此页面由 Cloud Translation API 翻译。

服务账号角色

服务账号角色是安全和身份管理的关键部分， Fleet Engine 系统。这些角色可让您定制对不同运营和数据，以满足驾驶员、使用者和车队的要求运算符。

什么是服务账号?

服务账号是您用于进行身份验证的 Google Cloud Console 账号并授予对 Fleet Engine 中数据的访问权限。Fleet Engine 包含您分配给服务账号的预定 IAM 政策角色，该账号有权访问哪些数据

Fleet Engine 服务账号角色

您为 Fleet Engine 安装选择的移动服务决定了其中包含的角色和权限

以下角色说明了如何将权限与 Fleet Engine 角色搭配使用：

ondemandAdmin 和 deliveryAdmin 角色可执行所有操作 Fleet Engine 中的资源。请仅在受信任的环境中使用这些角色，例如实现后端服务器与 Fleet Engine 之间的通信。
driverSdkUser 和 consumerSdkUser 角色仅可以获取已分配行程的详细信息，以及更新或接收车辆信息位置。这些类型的角色低信任的环境，例如驱动程序、消费者或监控应用。

为按需行程和计划任务授予的角色和权限如下：。

按需行程

角色权限

角色	权限
Fleet Engine 按需管理员 `roles/fleetengine.ondemandAdmin`	授予对所有车辆和行程的读写权限资源。拥有此角色的主账号不需要使用 JWT，并且应尽可能改用应用默认凭据。此角色会忽略自定义 JWT 声明。仅限以下人员使用此角色：例如您的后端服务器
Fleet Engine Driver SDK User `roles/fleetengine.driverSdkUser`	更新车辆位置和路线，检索信息车辆和行程。将 JWT 与使用创建的自定义声明一起使用此角色用于从驱动程序应用中进行身份验证和授权，拼车或送货上门。
Fleet Engine Consumer SDK User `roles/fleetengine.consumerSdkUser`	搜索车辆，检索车辆的相关信息，行程。将 JWT 与通过此角色创建的自定义声明一起使用提供拼车或送货上门服务的消费者应用。

Fleet Engine 按需管理员

roles/fleetengine.ondemandAdmin

授予对所有车辆和行程的读写权限资源。拥有此角色的主账号不需要使用 JWT，并且应尽可能改用应用默认凭据。此角色会忽略自定义 JWT 声明。仅限以下人员使用此角色：例如您的后端服务器

Fleet Engine Driver SDK User

roles/fleetengine.driverSdkUser

更新车辆位置和路线，检索信息车辆和行程。将 JWT 与使用创建的自定义声明一起使用此角色用于从驱动程序应用中进行身份验证和授权，拼车或送货上门。

Fleet Engine Consumer SDK User

roles/fleetengine.consumerSdkUser

搜索车辆，检索车辆的相关信息，行程。将 JWT 与通过此角色创建的自定义声明一起使用提供拼车或送货上门服务的消费者应用。

计划任务

角色权限

角色	权限
Fleet Engine Delivery Admin `roles/fleetengine.deliveryAdmin`	授予对传送资源的读写权限。拥有此角色的主账号不需要使用 JWT，而应使用应用默认凭据。忽略自定义 JWT 声明。限制可将此角色用于受信任的环境，例如您的后端服务器。
Fleet Engine Delivery Fleet Reader `roles/fleetengine.deliveryFleetReader`	授予读取送货车辆和任务的权限，使用跟踪 ID 搜索任务。服务账号颁发的令牌此角色通常来自配送车队运营商的 Web 。
Fleet Engine Delivery Untrusted Driver User `roles/fleetengine.deliveryUntrustedDriver`	授予更新送货车辆位置的权限。令牌由拥有此角色的服务账号发出的请求通常用于送餐员的移动设备注意：“不可信”是指用户的设备（并非由公司 IT 管理，而是由驾驶员提供，通常没有适当的 IT 安全机制控件。采用自带设备政策的组织应选择确保该角色的安全，并且仅依靠移动应用来 Fleet Engine 中的车辆位置信息更新。所有其他互动都应该来自您的后端服务器
Fleet Engine Delivery Consumer User `roles/fleetengine.deliveryConsumer`	授予使用跟踪 ID 搜索任务的权限，以及读取但不更新任务信息。服务颁发的令牌此角色通常由配送消费者的网络浏览器。
Fleet Engine Delivery Trusted Driver User `roles/fleetengine.deliveryTrustedDriver`	授予创建和更新送货车辆以及任务，包括更新送货车辆位置和任务状态或结果。由拥有此角色的服务账号颁发的令牌为通常在配送员的移动设备上使用与后端服务器通信注意：“可信”是指由具有适当安全控制措施的企业 IT 人员。符合以下条件的组织：提供这些设备，它们可以选择集成 Fleet Engine 交互复制到移动应用中

