דף זה תורגם על ידי Cloud Translation API.

הגדרת IAM ותפקידי חשבון שירות

הגדרה נכונה של IAM היא חלק חיוני מאבטחת המערכת ומניהול הזהויות ב-Fleet Engine. אתם יכולים להשתמש בתפקידי IAM כדי לשנות את הגישה לפעולות ולנתונים השונים לפי הדרישות של הנהגים, הצרכנים ומנהלי צי הרכב.

מהם חשבונות שירות ותפקידי IAM?

אתם יכולים להגדיר חשבונות שירות ב-Google Cloud Console כדי לאמת ולאשר את הגישה לנתונים ב-Fleet Engine. ב-Fleet Engine יש קבוצה של תפקידי IAM מוגדרים מראש שאפשר להקצות לחשבון שירות כדי לקבוע לאילו נתונים החשבון יכול לגשת. לפרטים, עיינו בסקירה הכללית על חשבונות שירות במאמרי העזרה של Google Cloud.

תפקידי IAM וכללי המדיניות ב-‫Fleet Engine משמשים כדי לנהל את ההרשאות של ה-methods והמשאבים של ה-API במערכת. מידע נוסף זמין בסקירה הכללית של התפקידים במאמרי העזרה של Google Cloud. צריך להשתמש רק בתפקידים בחשבון השירות של Fleet Engine שמתוארים בקטעים הבאים.

עוד מידע כללי זמין במאמר הענקת תפקידים ב-IAM באמצעות מסוף Google Cloud.

תפקידים בחשבון השירות ב-Fleet Engine

שירותי ההסעים שתבחרו בזמן ההתקנה של Fleet Engine הם שקובעים את התפקידים וההרשאות שנכללים בהתקנה.

ההרשאות פועלות עם התפקידים ב-Fleet Engine באופן הבא:

התפקידים ondemandAdmin ו-deliveryAdmin יכולים לבצע את כל הפעולות ב-Fleet Engine. מומלץ להשתמש בתפקידים האלה רק בסביבות מהימנות, כמו תקשורת בין שרת הבק-אנד לבין Fleet Engine.
התפקידים driverSdkUser ו-consumerSdkUser מורשים רק לקבל פרטים על נסיעות שהוקצו להם ולעדכן או לקבל את מיקום הרכב. בדרך כלל לקוחות משתמשים בסוגי התפקידים האלה בסביבות שרמת האמון בהן נמוכה, כמו אפליקציות של נהגים, צרכנים או אפליקציות לניטור.

התפקידים וההרשאות שניתנים לנסיעות על פי דרישה ולמשימות מתוזמנות מתוארים בטבלאות הבאות.

נסיעות על פי דרישה

תפקיד הרשאה

תפקיד	הרשאה
Fleet Engine On-demand Admin `roles/fleetengine.ondemandAdmin`	מעניק הרשאת קריאה, כתיבה ומחיקה לכל משאבי הרכבים והנסיעות. ישויות מורשות עם התפקיד הזה לא צריכות להשתמש ב-JWT. אם זה אפשרי, עדיף להשתמש ב-Application Default Credentials. התפקיד הזה מתעלם ממידע מותאם אישית מ-JWT. השתמשו בתפקיד הזה רק בסביבות מהימנות, כמו שרת בק-אנד.
Fleet Engine Driver SDK User `roles/fleetengine.driverSdkUser`	בעלי התפקיד הזה יכולים לעדכן מיקומי כלי רכב ומסלולים, ולאחזר מידע על כלי רכב ונסיעות. השתמשו במידע מותאם אישית מ-JWT שנוצר באמצעות התפקיד הזה לצורך אימות והרשאה מאפליקציות נהגים לשיתוף נסיעות או למשלוחים.
Fleet Engine Consumer SDK User `roles/fleetengine.consumerSdkUser`	חיפוש רכבים ואחזור מידע על רכבים ועל נסיעות. השתמשו במידע מותאם אישית מ-JWT שנוצר באמצעות התפקיד הזה באפליקציות לצרכנים של שיתוף נסיעות או משלוחים.

Fleet Engine On-demand Admin

roles/fleetengine.ondemandAdmin

מעניק הרשאת קריאה, כתיבה ומחיקה לכל משאבי הרכבים והנסיעות. ישויות מורשות עם התפקיד הזה לא צריכות להשתמש ב-JWT. אם זה אפשרי, עדיף להשתמש ב-Application Default Credentials. התפקיד הזה מתעלם ממידע מותאם אישית מ-JWT. השתמשו בתפקיד הזה רק בסביבות מהימנות, כמו שרת בק-אנד.

Fleet Engine Driver SDK User

roles/fleetengine.driverSdkUser

בעלי התפקיד הזה יכולים לעדכן מיקומי כלי רכב ומסלולים, ולאחזר מידע על כלי רכב ונסיעות. השתמשו במידע מותאם אישית מ-JWT שנוצר באמצעות התפקיד הזה לצורך אימות והרשאה מאפליקציות נהגים לשיתוף נסיעות או למשלוחים.

Fleet Engine Consumer SDK User

roles/fleetengine.consumerSdkUser

חיפוש רכבים ואחזור מידע על רכבים ועל נסיעות. השתמשו במידע מותאם אישית מ-JWT שנוצר באמצעות התפקיד הזה באפליקציות לצרכנים של שיתוף נסיעות או משלוחים.

