Se usó la API de Cloud Translation para traducir esta página.

Roles de la cuenta de servicio

Los roles de las cuentas de servicio son una parte clave de la administración de identidades y seguridad de tu sistema de Fleet Engine. Estos roles te permiten personalizar el acceso a diferentes operaciones y datos para satisfacer los requisitos de los conductores, los consumidores y los operadores de flotas.

¿Qué es una cuenta de servicio?

Las cuentas de servicio son cuentas de la consola de Google Cloud que usas para autenticarte y autorizar el acceso a los datos en Fleet Engine. Fleet Engine tiene un conjunto de roles de políticas de IAM predeterminados que asignas a una cuenta de servicio para determinar a qué datos tiene acceso esa cuenta.

Roles de la cuenta de servicio de Fleet Engine

El servicio de movilidad que elijas para la instalación de Fleet Engine determina los roles y permisos que se incluyen.

Los siguientes roles ilustran cómo funcionan los permisos con los roles de Fleet Engine:

Los roles ondemandAdmin y deliveryAdmin pueden realizar todas las operaciones. en Fleet Engine. Usa estos roles solo en entornos confiables, como las comunicaciones entre tu servidor de backend y Fleet Engine.
Los roles driverSdkUser y consumerSdkUser solo puede obtener detalles de los viajes asignados y actualizar o recibir información sobre el vehículo ubicación. Estos tipos de roles suelen usar los clientes en entornos de baja confianza, como las apps de conductores, consumidores o de supervisión.

Los roles y permisos otorgados para los viajes a pedido y las tareas programadas se describen en las siguientes tablas.

Viajes a pedido

Rol Permiso

Rol	Permiso
Administrador según demanda de Fleet Engine `roles/fleetengine.ondemandAdmin`	Otorga permisos de lectura y escritura para todos los vehículos y viajes de Google Cloud. Los principales con este rol no necesitan usar JWT y, en su lugar, deben usar las credenciales predeterminadas de la aplicación siempre que sea posible. Este rol ignora las reclamaciones personalizadas de JWT. Restringe el uso de este rol a entornos de confianza, como tu servidor de backend.
Usuario de SDK para el controlador de Fleet Engine `roles/fleetengine.driverSdkUser`	Actualiza ubicaciones y rutas de vehículos, y recupera información sobre vehículos y viajes. Usa JWT con reclamos personalizados creados con este rol para la autenticación y autorización desde apps de conductores para viajes compartidos o entregas.
Usuario de SDK para el consumidor de Fleet Engine `roles/fleetengine.consumerSdkUser`	Busca vehículos y recupera información sobre ellos y viajes. Usar JWT con reclamaciones personalizadas creadas con este rol para aplicaciones para consumidores de transporte compartido o entrega a domicilio .

Administrador según demanda de Fleet Engine

roles/fleetengine.ondemandAdmin

Otorga permisos de lectura y escritura para todos los vehículos y viajes de Google Cloud. Los principales con este rol no necesitan usar JWT y, en su lugar, deben usar las credenciales predeterminadas de la aplicación siempre que sea posible. Este rol ignora las reclamaciones personalizadas de JWT. Restringe el uso de este rol a entornos de confianza, como tu servidor de backend.

Usuario de SDK para el controlador de Fleet Engine

roles/fleetengine.driverSdkUser

Actualiza ubicaciones y rutas de vehículos, y recupera información sobre vehículos y viajes. Usa JWT con reclamos personalizados creados con este rol para la autenticación y autorización desde apps de conductores para viajes compartidos o entregas.

Usuario de SDK para el consumidor de Fleet Engine

roles/fleetengine.consumerSdkUser

Busca vehículos y recupera información sobre ellos y viajes. Usar JWT con reclamaciones personalizadas creadas con este rol para aplicaciones para consumidores de transporte compartido o entrega a domicilio .

Tareas programadas

Rol Permiso

Rol	Permiso
Administrador de entrega de Fleet Engine `roles/fleetengine.deliveryAdmin`	Otorga permisos de lectura y escritura para los recursos de entrega. Las principales con este rol no necesitan usar JWT y, en su lugar, deben usar Credenciales predeterminadas de la aplicación. Ignora las reclamaciones de JWT personalizadas. Restringe el uso de este rol a entornos de confianza, como tu servidor de backend.
Lector de flota de entrega de Fleet Engine `roles/fleetengine.deliveryFleetReader`	Otorga permiso para leer vehículos y tareas de entrega, y para buscar tareas con un ID de seguimiento. Tokens emitidos por una cuenta de servicio con este rol suelen usarse desde la red web de un operador de flota navegador.
Usuario de controlador no confiable de entrega de Fleet Engine `roles/fleetengine.deliveryUntrustedDriver`	Otorga permiso para actualizar la ubicación del vehículo de entrega. Por lo general, los tokens que emite una cuenta de servicio con este rol se usan desde el dispositivo móvil del conductor de reparto. Nota: No confiable se refiere al dispositivo de un conductor que no es administrado por el equipo de TI corporativo, sino que lo proporciona el conductor y, por lo general, no tiene los controles de seguridad de TI adecuados. Las organizaciones con políticas de uso de dispositivos personales deben optar por la seguridad de este rol y solo depender de la app para dispositivos móviles para enviar actualizaciones de la ubicación del vehículo a Fleet Engine. Todas las demás interacciones deben originarse en tus servidores backend.
Usuario consumidor de entrega de Fleet Engine `roles/fleetengine.deliveryConsumer`	Otorga permiso para buscar tareas con un ID de seguimiento y para leer, pero no actualizar, la información de las tareas. Tokens emitidos por un servicio con este rol, suelen usarse desde la cuenta de un consumidor navegador web.
Usuario de controlador confiable de entrega de Fleet Engine `roles/fleetengine.deliveryTrustedDriver`	Otorga permiso para crear y actualizar vehículos de entrega y tareas, como actualizar la ubicación del vehículo de entrega y el estado de las tareas o resultado. Los tokens emitidos por una cuenta de servicio con este rol se normalmente se usan desde los dispositivos móviles del repartidor o desde de tus servidores de backend. Nota: Confiable se refiere al dispositivo de un conductor administrado por de TI empresarial que cuenta con los controles de seguridad adecuados. Las organizaciones que proporcionan estos dispositivos pueden optar por integrar las interacciones de Fleet Engine en la app para dispositivos móviles.