Fleet Engine Delivery Admin

roles/fleetengine.deliveryAdmin

授予对传送资源的读写权限。拥有此角色的主账号不需要使用 JWT，而应使用应用默认凭据。忽略自定义 JWT 声明。限制可将此角色用于受信任的环境，例如您的后端服务器。

Fleet Engine Delivery Fleet Reader

roles/fleetengine.deliveryFleetReader

授予读取送货车辆和任务的权限，使用跟踪 ID 搜索任务。服务账号颁发的令牌此角色通常来自配送车队运营商的 Web 。

Fleet Engine Delivery Untrusted Driver User

roles/fleetengine.deliveryUntrustedDriver

授予更新送货车辆位置的权限。令牌由拥有此角色的服务账号发出的请求通常用于送餐员的移动设备

注意：“不可信”是指用户的设备（并非由公司 IT 管理，而是由驾驶员提供，通常没有适当的 IT 安全机制控件。采用自带设备政策的组织应选择确保该角色的安全，并且仅依靠移动应用来 Fleet Engine 中的车辆位置信息更新。所有其他互动都应该来自您的后端服务器

Fleet Engine Delivery Consumer User

roles/fleetengine.deliveryConsumer

授予使用跟踪 ID 搜索任务的权限，以及读取但不更新任务信息。服务颁发的令牌此角色通常由配送消费者的网络浏览器。

Fleet Engine Delivery Trusted Driver User

roles/fleetengine.deliveryTrustedDriver

授予创建和更新送货车辆以及任务，包括更新送货车辆位置和任务状态或结果。由拥有此角色的服务账号颁发的令牌为通常在配送员的移动设备上使用与后端服务器通信

注意：“可信”是指由具有适当安全控制措施的企业 IT 人员。符合以下条件的组织：提供这些设备，它们可以选择集成 Fleet Engine 交互复制到移动应用中

如何将服务账号与 Fleet Engine 搭配使用

如需在 Fleet Engine 中使用服务账号进行身份验证和授权，请执行以下操作：请按照以下常规步骤操作：

在 Google Cloud 控制台中，为您所需的每个角色创建服务账号 。您需要使用服务账号来验证驱动程序、使用方舰队监控以及舰队管理应用和网站需要访问 Fleet Engine 数据的软件。需要安装可以使用相同的服务账号
为每个服务账号分配 Fleet Engine 角色。选择舰队特定于引擎的 IAM 政策角色，可提供适当的访问权限，或在 Fleet Engine 中更新数据。
在您的应用和软件中使用适当的服务账号，验证其与 Fleet Engine 的连接，并授予所分配角色所授予的资源数量

如需详细了解服务账号角色在 Fleet Engine 安全性中发挥的作用，请参阅安全概览。有关服务账号的完整说明角色，请参阅 Google Cloud 文档中的了解 IAM 角色。

后续步骤

参阅 JSON 网络令牌，了解它们在 Fleet Engine 中的用法。
有关 Fleet Engine 安全性的概述，请参阅安全性概览。
如需 Google Cloud 控制台服务账号角色的完整说明，请参阅了解 IAM 角色