de ce rôle et ne s'appuyer que sur l'application mobile pour envoyer des mises à jour de la position des véhicules à Fleet Engine. Toutes les autres interactions doivent provenir de vos serveurs backend.

Consommateur Fleet Engine Delivery

roles/fleetengine.deliveryConsumer

Accorde l'autorisation de rechercher des tâches à l'aide d'un ID de suivi, et de lire, mais pas de mettre à jour, les informations sur les tâches. Jetons émis par un service avec ce rôle sont généralement utilisés depuis le compte un navigateur Web.

Utilisateur de confiance Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

Accorde l'autorisation de créer et de mettre à jour les véhicules de livraison tâches, y compris la mise à jour de l'emplacement du véhicule de livraison et de l'état des tâches ou résultat. Les jetons émis par un compte de service disposant de ce rôle sont généralement utilisés à partir des appareils mobiles de vos livreurs ou de vos serveurs backend.

Remarque: Le terme "Approuvée" désigne l'appareil du conducteur géré par l’informatique d’une entreprise avec les contrôles de sécurité appropriés. Les entreprises que ces appareils puissent choisir d'intégrer les interactions Fleet Engine dans l'application mobile.

Utiliser des comptes de service avec Fleet Engine

Pour utiliser des comptes de service pour l'authentification et l'autorisation dans Fleet Engine, procédez comme suit :

  1. Créez des comptes de service dans la console Google Cloud pour chaque rôle que vous besoin. Vous avez besoin de comptes de service pour authentifier des applications et des sites Web de gestion de parc, qui a besoin d'accéder aux données Fleet Engine. Les logiciels qui ont besoin des mêmes autorisations peuvent utiliser le même compte de service.

  2. Attribuez un rôle de moteur de flotte à chaque compte de service. Sélectionnez le rôle de stratégie IAM spécifique à Fleet Engine qui fournit l'accès approprié ou mettez à jour vos données dans Fleet Engine.

  3. Utilisez les comptes de service appropriés dans vos applications et logiciels pour authentifier leur connexion à Fleet Engine, et autoriser l'accès aux ressources accordées par le rôle attribué.

Pour en savoir plus sur la manière dont les rôles des comptes de service s'intègrent à la sécurité Fleet Engine, consultez Présentation des fonctionnalités de sécurité Pour une explication complète des rôles de compte de service, consultez la section Comprendre les rôles IAM dans la documentation Google Cloud.

Étape suivante

  • Découvrez les jetons Web JSON pour comprendre leur utilisation dans Fleet Engine.
  • Pour en savoir plus sur la sécurité de Fleet Engine, consultez la page Sécurité présentation.
  • Pour obtenir une explication complète des rôles de compte de service de la console Google Cloud, consultez la page Comprendre les rôles IAM