דף זה תורגם על ידי Cloud Translation API.

תפקידים של חשבון שירות

תפקידים של חשבון שירות הם אמצעי מפתח לאבטחה ולניהול זהויות וכך לאפשר לך להתאים אישית שיטות שונות נתונים שונים לנהגים, לצרכנים ולמפעילי ציי רכב.

מה זה חשבון שירות?

כדי לנהל את הגישה לנתונים ב-Fleet Engine עבור אפליקציות לקוח: מספקים חשבונות שירות, שמאמתים פעילות בתוכנה תפקיד שנקבע מראש במקום לאמת משתמשים באמצעות מנגנון הזהות. משתמשים שניגשים לנתונים מהמערכת עושים זאת דרך לקוח שמשתמש בתפקיד הזה בחשבון, שמגביל את ההרשאה רק ללקוחות חלקים במערכת שנחשבים מתאימים למטרה ספציפית. הסוג הזה של הגבלת היקף מבוססת על העיקרון של .

הסבר מלא על התפקידים של חשבון שירות זמין במאמר הסבר על תפקידי IAM במאמרי העזרה של Google Cloud.

איך תפקידים של חשבון שירות פועלים עם Fleet Engine?

תפקידי IAM מגדירים קבוצה של הרשאות במשאבים שמותרים חשבון ראשי. לדוגמה, תפקידי אדמין יכולים לעשות הכול התפקיד נהג לא מהימן הוא רק Application Default Credentials. מורשה לעדכן את מיקום הרכב ומוגבל לשימוש באסימוני JWT עבור אימות והרשאה.
בסביבות לא אמינות, כמו טלפונים ניידים ודפדפני אינטרנט, JWT להגנה על זכויות יוצרים מספקות הגבלות נוספות רק לישויות ייתכן שהמתקשר פועל. האפשרויות האלה יכולות להיות לרכבים, לנסיעות או למשימות ספציפיות.
הקוד שרץ בסביבה לא מהימנה צריך להפעיל קודם את הקוד פועל בסביבה מהימנה, שמנפיקה את ה-JWT.
Fleet Engine מבצע את בדיקות האבטחה הבאות בקריאות ל-API עבור resource:
1. לחשבון המשתמש ששולח את הקריאה יש את ההרשאות המתאימות (באמצעות התפקיד הקצאה) לפעולה במשאב.
2. לתפקידים שאינם אדמין, הצהרות ה-JWT שהועברו בבקשה מספקות את את ההרשאה הנדרשת למשאב.

מידע נוסף זמין במאמר אסימוני אינטרנט מסוג JSON.

תפקידים בחשבון שירות ב-Fleet Engine

על סמך שירות הניידות שבחרת, התקנת Fleet Engine משתמשת התפקידים וההרשאות שמתוארים בהמשך.

נסיעות על פי דרישה

תפקיד הרשאה

תפקיד	הרשאה
אדמין על פי דרישה של Fleet Engine `roles/fleetengine.ondemandAdmin`	מעניק הרשאת קריאה וכתיבה לכל הרכבים והנסיעות במשאבי אנוש. חשבונות משתמשים עם התפקיד הזה לא צריכים להשתמש באסימוני JWT. במקום זאת, עליהם להשתמש ב-Application Default Credentials. מתעלם מהתאמה אישית הצהרות JWT. יש להגביל את התפקיד הזה לסביבות מהימנות כגון השרת שלכם. חלק ממשתמשי Fleet Engine עדיין יראו התפקיד 'סופר-משתמש ב-Fleet Engine Service', אבל הוא הוצא משימוש.
משתמש ב-Fleet Engine Driver SDK `roles/fleetengine.driverSdkUser`	עדכון מיקומים ומסלולים של רכבים ואחזור מידע על כלי רכב ונסיעות. האסימונים משמשים בדרך כלל לשיתוף נסיעה או אפליקציות של מנהלי התקנים.
משתמש SDK לצרכנים ב-Fleet Engine `roles/fleetengine.consumerSdkUser`	חיפוש רכבים ואחזור מידע על כלי רכב ונסיעות. בדרך כלל משתמשים באסימונים דרך שיתוף נסיעות או מסירה אפליקציות לצרכנים.

