إعداد "إدارة الهوية وإمكانية الوصول" وأدوار حساب الخدمة

إنّ ضبط إدارة الهوية وإمكانية الوصول (IAM) بشكلٍ صحيح هو شرط أساسي لإدارة أمان الهوية في نظام Fleet Engine. استخدِم أدوار إدارة الهوية وإمكانية الوصول (IAM) لتخصيص إمكانية الوصول إلى العمليات والبيانات المختلفة لتلبية متطلبات السائقين والمستهلكين ومشغّلي الأسطول.

ما هي حسابات الخدمة وأدوار "إدارة الهوية وإمكانية الوصول"؟

يمكنك إعداد حسابات الخدمة في Google Cloud Console للمصادقة والتفويض بالوصول إلى البيانات في Fleet Engine. يحتوي Fleet Engine على مجموعة من أدوار إدارة الهوية وإمكانية الوصول المحدّدة مسبقًا التي يمكنك تعيينها لحساب خدمة من أجل تحديد البيانات التي يمكن لهذا الحساب الوصول إليها. لمعرفة التفاصيل، يُرجى الاطّلاع على نظرة عامة على حسابات الخدمة في مستندات Google Cloud.

تستخدِم Fleet Engine أدوار وسياسة "إدارة الهوية وإمكانية الوصول" لإدارة التفويض لطُرق واجهة برمجة التطبيقات في Fleet Engine ومواردها. لمزيد من المعلومات، يُرجى الاطّلاع على نظرة عامة على الأدوار في مستندات Google Cloud. استخدِم فقط أدوار حساب خدمة Fleet Engine الموضّحة في الأقسام التالية.

لمزيد من المعلومات العامة عن منح أدوار إدارة الهوية وإمكانية الوصول، يُرجى الاطّلاع على مقالة منح دور إدارة الهوية وإمكانية الوصول باستخدام وحدة تحكّم Google Cloud.

أدوار حساب خدمة Fleet Engine

تحدِّد خدمة "التنقّل" التي تختارها لتثبيت Fleet Engine الأدوار والأذونات التي يتم تضمينها.

توضّح الأدوار التالية كيفية عمل الأذونات مع أدوار Fleet Engine:

  • يمكن لدورَي ondemandAdmin وdeliveryAdmin تنفيذ جميع العمليات في Fleet Engine. لا تستخدِم هذه الأدوار إلا في البيئات الموثوق بها، مثل المراسلات بين خادم الخلفية وFleet Engine.

  • لا يُسمح لدورَي driverSdkUser وconsumerSdkUser سوى بتلقّي تفاصيل الرحلات المخصّصة وتعديل الموقع الجغرافي للمركبة أو تلقّيه. وعادةً ما يستخدم العملاء هذه الأنواع من الأدوار في البيئات التي تتسم بمستوى منخفض من الثقة، مثل تطبيقات السائق أو المستهلك أو التطبيقات التي تتضمّن ميزة المراقبة.

في الجداول التالية، يتم توضيح الأدوار والأذونات الممنوحة للرحلات عند الطلب والمهام المُجدوَلة.

الرحلات عند الطلب

الدور الإذن

مشرف "المحرك الإعلاني للمركبات" عند الطلب

roles/fleetengine.ondemandAdmin

منح الإذن بالقراءة والكتابة لجميع موارد المركبات والرحلات لا يحتاج المشرفون الذين لديهم هذا الدور إلى استخدام تنسيقات JWT ويجب بدلاً من ذلك استخدام بيانات الاعتماد التلقائية للتطبيق كلما أمكن ذلك. يتجاهل هذا الدور مطالبات JWT المخصّصة. حصر استخدام هذا الدور في البيئات الموثوق بها، مثل خادم الخلفية

مستخدم حزمة تطوير البرامج (SDK) لمشغِّل المحرّك في الأسطول

roles/fleetengine.driverSdkUser

تعديل مواقع المركبات ومسارات التنقّل واسترداد معلومات عن المركبات والرحلات استخدِم تنسيقات JWT مع مطالبات مخصّصة تم إنشاؤها باستخدام هذا الدور للمصادقة والتفويض من تطبيقات السائقين لخدمات المشاركة في الركوب أو التسليم.

مستخدم حزمة تطوير البرامج (SDK) لبرنامج Fleet Engine Consumer

roles/fleetengine.consumerSdkUser

البحث عن المركبات واسترداد معلومات عن المركبات والرحلات استخدِم ملفات JWT مع مطالبات مخصّصة تم إنشاؤها باستخدام هذا الدور لتطبيق المستهلك المخصّص لمشاركة الرحلات أو التسليم .

