Esta página foi traduzida pela API Cloud Translation.

Papéis da conta de serviço

Os papéis da conta de serviço são essenciais para o gerenciamento e permitem adaptar diferentes operações e exibir dados diferentes para motoristas, consumidores e operadores de frotas.

O que é uma conta de serviço?

Para gerenciar o acesso aos dados no Fleet Engine para aplicativos clientes, fornecer contas de serviço, que autenticam a atividade do software por um função predefinida em vez de autenticar usuários mecanismo de identidade do usuário. Os usuários que acessam dados de seu sistema o fazem por meio de um que usa essa função na conta, que limita a permissão apenas aos partes do sistema consideradas adequadas para uma finalidade específica. Esse tipo de de escopo se baseia no conceito do princípio do menor privilégio.

Para uma explicação completa dos papéis de conta de serviço, consulte Noções básicas sobre os papéis do IAM na documentação do Google Cloud.

Como os papéis da conta de serviço funcionam no Fleet Engine?

Os papéis do IAM definem um conjunto de permissões nos recursos permitidos para uma principal. Por exemplo, os papéis de administrador têm permissão para fazer tudo com Application Default Credentials, enquanto a função Driver não confiável é apenas tem permissão para atualizar a localização do veículo e está restrito ao uso de JWTs para autenticação e autorização.
Para ambientes não confiáveis, como celulares e navegadores da Web, o JWT declarações fornecem restrições adicionais somente às entidades sobre o qual o autor da chamada possa operar. Eles podem ser para viagens, tarefas ou veículos específicos.
O código em execução em um ambiente de baixa confiança precisa primeiro chamar seu código em um ambiente confiável que emite o JWT.
O Fleet Engine executa as seguintes verificações de segurança nas chamadas de API para um recurso:
1. O principal de chamada tem as permissões apropriadas (pelo papel atribuição) para a ação no recurso.
2. Para papéis não administradores, as declarações JWT transmitidas na solicitação fornecem o a permissão necessária para o recurso.

Para mais informações, consulte JSON Web Tokens.

Papéis da conta de serviço do Fleet Engine

Com base no serviço de mobilidade escolhido, a instalação do Fleet Engine usa os papéis e as permissões descritos a seguir.

Viagens sob demanda

Papel Permissão

Papel	Permissão
Administrador sob demanda do Fleet Engine `roles/fleetengine.ondemandAdmin`	Concede permissão de leitura e gravação para todos os veículos e viagens do Google Cloud. Os principais com esse papel não precisam usar JWTs e use o Application Default Credentials. Ignora a personalização Declarações JWT. Este papel precisa ser restrito a ambientes confiáveis como seu próprio servidor. Alguns usuários do Fleet Engine ainda podem ver o papel de Superusuário do serviço do Fleet Engine, mas ele foi descontinuado.
Usuário do SDK do driver Fleet Engine `roles/fleetengine.driverSdkUser`	Atualizar locais e trajetos de veículos e recuperar informações sobre veículos e viagens. Os tokens normalmente são usados no serviço de transporte por aplicativo ou apps para entregadores.
Usuário do SDK do consumidor do Fleet Engine `roles/fleetengine.consumerSdkUser`	Pesquisar veículos e recuperar informações sobre eles e viagens. Os tokens normalmente são usados em serviços de transporte por aplicativo ou entrega aplicativos para o consumidor.

Administrador sob demanda do Fleet Engine

roles/fleetengine.ondemandAdmin

Concede permissão de leitura e gravação para todos os veículos e viagens do Google Cloud. Os principais com esse papel não precisam usar JWTs e use o Application Default Credentials. Ignora a personalização Declarações JWT. Este papel precisa ser restrito a ambientes confiáveis como seu próprio servidor.

Alguns usuários do Fleet Engine ainda podem ver o papel de Superusuário do serviço do Fleet Engine, mas ele foi descontinuado.

Usuário do SDK do driver Fleet Engine

roles/fleetengine.driverSdkUser

Atualizar locais e trajetos de veículos e recuperar informações sobre veículos e viagens. Os tokens normalmente são usados no serviço de transporte por aplicativo ou apps para entregadores.

Usuário do SDK do consumidor do Fleet Engine

roles/fleetengine.consumerSdkUser

Pesquisar veículos e recuperar informações sobre eles e viagens. Os tokens normalmente são usados em serviços de transporte por aplicativo ou entrega aplicativos para o consumidor.