אדמין על פי דרישה של Fleet Engine

roles/fleetengine.ondemandAdmin

מעניק הרשאת קריאה וכתיבה לכל הרכבים והנסיעות במשאבי אנוש. חשבונות משתמשים עם התפקיד הזה לא צריכים להשתמש באסימוני JWT. במקום זאת, עליהם להשתמש ב-Application Default Credentials. מתעלם מהתאמה אישית הצהרות JWT. יש להגביל את התפקיד הזה לסביבות מהימנות כגון השרת שלכם.

חלק ממשתמשי Fleet Engine עדיין יראו התפקיד 'סופר-משתמש ב-Fleet Engine Service', אבל הוא הוצא משימוש.

משתמש ב-Fleet Engine Driver SDK

roles/fleetengine.driverSdkUser

עדכון מיקומים ומסלולים של רכבים ואחזור מידע על כלי רכב ונסיעות. האסימונים משמשים בדרך כלל לשיתוף נסיעה או אפליקציות של מנהלי התקנים.

משתמש SDK לצרכנים ב-Fleet Engine

roles/fleetengine.consumerSdkUser

חיפוש רכבים ואחזור מידע על כלי רכב ונסיעות. בדרך כלל משתמשים באסימונים דרך שיתוף נסיעות או מסירה אפליקציות לצרכנים.

משימות מתוזמנות

תפקיד הרשאה

תפקיד	הרשאה
אדמין מסירה של מנועי Fleet `roles/fleetengine.deliveryAdmin`	התפקיד הזה מאפשר לקרוא ולכתוב למשאבי ההעברה. חשבונות משתמשים עם התפקיד הזה לא צריכים להשתמש באסימוני JWT, ובמקום זאת הם צריכים להשתמש Application Default Credentials. המערכת מתעלמת מהצהרות JWT מותאמות אישית. הזה צריך להיות מוגבל לסביבות מהימנות כמו שרתים משלכם.
בעל הרשאת קריאה של כלל המכשירים למסירה של Fleet Engine `roles/fleetengine.deliveryFleetReader`	התפקיד הזה מאפשר לקרוא רכבים ומשימות למשלוחים, וגם לחפש משימות באמצעות מזהה לצורכי מעקב. אסימונים שהונפקו על ידי חשבון שירות בדרך כלל משתמשים בתפקיד הזה מתוך רשת האינטרנט של בדפדפן.
משתמש לא מהימן של נהג לא מהימן למסירה ב-Fleet Engine `roles/fleetengine.deliveryUntrustedDriver`	התפקיד הזה מאפשר לעדכן את מיקום הרכב למשלוח. אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה, בדרך כלל משמשים מהמכשיר הנייד של נהג המשלוח. הערה: המונח 'לא מהימן' מתייחס לנהג שלא מנוהל על ידי צוות ה-IT של הארגון, אלא שסופקו על ידי הנהג, ובדרך כלל ללא אבטחת IT מתאימה הפקדים בנגן. ארגונים עם מדיניות בנושא מכשירים אישיים צריכים לבחור לצורך שמירה על הבטיחות בתפקיד הזה, ואפשר להסתמך רק על האפליקציה לנייד כדי לשלוח עדכונים של מיקום כלי רכב ל-Fleet Engine. כל שאר האינטראקציות אמור להגיע מהשרתים בקצה העורפי שלכם.
משתמש צרכן למשלוחי Fleet `roles/fleetengine.deliveryConsumer`	התפקיד הזה מאפשר לחפש משימות באמצעות מזהה לצורכי מעקב, וגם לקרוא את פרטי המשימה, אבל לא לעדכן אותם. אסימונים שהונפקו על ידי שירות בדרך כלל משתמשים בחשבון עם התפקיד הזה בדפדפן אינטרנט.
משתמש נהג מהימן למסירה ב-Fleet Engine `roles/fleetengine.deliveryTrustedDriver`	מעניק הרשאה ליצור ולעדכן רכבי משלוח משימות, כולל עדכון המיקום וסטטוס המשימה של הרכב המסירה או לתוצאה אחרת. האסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה הם משמש בדרך כלל מהמכשירים הניידים של נהג המשלוח שלכם או בשרתים העורפיים. הערה: המונח 'מהימנות' מתייחס למכשיר של הנהג שמנוהל על ידי ב-IT של הארגון, שיש בו אמצעי בקרת אבטחה מתאימים. ארגונים לרהט את המכשירים האלה כדי לשלב אינטראקציות של Fleet Engine לאפליקציה לנייד.