المهام المُجدوَلة

الدور الإذن

مشرف عرض إعلانات "الإعلانات على شبكة البحث" في "إعلانات Google"

roles/fleetengine.deliveryAdmin

لمنح الإذن بالقراءة والكتابة لموارد التسليم لا يحتاج المستخدمون الرئيسيون الذين لديهم هذا الدور إلى استخدام تنسيقات JWT، بل عليهم استخدام بيانات الاعتماد التلقائية للتطبيق بدلاً من ذلك. تتجاهل هذه الطريقة مطالبات JWT المخصّصة. حصر استخدام هذا الدور بالبيئات الموثوق بها، مثل خادم الخلفية

قارئ أسطول المركبات في محرك Fleet

roles/fleetengine.deliveryFleetReader

منح الإذن بقراءة مركبات التسليم والمهام والبحث عن المهام باستخدام رقم تعريف التتبّع وعادةً ما يتم استخدام الرموز المميّزة التي يصدرها حساب الخدمة الذي يحمل هذا الدور من متصفّح الويب الخاص بمشغّل أسطول التسليم.

مستخدم سائق غير موثوق به في ميزة "تسليم المركبات" من Fleet Engine

roles/fleetengine.deliveryUntrustedDriver

يمنح الإذن بتعديل الموقع الجغرافي لمركبة التسليم. عادةً ما يتم استخدام الرموز المميّزة التي يصدرها حساب خدمة لديه هذا الدور من جهاز جوّال لسائق التسليم.

ملاحظة: يشير "غير موثوق به" إلى جهاز السائق الذي لا تديره إدارة تكنولوجيا المعلومات في الشركة، بل يقدّمه السائق بدلاً من ذلك وعادةً ما يكون بدون عناصر التحكّم المناسبة في أمان تكنولوجيا المعلومات. على المؤسسات التي تتّبع سياسات "استخدام جهازك الخاص" تفعيل وضع أمان هذا الدور وعدم الاعتماد إلا على التطبيق المتوافق مع الأجهزة الجوّالة لإرسال آخر المعلومات المتعلّقة بالموقع الجغرافي للمركبة إلى Fleet Engine. يجب أن تأتي جميع التفاعلات الأخرى من خوادم الخلفية.

مستخدم تسليم محرك الأسطول

roles/fleetengine.deliveryConsumer

يمنح الإذن بالبحث عن المهام باستخدام رقم تعريف التتبّع، وقراءة معلومات المهام بدون تعديلها. وعادةً ما يتم استخدام الرموز المميّزة التي يصدرها حساب الخدمة الذي يحمل هذا الدور من متصفّح الويب الخاص بمستهلك التسليم.

مستخدم سائق موثوق به لتسليم محرّكات الأسطول

roles/fleetengine.deliveryTrustedDriver

يمنح الإذن بإنشاء مركبات توصيل و مهام وتعديلها، بما في ذلك تعديل الموقع الجغرافي لمركبة التوصيل وحالة المهام أو نتيجتها. عادةً ما يتم استخدام الرموز المميّزة التي يصدرها حساب الخدمة الذي يحمل هذا الدور من الأجهزة الجوّالة لسائق التسليم أو من خوادم الخلفية.

ملاحظة: يشير "موثوق به" إلى جهاز السائق الذي تديره إدارة تكنولوجيا المعلومات في الشركة التي تتضمّن عناصر تحكّم في الأمان المناسبة. يمكن للمؤسسات التي تجهّز هذه الأجهزة اختيار دمج تفاعلات Fleet Engine في التطبيق المتوافق مع الأجهزة الجوّالة.

كيفية استخدام أدوار "إدارة الهوية وإمكانية الوصول" (IAM) وحسابات الخدمة مع Fleet Engine

لاستخدام حسابات الخدمة للمصادقة والتفويض في Fleet Engine، اتّبِع الخطوات العامة التالية:

  1. أنشئ حسابات خدمة في Google Cloud Console لكل دور تحتاجه. تحتاج إلى حسابات الخدمة لمصادقة تطبيقات ومواقع إلكترونية خاصة بالسائقين والمستهلكين ومراقبة الأسطول وإدارته، أي البرامج التي تحتاج إلى الوصول إلى بيانات Fleet Engine. يمكن للبرامج التي تحتاج إلى الأذونات نفسها استخدام حساب الخدمة نفسه.

  2. إسناد دور سياسة إدارة الهوية وإمكانية الوصول في Fleet Engine إلى كل حساب خدمة اختَر دور سياسة إدارة الهوية وإمكانية الوصول المخصّص لخدمة Fleet Engine والذي يقدّم الأذونات المناسبة للوصول إلى بياناتك أو تعديلها في Fleet Engine.

  3. استخدِم حسابات الخدمة المناسبة في تطبيقاتك وبرامجك لتأكيد اتصالها بـ Fleet Engine، وتفويض الوصول إلى الموارد التي يمنحها الدور المحدَّد.

لمعرفة تفاصيل عن كيفية ملاءمة أدوار حسابات الخدمة لأمان Fleet Engine، يُرجى الاطّلاع على نظرة عامة على الأمان. للحصول على شرح كامل لأدوار حساب الخدمة، يُرجى الاطّلاع على التعرّف على أدوار "إدارة الهوية وإمكانية الوصول" في مستندات Google Cloud.

الخطوات التالية