Diese Seite wurde von der Cloud Translation API übersetzt.

IAM-Einrichtung und Dienstkontorollen

Die korrekte Konfiguration von IAM ist eine Voraussetzung für die Sicherheit und Identitätsverwaltung Ihres Fleet Engine-Systems. Mit IAM-Rollen können Sie den Zugriff auf verschiedene Vorgänge und Daten an die Anforderungen von Fahrern, Nutzern und Flottenbetreibern anpassen.

Was sind Dienstkonten und IAM-Rollen?

Sie richten Dienstkonten in der Google Cloud Console ein, um den Zugriff auf Daten in Fleet Engine zu authentifizieren und zu autorisieren. Fleet Engine bietet eine Reihe vordefinierter IAM-Rollen, die Sie einem Dienstkonto zuweisen, um festzulegen, auf welche Daten dieses Konto Zugriff hat. Weitere Informationen finden Sie in der Google Cloud-Dokumentation unter Dienstkonten – Übersicht.

In Fleet Engine werden IAM-Rollen und -Richtlinien verwendet, um die Autorisierung für Fleet Engine API-Methoden und ‑Ressourcen zu verwalten. Weitere Informationen finden Sie in der Google Cloud-Dokumentation unter Rollenübersicht. Verwenden Sie nur die in den folgenden Abschnitten beschriebenen Rollen für Fleet Engine-Dienstkonten.

Allgemeine Informationen zum Zuweisen von IAM-Rollen finden Sie unter IAM-Rolle über die Google Cloud Console zuweisen.

Rollen für Fleet Engine-Dienstkonten

Die Rollen und Berechtigungen, die enthalten sind, hängen vom Mobilitätsdienst ab, den Sie für Ihre Fleet Engine-Installation auswählen.

Die folgenden Rollen veranschaulichen, wie Berechtigungen mit Fleet Engine-Rollen funktionieren:

Nutzer mit den Rollen ondemandAdmin und deliveryAdmin können alle Vorgänge in der Fleet Engine ausführen. Verwenden Sie diese Rollen nur in vertrauenswürdigen Umgebungen, z. B. für die Kommunikation zwischen Ihrem Backend-Server und der Fleet Engine.
Nutzer mit den Rollen driverSdkUser und consumerSdkUser dürfen nur Details zu zugewiesenen Fahrten abrufen und den Fahrzeugstandort aktualisieren oder abrufen. Diese Arten von Rollen werden in der Regel von Clients in Umgebungen mit geringem Vertrauen verwendet, z. B. in Treiber-, Verbraucher- oder Monitoring-Apps.

Die Rollen und Berechtigungen, die für Fahrten auf Abruf und geplante Aufgaben gewährt werden, werden in den folgenden Tabellen beschrieben.

Fahrten auf Abruf

Rolle Berechtigung

Rolle	Berechtigung
Fleet Engine On-Demand Admin `roles/fleetengine.ondemandAdmin`	Gewährt Lese- und Schreibzugriff auf alle Fahrzeug- und Fahrtenressourcen. Hauptkonten mit dieser Rolle müssen keine JWTs verwenden und sollten stattdessen nach Möglichkeit Standardanmeldedaten für Anwendungen verwenden. Bei dieser Rolle werden benutzerdefinierte JWT-Anfragen ignoriert. Beschränken Sie die Verwendung dieser Rolle auf vertrauenswürdige Umgebungen wie Ihren Back-End-Server.
Fleet Engine Driver SDK-Nutzer `roles/fleetengine.driverSdkUser`	Fahrzeugstandorte und -routen aktualisieren und Informationen zu Fahrzeugen und Fahrten abrufen. Verwenden Sie JWTs mit benutzerdefinierten Ansprüchen, die mit dieser Rolle erstellt wurden, für die Authentifizierung und Autorisierung von Fahrer-Apps für Fahrdienste oder Lieferungen.
Fleet Engine Consumer SDK-Nutzer `roles/fleetengine.consumerSdkUser`	Nach Fahrzeugen suchen und Informationen zu Fahrzeugen und Fahrten abrufen. Verwenden Sie JWTs mit benutzerdefinierten Ansprüchen, die mit dieser Rolle erstellt wurden, für Verbraucher-Apps für Fahrdienste oder Lieferservices .