Administrador de entrega de Fleet Engine

roles/fleetengine.deliveryAdmin

Otorga permisos de lectura y escritura para los recursos de entrega. Las principales con este rol no necesitan usar JWT y, en su lugar, deben usar Credenciales predeterminadas de la aplicación. Ignora las reclamaciones de JWT personalizadas. Restringe el uso de este rol a entornos de confianza, como tu servidor de backend.

Lector de flota de entrega de Fleet Engine

roles/fleetengine.deliveryFleetReader

Otorga permiso para leer vehículos y tareas de entrega, y para buscar tareas con un ID de seguimiento. Tokens emitidos por una cuenta de servicio con este rol suelen usarse desde la red web de un operador de flota navegador.

Usuario de controlador no confiable de entrega de Fleet Engine

roles/fleetengine.deliveryUntrustedDriver

Otorga permiso para actualizar la ubicación del vehículo de entrega. Por lo general, los tokens que emite una cuenta de servicio con este rol se usan desde el dispositivo móvil del conductor de reparto.

Nota: No confiable se refiere al dispositivo de un conductor que no es administrado por el equipo de TI corporativo, sino que lo proporciona el conductor y, por lo general, no tiene los controles de seguridad de TI adecuados. Las organizaciones con políticas de uso de dispositivos personales deben optar por la seguridad de este rol y solo depender de la app para dispositivos móviles para enviar actualizaciones de la ubicación del vehículo a Fleet Engine. Todas las demás interacciones deben originarse en tus servidores backend.

Usuario consumidor de entrega de Fleet Engine

roles/fleetengine.deliveryConsumer

Otorga permiso para buscar tareas con un ID de seguimiento y para leer, pero no actualizar, la información de las tareas. Tokens emitidos por un servicio con este rol, suelen usarse desde la cuenta de un consumidor navegador web.

Usuario de controlador confiable de entrega de Fleet Engine

roles/fleetengine.deliveryTrustedDriver

Otorga permiso para crear y actualizar vehículos de entrega y tareas, como actualizar la ubicación del vehículo de entrega y el estado de las tareas o resultado. Los tokens emitidos por una cuenta de servicio con este rol se normalmente se usan desde los dispositivos móviles del repartidor o desde de tus servidores de backend.

Nota: Confiable se refiere al dispositivo de un conductor administrado por de TI empresarial que cuenta con los controles de seguridad adecuados. Las organizaciones que proporcionan estos dispositivos pueden optar por integrar las interacciones de Fleet Engine en la app para dispositivos móviles.

Cómo usar cuentas de servicio con Fleet Engine

Para usar cuentas de servicio para la autenticación y autorización en Fleet Engine, sigue estos pasos generales:

Crea cuentas de servicio en la consola de Google Cloud para cada rol que que necesitan tus usuarios. Necesitas cuentas de servicio para autenticar el controlador, el consumidor, supervisión de flotas, aplicaciones y sitios web de administración de flotas, que necesita acceder a los datos de Fleet Engine. El software que necesita los mismos permisos puede usar la misma cuenta de servicio.
Asigna un rol de Fleet Engine a cada cuenta de servicio. Selecciona la flota rol de política de IAM específico del motor de búsqueda que proporciona el acceso o actualizar tus datos en Fleet Engine.
Usa las cuentas de servicio adecuadas en tus apps y software para lo siguiente: autenticar su conexión con Fleet Engine y autorizar el acceso a recursos otorgados por el rol asignado.

Para obtener detalles sobre cómo los roles de la cuenta de servicio se ajustan a la seguridad de Fleet Engine, consulta Descripción general de seguridad. Para obtener una explicación completa de los atributos consulta Comprende los roles de IAM en la documentación de Google Cloud.

¿Qué sigue?

Lee sobre los tokens web JSON para comprender su uso en Fleet Engine.
Para obtener una descripción general de la seguridad de Fleet Engine, consulta el vínculo Security descripción general.
Para obtener una explicación completa de los roles de las cuentas de servicio de la consola de Google Cloud, consulta Comprende los roles de IAM