אדמין מסירה של מנועי Fleet

roles/fleetengine.deliveryAdmin

התפקיד הזה מאפשר לקרוא ולכתוב למשאבי ההעברה. חשבונות משתמשים עם התפקיד הזה לא צריכים להשתמש באסימוני JWT, ובמקום זאת הם צריכים להשתמש Application Default Credentials. המערכת מתעלמת מהצהרות JWT מותאמות אישית. הזה צריך להיות מוגבל לסביבות מהימנות כמו שרתים משלכם.

בעל הרשאת קריאה של כלל המכשירים למסירה של Fleet Engine

roles/fleetengine.deliveryFleetReader

התפקיד הזה מאפשר לקרוא רכבים ומשימות למשלוחים, וגם לחפש משימות באמצעות מזהה לצורכי מעקב. אסימונים שהונפקו על ידי חשבון שירות בדרך כלל משתמשים בתפקיד הזה מתוך רשת האינטרנט של בדפדפן.

משתמש לא מהימן של נהג לא מהימן למסירה ב-Fleet Engine

roles/fleetengine.deliveryUntrustedDriver

התפקיד הזה מאפשר לעדכן את מיקום הרכב למשלוח. אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה, בדרך כלל משמשים מהמכשיר הנייד של נהג המשלוח.

הערה: המונח 'לא מהימן' מתייחס לנהג שלא מנוהל על ידי צוות ה-IT של הארגון, אלא שסופקו על ידי הנהג, ובדרך כלל ללא אבטחת IT מתאימה הפקדים בנגן. ארגונים עם מדיניות בנושא מכשירים אישיים צריכים לבחור לצורך שמירה על הבטיחות בתפקיד הזה, ואפשר להסתמך רק על האפליקציה לנייד כדי לשלוח עדכונים של מיקום כלי רכב ל-Fleet Engine. כל שאר האינטראקציות אמור להגיע מהשרתים בקצה העורפי שלכם.

משתמש צרכן למשלוחי Fleet

roles/fleetengine.deliveryConsumer

התפקיד הזה מאפשר לחפש משימות באמצעות מזהה לצורכי מעקב, וגם לקרוא את פרטי המשימה, אבל לא לעדכן אותם. אסימונים שהונפקו על ידי שירות בדרך כלל משתמשים בחשבון עם התפקיד הזה בדפדפן אינטרנט.

משתמש נהג מהימן למסירה ב-Fleet Engine

roles/fleetengine.deliveryTrustedDriver

מעניק הרשאה ליצור ולעדכן רכבי משלוח משימות, כולל עדכון המיקום וסטטוס המשימה של הרכב המסירה או לתוצאה אחרת. האסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה הם משמש בדרך כלל מהמכשירים הניידים של נהג המשלוח שלכם או בשרתים העורפיים.

הערה: המונח 'מהימנות' מתייחס למכשיר של הנהג שמנוהל על ידי ב-IT של הארגון, שיש בו אמצעי בקרת אבטחה מתאימים. ארגונים לרהט את המכשירים האלה כדי לשלב אינטראקציות של Fleet Engine לאפליקציה לנייד.

המאמרים הבאים

כדאי לקרוא על אסימוני JSON Web Tokens כדי להבין איך להשתמש בהם ב-Fleet Engine.