このページは Cloud Translation API によって翻訳されました。

サービスアカウントのロール

サービスアカウントロールは、サービスアカウントキーのセキュリティと ID の重要な管理をさまざまなオペレーションや表示方法をドライバー、消費者、フリートオペレーターに提供します。

サービスアカウントとは

クライアントアプリケーションによる Fleet Engine 内のデータへのアクセスを管理するには、サービスアカウントを提供します。このアカウントは、サービスアカウントによって ロールを使用するよりも、 ID メカニズムを使用します。システムのデータにアクセスするユーザーは、これにより、この権限は、このアカウントロールを使用する特定の目的に適切と判断される部分を排除します。このタイプのスコープの制限は、最小権限の原則ユーザーに付与します。

サービスアカウントのロールの詳細については、 Google Cloud ドキュメントの IAM ロールについて。

サービスアカウントのロールは Fleet Engine でどのように機能しますか？

IAM ロールは、特定のリソースに対して許可される一連のあります。たとえば、管理者のロールでは、アプリケーションのデフォルト認証情報。信頼できないドライバのロールは車両の位置情報の更新が許可されています。また、JWT の使用のみが許可されています。認証と認可の 2 つがあります。
スマートフォンやウェブブラウザなどの信頼できない環境の場合は、JWT 申請を行うエンティティのみに、追加の制限を適用する操作できる可能性があります。たとえば、特定の車両、ルート、タスクなどです。
信頼性の低い環境で実行するコードは、最初にコードを呼び出す必要がある JWT を発行する信頼できる環境で実行しているとき。
Fleet Engine は、サービスの API 呼び出しに対して次のセキュリティチェックを実行します。 resource:
1. 呼び出し元プリンシパルに（ロールを通じて）適切な権限が付与されている割り当てなど）。
2. 管理者以外のロールの場合、リクエストで渡される JWT クレームに許可する必要があります。

詳細については、JSON Web Token をご覧ください。

Fleet Engine サービスアカウントのロール

Fleet Engine のインストールでは、選択したモビリティサービスに基づいてロールと権限を宣言します。

オンデマンドの賃走

ロール権限

ロール	権限
Fleet Engine On-demand 管理者 `roles/fleetengine.ondemandAdmin`	すべての車両とルートに対する読み取りと書き込みの権限を付与します説明します。このロールを持つプリンシパルは JWT を使用する必要はありません。また、アプリケーションのデフォルト認証情報を使用してください。カスタム設定を無視 JWT クレーム。このロールは、信頼できる環境に限定する必要があります独自のサーバーなどにアタッチします一部の Fleet Engine ユーザーには、フリートエンジンサービススーパーユーザーのロールですが、これは非推奨になりました。
Fleet Engine Driver SDK ユーザー `roles/fleetengine.driverSdkUser`	車両の位置とルートを更新し、情報を取得する分析できますトークンは通常、ライドシェアリングで使用されていますドライバー向けアプリです
Fleet Engine Consumer SDK ユーザー `roles/fleetengine.consumerSdkUser`	車両を検索し、車両に関する情報を取得します収集します。トークンは通常、ライドシェアリングや配達で利用される一般ユーザー向けアプリ

Fleet Engine On-demand 管理者

roles/fleetengine.ondemandAdmin

すべての車両とルートに対する読み取りと書き込みの権限を付与します説明します。このロールを持つプリンシパルは JWT を使用する必要はありません。また、アプリケーションのデフォルト認証情報を使用してください。カスタム設定を無視 JWT クレーム。このロールは、信頼できる環境に限定する必要があります独自のサーバーなどにアタッチします