Tarefas agendadas

Papel Permissão

Papel	Permissão
Administrador de entrega do Fleet Engine `roles/fleetengine.deliveryAdmin`	Concede permissão de leitura e gravação para recursos de entrega. Os principais com esse papel não precisam usar JWTs e precisam usar Application Default Credentials. As declarações JWT personalizadas são ignoradas. Isso de rede deve ser restrita a ambientes confiáveis, como próprios servidores.
Leitor de frota de entrega do Fleet Engine `roles/fleetengine.deliveryFleetReader`	Concede permissão para ler tarefas e veículos de entrega e para pesquisar tarefas usando um ID de acompanhamento. Tokens emitidos por uma conta de serviço com esse papel costumam ser usados no navegador da Web de um navegador.
Usuário de driver não confiável de entrega do Fleet Engine `roles/fleetengine.deliveryUntrustedDriver`	Concede permissão para atualizar o local do veículo de entrega. Tokens emitidos por uma conta de serviço com esse papel normalmente são usados o dispositivo móvel do motorista. Observação: "não confiável" é um do motorista, que não é gerenciado pela TI corporativa, fornecida pelo motorista e, normalmente, sem a devida segurança de TI controles de segurança. As organizações com políticas do tipo "Traga seu próprio dispositivo" precisam ativar para a segurança dessa função e confiar apenas no aplicativo móvel para enviar atualizações de localização de veículos no Fleet Engine. Todas as outras interações devem se originar dos servidores de back-end.
Usuário consumidor de entrega do Fleet Engine `roles/fleetengine.deliveryConsumer`	Concede permissão para pesquisar tarefas usando um ID de acompanhamento e para ler, mas não atualizar, as informações da tarefa. Tokens emitidos por um serviço conta com esse papel são normalmente usadas no serviço de entrega navegador da Web.
Usuário motorista confiável de entrega do Fleet Engine `roles/fleetengine.deliveryTrustedDriver`	Concede permissão para criar e atualizar veículos de entrega e tarefas, incluindo a atualização do local do veículo de entrega e do status da tarefa ou resultado. Os tokens emitidos por uma conta de serviço com esse papel são geralmente são usados nos dispositivos móveis do motorista ou no nos servidores de back-end. Observação: "Confiável" se refere ao dispositivo de um motorista gerenciado pelo TI corporativa que tenha controles de segurança adequados. Organizações que móveis, esses dispositivos podem optar por integrar as interações do Fleet Engine no app para dispositivos móveis.

Administrador de entrega do Fleet Engine

roles/fleetengine.deliveryAdmin

Concede permissão de leitura e gravação para recursos de entrega. Os principais com esse papel não precisam usar JWTs e precisam usar Application Default Credentials. As declarações JWT personalizadas são ignoradas. Isso de rede deve ser restrita a ambientes confiáveis, como próprios servidores.

Leitor de frota de entrega do Fleet Engine

roles/fleetengine.deliveryFleetReader

Concede permissão para ler tarefas e veículos de entrega e para pesquisar tarefas usando um ID de acompanhamento. Tokens emitidos por uma conta de serviço com esse papel costumam ser usados no navegador da Web de um navegador.

Usuário de driver não confiável de entrega do Fleet Engine

roles/fleetengine.deliveryUntrustedDriver

Concede permissão para atualizar o local do veículo de entrega. Tokens emitidos por uma conta de serviço com esse papel normalmente são usados o dispositivo móvel do motorista.

Observação: "não confiável" é um do motorista, que não é gerenciado pela TI corporativa, fornecida pelo motorista e, normalmente, sem a devida segurança de TI controles de segurança. As organizações com políticas do tipo "Traga seu próprio dispositivo" precisam ativar para a segurança dessa função e confiar apenas no aplicativo móvel para enviar atualizações de localização de veículos no Fleet Engine. Todas as outras interações devem se originar dos servidores de back-end.

Usuário consumidor de entrega do Fleet Engine

roles/fleetengine.deliveryConsumer

Concede permissão para pesquisar tarefas usando um ID de acompanhamento e para ler, mas não atualizar, as informações da tarefa. Tokens emitidos por um serviço conta com esse papel são normalmente usadas no serviço de entrega navegador da Web.

Usuário motorista confiável de entrega do Fleet Engine

roles/fleetengine.deliveryTrustedDriver

Concede permissão para criar e atualizar veículos de entrega e tarefas, incluindo a atualização do local do veículo de entrega e do status da tarefa ou resultado. Os tokens emitidos por uma conta de serviço com esse papel são geralmente são usados nos dispositivos móveis do motorista ou no nos servidores de back-end.

Observação: "Confiável" se refere ao dispositivo de um motorista gerenciado pelo TI corporativa que tenha controles de segurança adequados. Organizações que móveis, esses dispositivos podem optar por integrar as interações do Fleet Engine no app para dispositivos móveis.

A seguir

Leia sobre os JSON Web Tokens para entender como eles são usados no Fleet Engine.