Fleet Engine On-Demand Admin

roles/fleetengine.ondemandAdmin

Gewährt Lese- und Schreibzugriff auf alle Fahrzeug- und Fahrtenressourcen. Hauptkonten mit dieser Rolle müssen keine JWTs verwenden und sollten stattdessen nach Möglichkeit Standardanmeldedaten für Anwendungen verwenden. Bei dieser Rolle werden benutzerdefinierte JWT-Anfragen ignoriert. Beschränken Sie die Verwendung dieser Rolle auf vertrauenswürdige Umgebungen wie Ihren Back-End-Server.

Fleet Engine Driver SDK-Nutzer

roles/fleetengine.driverSdkUser

Fahrzeugstandorte und -routen aktualisieren und Informationen zu Fahrzeugen und Fahrten abrufen. Verwenden Sie JWTs mit benutzerdefinierten Ansprüchen, die mit dieser Rolle erstellt wurden, für die Authentifizierung und Autorisierung von Fahrer-Apps für Fahrdienste oder Lieferungen.

Fleet Engine Consumer SDK-Nutzer

roles/fleetengine.consumerSdkUser

Nach Fahrzeugen suchen und Informationen zu Fahrzeugen und Fahrten abrufen. Verwenden Sie JWTs mit benutzerdefinierten Ansprüchen, die mit dieser Rolle erstellt wurden, für Verbraucher-Apps für Fahrdienste oder Lieferservices .

Geplante Aufgaben

Rolle Berechtigung

Rolle	Berechtigung
Fleet Engine Delivery Admin `roles/fleetengine.deliveryAdmin`	Gewährt Lese- und Schreibberechtigungen für Bereitstellungsressourcen. Hauptkonten mit dieser Rolle müssen keine JWTs verwenden, sondern sollten stattdessen Standardanmeldedaten für Anwendungen verwenden. Benutzerdefinierte JWT-Ansprüche werden ignoriert. Beschränken Sie die Verwendung dieser Rolle auf vertrauenswürdige Umgebungen wie Ihren Back-End-Server.
Fleet Engine Delivery-Leser `roles/fleetengine.deliveryFleetReader`	Gewährt die Berechtigung zum Lesen von Zustellfahrzeugen und Aufgaben sowie zum Suchen nach Aufgaben mithilfe einer Tracking-ID. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel über den Webbrowser eines Betreibers von Lieferflotten verwendet.
Nicht vertrauenswürdiger Fleet Engine Delivery-Fahrernutzer `roles/fleetengine.deliveryUntrustedDriver`	Gewährt die Berechtigung, den Standort des Lieferfahrzeugs zu aktualisieren. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel auf dem Mobilgerät des Lieferfahrers verwendet. Hinweis: „Nicht vertrauenswürdig“ bezieht sich auf das Gerät eines Fahrers, das nicht von der IT des Unternehmens verwaltet, sondern vom Fahrer bereitgestellt wird und in der Regel keine geeigneten IT-Sicherheitsfunktionen hat. Organisationen mit BYOD-Richtlinien sollten diese Rolle aus Sicherheitsgründen wählen und nur die mobile App verwenden, um Fahrzeugstandortaktualisierungen an die Fleet Engine zu senden. Alle anderen Interaktionen sollten von deinen Backend-Servern stammen.
Fleet Engine Delivery-Privatnutzer `roles/fleetengine.deliveryConsumer`	Ermöglicht die Suche nach Aufgaben mithilfe einer Tracking-ID und das Lesen, aber nicht das Aktualisieren von Aufgabeninformationen. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel über den Webbrowser eines Übermittlungsempfängers verwendet.
Nutzer der vertrauenswürdigen Treiber von Fleet Engine Delivery `roles/fleetengine.deliveryTrustedDriver`	Ermöglicht das Erstellen und Aktualisieren von Lieferfahrzeugen und Aufgaben, einschließlich der Aktualisierung des Standorts des Lieferfahrzeugs und des Aufgabenstatus oder -ergebnisses. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel von den Mobilgeräten Ihrer Fahrer oder von Ihren Back-End-Servern verwendet. Hinweis: „Vertrauenswürdig“ bezieht sich auf das Gerät eines Fahrers, das von der IT des Unternehmens verwaltet wird und über geeignete Sicherheitskontrollen verfügt. Organisationen, die diese Geräte bereitstellen, können Fleet Engine-Interaktionen in die mobile App einbinden.

