Ta strona została przetłumaczona przez Cloud Translation API.

Role konfiguracji uprawnień i konta usługi

Prawidłowe skonfigurowanie uprawnień jest niezbędne do zarządzania bezpieczeństwem i tożsamością w systemie Fleet Engine. Za pomocą ról uprawnień możesz dostosować dostęp do różnych operacji i danych, aby spełniać wymagania kierowców, klientów i operatorów floty.

Czym są konta usługi i role uprawnień?

Używając kont usługi skonfigurowanych w konsoli Google Cloud, możesz uwierzytelniać użytkowników i autoryzować dostęp do danych w Fleet Engine. Fleet Engine ma zestaw z góry określonych ról uprawnień, które przypisujesz do konta usługi, aby określić, do których danych ma ono dostęp. Szczegółowe informacje znajdziesz w artykule Omówienie kont usługi w dokumentacji Google Cloud.

Fleet Engine używa ról i zasad uprawnień do zarządzania autoryzacją metod i zasobów interfejsu Fleet Engine API. Więcej informacji znajdziesz w omówieniu ról w dokumentacji Google Cloud. Używaj tylko tych ról na koncie usługi Fleet Engine, które są opisane w następnych sekcjach.

Więcej ogólnych informacji o przyznawaniu ról uprawnień znajdziesz w artykule Przyznawanie ról uprawnień za pomocą konsoli Google Cloud.

Role konta usługi Fleet Engine

Usługa mobilności wybrana do instalacji Fleet Engine określa role i uprawnienia, które są uwzględnione.

Te role pokazują, jak uprawnienia działają w przypadku ról w Fleet Engine:

Role ondemandAdmin i deliveryAdmin umożliwiają wykonywanie wszystkich operacji w Fleet Engine. Używaj tych ról tylko w zaufanych środowiskach, takich jak komunikacja między serwerem backendu a Fleet Engine.
Role driverSdkUser i consumerSdkUser mają tylko uprawnienia do uzyskiwania szczegółów przypisanych przejazdów oraz do aktualizowania lub otrzymywania lokalizacji pojazdu. Te typy ról są zwykle używane przez klientów w środowiskach o niskim poziomie zaufania, takich jak kierowca, konsument czy aplikacje monitorujące.

Role i uprawnienia przyznawane na potrzeby przejazdów na żądanie i zaplanowanych zadań są opisane w tabeli poniżej.

Przejazdy na żądanie

Rola Uprawnienie

Rola	Uprawnienie
Administrator Fleet Engine On-demand `roles/fleetengine.ondemandAdmin`	Przyznaje uprawnienia do odczytu i zapisu we wszystkich zasobach związanych z pojazdami i podróżami. Użytkownicy z tą rolą nie muszą używać JWT i powinni zamiast tego korzystać z domyślnych danych logowania aplikacji, gdy tylko jest to możliwe. Ta rola ignoruje niestandardowe oświadczenia JWT. Ogranicz używanie tej roli do zaufanych środowisk, takich jak serwer backendu.
Użytkownik pakietu sterowników SDK Fleet Engine `roles/fleetengine.driverSdkUser`	aktualizować położenie pojazdów i trasy oraz pobierać informacje o pojazdach i podróżach; Używaj tokenów JWT z założeniami niestandardowymi utworzonymi za pomocą tej roli do uwierzytelniania i autoryzacji aplikacji kierowcy w przypadku współdzielenia przejazdów lub dostaw.
Użytkownik pakietu konsumenckiego SDK Fleet Engine `roles/fleetengine.consumerSdkUser`	wyszukiwać pojazdów oraz uzyskiwać informacje o pojazdach i podróżach; Używanie tokenów JWT z założeniami niestandardowymi utworzonymi przy użyciu tej roli w przypadku aplikacji dla konsumentów służących do udostępniania przejazdów lub dostaw .

Administrator Fleet Engine On-demand

roles/fleetengine.ondemandAdmin

Przyznaje uprawnienia do odczytu i zapisu we wszystkich zasobach związanych z pojazdami i podróżami. Użytkownicy z tą rolą nie muszą używać JWT i powinni zamiast tego korzystać z domyślnych danych logowania aplikacji, gdy tylko jest to możliwe. Ta rola ignoruje niestandardowe oświadczenia JWT. Ogranicz używanie tej roli do zaufanych środowisk, takich jak serwer backendu.