一部の Fleet Engine ユーザーには、フリートエンジンサービススーパーユーザーのロールですが、これは非推奨になりました。

Fleet Engine Driver SDK ユーザー

roles/fleetengine.driverSdkUser

車両の位置とルートを更新し、情報を取得する分析できますトークンは通常、ライドシェアリングで使用されていますドライバー向けアプリです

Fleet Engine Consumer SDK ユーザー

roles/fleetengine.consumerSdkUser

車両を検索し、車両に関する情報を取得します収集します。トークンは通常、ライドシェアリングや配達で利用される一般ユーザー向けアプリ

スケジュール設定されたタスク

ロール権限

ロール	権限
Fleet Engine Delivery 管理者 `roles/fleetengine.deliveryAdmin`	配信リソースに対する読み取り / 書き込み権限を付与します。このロールを持つプリンシパルは JWT を使用する必要がないため、代わりに JWT を使用する必要がありますアプリケーションのデフォルト認証情報。カスタム JWT クレームは無視されます。このなどの信頼できる環境のみに制限すべきです。独自のサーバーを作成できます
Fleet Engine Delivery フリートリーダー `roles/fleetengine.deliveryFleetReader`	配達車両とタスクの読み取り、およびトラッキング ID を使ってタスクを検索できます。サービスアカウントによって発行されたトークンこのロールは、通常は配達フリートオペレーターのウェブデバイスからできます。
Fleet Engine Delivery の信頼されていないドライバユーザー `roles/fleetengine.deliveryUntrustedDriver`	配達車両の位置情報を更新する権限を付与します。トークンサービスアカウントによって発行されたこのロールは、通常は配送ドライバーのモバイルデバイスで注: 信頼できないとは、会社の IT 部門に管理されずに、管理者の権限をドライバーから通知されるもので、通常は適切な IT セキュリティがないできます。BYOD（Bring Your Own Device）ポリシーを使用している組織では、安全を確保したうえで、モバイルアプリによる車両位置情報の更新を Fleet Engine に送信しましたその他すべてのインタラクションバックエンドサーバーからのインスタンスが選択されます
Fleet Engine Delivery の一般ユーザー `roles/fleetengine.deliveryConsumer`	トラッキング ID を使用してタスクを検索する権限を付与します。また、タスク情報を読み取り、更新することはできません。サービスによって発行されたトークンこのロールを持つアカウントは通常、デリバリーコンシューマのアクセスできます。
Fleet Engine Delivery の信頼されているドライバユーザー `roles/fleetengine.deliveryTrustedDriver`	配達車両を作成および更新する権限を付与します配送車両の位置情報やタスクステータスの更新を含む決定できますこのロールを持つサービスアカウントによって発行されたトークンは、配達ドライバーのモバイルデバイスから使用したり、バックエンドサーバーと通信します注: 信頼済みとは、管理者によって管理されているドライバーのデバイスのことを指します。適切なセキュリティ管理を行っている企業の IT 担当者。組織がこれらのデバイスで Fleet Engine インタラクションの統合をモバイルアプリに統合します

Fleet Engine Delivery 管理者

roles/fleetengine.deliveryAdmin

配信リソースに対する読み取り / 書き込み権限を付与します。このロールを持つプリンシパルは JWT を使用する必要がないため、代わりに JWT を使用する必要がありますアプリケーションのデフォルト認証情報。カスタム JWT クレームは無視されます。このなどの信頼できる環境のみに制限すべきです。独自のサーバーを作成できます

Fleet Engine Delivery フリートリーダー

roles/fleetengine.deliveryFleetReader

配達車両とタスクの読み取り、およびトラッキング ID を使ってタスクを検索できます。サービスアカウントによって発行されたトークンこのロールは、通常は配達フリートオペレーターのウェブデバイスからできます。

Fleet Engine Delivery の信頼されていないドライバユーザー

roles/fleetengine.deliveryUntrustedDriver

配達車両の位置情報を更新する権限を付与します。トークンサービスアカウントによって発行されたこのロールは、通常は配送ドライバーのモバイルデバイスで

注: 信頼できないとは、会社の IT 部門に管理されずに、管理者の権限をドライバーから通知されるもので、通常は適切な IT セキュリティがないできます。BYOD（Bring Your Own Device）ポリシーを使用している組織では、安全を確保したうえで、モバイルアプリによる車両位置情報の更新を Fleet Engine に送信しましたその他すべてのインタラクションバックエンドサーバーからのインスタンスが選択されます

Fleet Engine Delivery の一般ユーザー

roles/fleetengine.deliveryConsumer

トラッキング ID を使用してタスクを検索する権限を付与します。また、タスク情報を読み取り、更新することはできません。サービスによって発行されたトークンこのロールを持つアカウントは通常、デリバリーコンシューマのアクセスできます。

Fleet Engine Delivery の信頼されているドライバユーザー

roles/fleetengine.deliveryTrustedDriver

配達車両を作成および更新する権限を付与します配送車両の位置情報やタスクステータスの更新を含む決定できますこのロールを持つサービスアカウントによって発行されたトークンは、配達ドライバーのモバイルデバイスから使用したり、バックエンドサーバーと通信します

注: 信頼済みとは、管理者によって管理されているドライバーのデバイスのことを指します。適切なセキュリティ管理を行っている企業の IT 担当者。組織がこれらのデバイスで Fleet Engine インタラクションの統合をモバイルアプリに統合します

次のステップ

Fleet Engine での使用については、JSON Web Token をご覧ください。

サービス アカウントのロール

サービス アカウントとは

サービス アカウントのロールは Fleet Engine でどのように機能しますか？

Fleet Engine サービス アカウントのロール