Fleet Engine Delivery Admin

roles/fleetengine.deliveryAdmin

Gewährt Lese- und Schreibberechtigungen für Bereitstellungsressourcen. Hauptkonten mit dieser Rolle müssen keine JWTs verwenden, sondern sollten stattdessen Standardanmeldedaten für Anwendungen verwenden. Benutzerdefinierte JWT-Ansprüche werden ignoriert. Beschränken Sie die Verwendung dieser Rolle auf vertrauenswürdige Umgebungen wie Ihren Back-End-Server.

Fleet Engine Delivery-Leser

roles/fleetengine.deliveryFleetReader

Gewährt die Berechtigung zum Lesen von Zustellfahrzeugen und Aufgaben sowie zum Suchen nach Aufgaben mithilfe einer Tracking-ID. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel über den Webbrowser eines Betreibers von Lieferflotten verwendet.

Nicht vertrauenswürdiger Fleet Engine Delivery-Fahrernutzer

roles/fleetengine.deliveryUntrustedDriver

Gewährt die Berechtigung, den Standort des Lieferfahrzeugs zu aktualisieren. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel auf dem Mobilgerät des Lieferfahrers verwendet.

Hinweis: „Nicht vertrauenswürdig“ bezieht sich auf das Gerät eines Fahrers, das nicht von der IT des Unternehmens verwaltet, sondern vom Fahrer bereitgestellt wird und in der Regel keine geeigneten IT-Sicherheitsfunktionen hat. Organisationen mit BYOD-Richtlinien sollten diese Rolle aus Sicherheitsgründen wählen und nur die mobile App verwenden, um Fahrzeugstandortaktualisierungen an die Fleet Engine zu senden. Alle anderen Interaktionen sollten von deinen Backend-Servern stammen.

Fleet Engine Delivery-Privatnutzer

roles/fleetengine.deliveryConsumer

Ermöglicht die Suche nach Aufgaben mithilfe einer Tracking-ID und das Lesen, aber nicht das Aktualisieren von Aufgabeninformationen. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel über den Webbrowser eines Übermittlungsempfängers verwendet.

Nutzer der vertrauenswürdigen Treiber von Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

Ermöglicht das Erstellen und Aktualisieren von Lieferfahrzeugen und Aufgaben, einschließlich der Aktualisierung des Standorts des Lieferfahrzeugs und des Aufgabenstatus oder -ergebnisses. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel von den Mobilgeräten Ihrer Fahrer oder von Ihren Back-End-Servern verwendet.

Hinweis: „Vertrauenswürdig“ bezieht sich auf das Gerät eines Fahrers, das von der IT des Unternehmens verwaltet wird und über geeignete Sicherheitskontrollen verfügt. Organisationen, die diese Geräte bereitstellen, können Fleet Engine-Interaktionen in die mobile App einbinden.

IAM-Rollen und Dienstkonten mit der Fleet Engine verwenden

So verwenden Sie Dienstkonten für die Authentifizierung und Autorisierung in der Fleet Engine:

Erstellen Sie in der Google Cloud Console Dienstkonten für jede Rolle, die Sie benötigen. Sie benötigen Dienstkonten, um Fahrer, Kunden, Flottenüberwachungs- und Flottenverwaltungsanwendungen und ‑websites zu authentifizieren – also jede Software, die Zugriff auf Fleet Engine-Daten benötigt. Software, die dieselben Berechtigungen benötigt, kann dasselbe Dienstkonto verwenden.
Weisen Sie jedem Dienstkonto eine IAM-Richtlinienrolle für die Fleet Engine zu. Wählen Sie die Fleet Engine-spezifische IAM-Richtlinienrolle aus, die die entsprechenden Berechtigungen zum Zugriff auf oder Aktualisieren Ihrer Daten in Fleet Engine bietet.
Verwenden Sie die entsprechenden Dienstkonten in Ihren Apps und Ihrer Software, um die Verbindung zur Fleet Engine zu authentifizieren und den Zugriff auf die durch die zugewiesene Rolle gewährten Ressourcen zu autorisieren.

Weitere Informationen dazu, wie sich Dienstkontorollen in die Sicherheit von Fleet Engine einfügen, finden Sie unter Sicherheit – Übersicht. Eine vollständige Erklärung zu Dienstkontorollen finden Sie in der Google Cloud-Dokumentation unter IAM-Rollen.

Nächste Schritte

Weitere Informationen zur Verwendung von JSON Web Tokens in der Fleet Engine
Eine Übersicht über die Sicherheit der Fleet Engine finden Sie in der Übersicht über die Sicherheit.
Eine vollständige Erklärung der Rollen von Dienstkonten in der Google Cloud Console finden Sie unter IAM-Rollen.