Użytkownik pakietu sterowników SDK Fleet Engine

roles/fleetengine.driverSdkUser

aktualizować położenie pojazdów i trasy oraz pobierać informacje o pojazdach i podróżach; Używaj tokenów JWT z założeniami niestandardowymi utworzonymi za pomocą tej roli do uwierzytelniania i autoryzacji aplikacji kierowcy w przypadku współdzielenia przejazdów lub dostaw.

Użytkownik pakietu konsumenckiego SDK Fleet Engine

roles/fleetengine.consumerSdkUser

wyszukiwać pojazdów oraz uzyskiwać informacje o pojazdach i podróżach; Używanie tokenów JWT z założeniami niestandardowymi utworzonymi przy użyciu tej roli w przypadku aplikacji dla konsumentów służących do udostępniania przejazdów lub dostaw .

Zaplanowane zadania

Rola Uprawnienie

Rola	Uprawnienie
Administrator Fleet Engine Delivery `roles/fleetengine.deliveryAdmin`	Przyznawanie uprawnień do odczytu i zapisu do zasobów usługi dostawy. Użytkownicy z tą rolą nie muszą używać tokenów JWT. Zamiast tego powinni używać domyślnych danych logowania aplikacji. Ignoruje niestandardowe oświadczenia JWT. Ogranicz użycie tej roli do zaufanych środowisk, takich jak serwer backendowy.
Fleet Engine Delivery Fleet Reader `roles/fleetengine.deliveryFleetReader`	Przyznaje uprawnienia do odczytu pojazdów dostawczych i zadań oraz do wyszukiwania zadań za pomocą identyfikatora śledzenia. Tokeny wydawane przez konto usługi z tą rolą są zwykle używane w przeglądarce operatora floty dostawczej.
Użytkownik niezaufanego sterownika Fleet Engine Delivery `roles/fleetengine.deliveryUntrustedDriver`	Przyznawanie uprawnień do aktualizowania lokalizacji pojazdu dostawczego. Tokeny wydawane przez konto usługi z tą rolą są zwykle używane na urządzeniu mobilnym kierowcy dostawcy. Uwaga: „Niezaufanym” jest urządzenie kierowcy, które nie jest zarządzane przez dział IT firmy, ale jest udostępniane przez kierowcę i zazwyczaj nie ma odpowiednich zabezpieczeń IT. Organizacje, które stosują zasady dotyczące własnych urządzeń, powinny wybrać opcję bezpieczeństwa dla tej roli i używać tylko aplikacji mobilnej do wysyłania aktualizacji lokalizacji pojazdu do Fleet Engine. Wszystkie inne interakcje powinny pochodzić z serwerów backendowych.
Użytkownik indywidualny Fleet Engine Delivery `roles/fleetengine.deliveryConsumer`	Przyznawanie uprawnień do wyszukiwania zadań za pomocą identyfikatora śledzenia oraz do odczytu informacji o zadaniach (bez możliwości ich aktualizowania). Tokeny wydawane przez konto usługi z tą rolą są zwykle używane w przeglądarce konsumenta.
Użytkownik zaufanego sterownika Fleet Engine Delivery `roles/fleetengine.deliveryTrustedDriver`	Przyznawanie uprawnień do tworzenia i aktualizowania pojazdów dostawczych oraz zadań, w tym do aktualizowania lokalizacji pojazdu dostawczego i stanu zadania lub jego wyniku. Tokeny wydawane przez konto usługi z tą rolą są zazwyczaj używane na urządzeniach mobilnych kuriera lub na serwerach backendu. Uwaga: urządzenie zaufane to urządzenie kierowcy zarządzane przez dział IT firmy, który ma odpowiednie zabezpieczenia. Organizacje, które dostarczają te urządzenia, mogą zintegrować interakcje z Fleet Engine z aplikacją mobilną.

Administrator Fleet Engine Delivery

roles/fleetengine.deliveryAdmin

Przyznawanie uprawnień do odczytu i zapisu do zasobów usługi dostawy. Użytkownicy z tą rolą nie muszą używać tokenów JWT. Zamiast tego powinni używać domyślnych danych logowania aplikacji. Ignoruje niestandardowe oświadczenia JWT. Ogranicz użycie tej roli do zaufanych środowisk, takich jak serwer backendowy.

Fleet Engine Delivery Fleet Reader

roles/fleetengine.deliveryFleetReader

Przyznaje uprawnienia do odczytu pojazdów dostawczych i zadań oraz do wyszukiwania zadań za pomocą identyfikatora śledzenia. Tokeny wydawane przez konto usługi z tą rolą są zwykle używane w przeglądarce operatora floty dostawczej.

Użytkownik niezaufanego sterownika Fleet Engine Delivery

roles/fleetengine.deliveryUntrustedDriver

Przyznawanie uprawnień do aktualizowania lokalizacji pojazdu dostawczego. Tokeny wydawane przez konto usługi z tą rolą są zwykle używane na urządzeniu mobilnym kierowcy dostawcy.

Uwaga: „Niezaufanym” jest urządzenie kierowcy, które nie jest zarządzane przez dział IT firmy, ale jest udostępniane przez kierowcę i zazwyczaj nie ma odpowiednich zabezpieczeń IT. Organizacje, które stosują zasady dotyczące własnych urządzeń, powinny wybrać opcję bezpieczeństwa dla tej roli i używać tylko aplikacji mobilnej do wysyłania aktualizacji lokalizacji pojazdu do Fleet Engine. Wszystkie inne interakcje powinny pochodzić z serwerów backendowych.

Użytkownik indywidualny Fleet Engine Delivery

roles/fleetengine.deliveryConsumer

Przyznawanie uprawnień do wyszukiwania zadań za pomocą identyfikatora śledzenia oraz do odczytu informacji o zadaniach (bez możliwości ich aktualizowania). Tokeny wydawane przez konto usługi z tą rolą są zwykle używane w przeglądarce konsumenta.

Użytkownik zaufanego sterownika Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

Przyznawanie uprawnień do tworzenia i aktualizowania pojazdów dostawczych oraz zadań, w tym do aktualizowania lokalizacji pojazdu dostawczego i stanu zadania lub jego wyniku. Tokeny wydawane przez konto usługi z tą rolą są zazwyczaj używane na urządzeniach mobilnych kuriera lub na serwerach backendu.

Uwaga: urządzenie zaufane to urządzenie kierowcy zarządzane przez dział IT firmy, który ma odpowiednie zabezpieczenia. Organizacje, które dostarczają te urządzenia, mogą zintegrować interakcje z Fleet Engine z aplikacją mobilną.

Jak używać ról uprawnień i kont usługi w Fleet Engine

Aby używać kont usługi do uwierzytelniania i autoryzacji w Fleet Engine, wykonaj te ogólne czynności:

W konsoli Google Cloud utwórz konta usługi dla każdej roli, której potrzebujesz. Potrzebujesz kont usług, aby uwierzytelniać kierowców, klientów, aplikacje do monitorowania floty i zarządzania flotą oraz strony internetowe – czyli wszelkiego oprogramowania, które wymaga dostępu do danych silnika floty. Oprogramowanie, które potrzebuje tych samych uprawnień, może korzystać z tego samego konta usługi.
Przypisz do każdego konta usługi rolę w zasadach uprawnień Fleet Engine. Wybierz rolę w ramach polityki IAM w Fleet Engine, która zapewnia odpowiednie uprawnienia do uzyskiwania dostępu do danych w Fleet Engine i ich aktualizowania.
Używaj odpowiednich kont usługi w aplikacjach i oprogramowaniu, aby uwierzytelniać ich połączenie z Fleet Engine i autoryzować dostęp do zasobów przyznanych przez przypisaną rolę.

Szczegółowe informacje o tym, jak role kont usługi pasują do zabezpieczeń Fleet Engine, znajdziesz w artykule Omówienie zabezpieczeń. Pełne omówienie ról kont usługi znajdziesz w dokumentacji Google Cloud Rola uprawnień.

Co dalej?

Aby dowiedzieć się więcej o tym, jak używać tokenów sieciowych JSON w Fleet Engine, zapoznaj się z odpowiednimi informacjami.
Omówienie zabezpieczeń Fleet Engine znajdziesz w artykule Omówienie zabezpieczeń.
Pełne wyjaśnienie ról kont usługi w konsoli Google Cloud Console znajdziesz w artykule Znajomość ról IAM.