משימות מתוזמנות

תפקיד הרשאה

תפקיד	הרשאה
Fleet Engine Delivery Admin `roles/fleetengine.deliveryAdmin`	מעניק הרשאת קריאה, כתיבה ומחיקה למשאבי משלוחים. חשבונות משתמש עם התפקיד הזה לא צריכים להשתמש ב-JWT, אלא ב-Application Default Credentials. התפקיד מתעלם ממידע מותאם אישית מ-JWT. מומלץ להגביל את השימוש בתפקיד הזה לסביבות מהימנות, כמו שרת הבק-אנד שלכם.
Fleet Engine Delivery Fleet Reader `roles/fleetengine.deliveryFleetReader`	מעניק הרשאה לקרוא נתונים של כלי רכב ומשימות שקשורים למשלוחים ולחפש משימות באמצעות מזהה מעקב. טוקנים שמונפקים על ידי חשבון שירות עם התפקיד הזה משמשים בדרך כלל מדפדפן אינטרנט של מפעיל צי משלוחים.
Fleet Engine Delivery Untrusted Driver User `roles/fleetengine.deliveryUntrustedDriver`	נותן הרשאה לעדכן את המיקום של רכב המשלוחים. טוקנים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים בדרך כלל במכשיר הנייד של נהג המשלוחים. הערה: הביטוי Untrusted (לא מהימן) מתייחס למכשיר של נהג שלא מנוהל על ידי מחלקת ה-IT של החברה, אלא מסופק על ידי הנהג ובדרך כלל ללא אמצעי בקרה מתאימים לאבטחת IT. ארגונים עם מדיניות Bring Your Own Device ‏(BYOD) צריכים לבחור באפשרות הזו כדי לשמור על בטיחות התפקיד ולהסתמך רק על האפליקציה לנייד כדי לשלוח עדכונים על מיקום הרכב ל-Fleet Engine. כל האינטראקציות האחרות צריכות להגיע משרתי הבק-אנד.
Fleet Engine Delivery Consumer User `roles/fleetengine.deliveryConsumer`	ההרשאה מאפשרת לחפש משימות באמצעות מזהה מעקב, ולקרוא את פרטי המשימה אבל לא לעדכן אותם. בדרך כלל, נעשה שימוש בטוקנים שהונפקו על ידי חשבון שירות עם התפקיד הזה מדפדפן אינטרנט של צרכן משלוחים.
Fleet Engine Delivery Trusted Driver User `roles/fleetengine.deliveryTrustedDriver`	התפקיד הזה מאפשר ליצור ולעדכן כלי רכב למשלוחים ומשימות, כולל עדכון המיקום של כלי הרכב למשלוחים והסטטוס או התוצאה של המשימה. בדרך כלל, נעשה שימוש בטוקנים שהונפקו על ידי חשבון שירות עם התפקיד הזה ממכשירים ניידים של נהגי המשלוחים או משרתי הבק-אנד. הערה: הביטוי Trusted (מהימן) מתייחס למכשיר של נהג שמנוהל על ידי מחלקת ה-IT של החברה, ושמוגדרים בו אמצעי אבטחה מתאימים. ארגונים שמספקים את המכשירים האלה יכולים לבחור לשלב אינטראקציות עם Fleet Engine באפליקציה לנייד.

Fleet Engine Delivery Admin

roles/fleetengine.deliveryAdmin

מעניק הרשאת קריאה, כתיבה ומחיקה למשאבי משלוחים. חשבונות משתמש עם התפקיד הזה לא צריכים להשתמש ב-JWT, אלא ב-Application Default Credentials. התפקיד מתעלם ממידע מותאם אישית מ-JWT. מומלץ להגביל את השימוש בתפקיד הזה לסביבות מהימנות, כמו שרת הבק-אנד שלכם.

Fleet Engine Delivery Fleet Reader

roles/fleetengine.deliveryFleetReader

מעניק הרשאה לקרוא נתונים של כלי רכב ומשימות שקשורים למשלוחים ולחפש משימות באמצעות מזהה מעקב. טוקנים שמונפקים על ידי חשבון שירות עם התפקיד הזה משמשים בדרך כלל מדפדפן אינטרנט של מפעיל צי משלוחים.

Fleet Engine Delivery Untrusted Driver User

roles/fleetengine.deliveryUntrustedDriver

נותן הרשאה לעדכן את המיקום של רכב המשלוחים. טוקנים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים בדרך כלל במכשיר הנייד של נהג המשלוחים.

הערה: הביטוי Untrusted (לא מהימן) מתייחס למכשיר של נהג שלא מנוהל על ידי מחלקת ה-IT של החברה, אלא מסופק על ידי הנהג ובדרך כלל ללא אמצעי בקרה מתאימים לאבטחת IT. ארגונים עם מדיניות Bring Your Own Device ‏(BYOD) צריכים לבחור באפשרות הזו כדי לשמור על בטיחות התפקיד ולהסתמך רק על האפליקציה לנייד כדי לשלוח עדכונים על מיקום הרכב ל-Fleet Engine. כל האינטראקציות האחרות צריכות להגיע משרתי הבק-אנד.

Fleet Engine Delivery Consumer User

roles/fleetengine.deliveryConsumer

ההרשאה מאפשרת לחפש משימות באמצעות מזהה מעקב, ולקרוא את פרטי המשימה אבל לא לעדכן אותם. בדרך כלל, נעשה שימוש בטוקנים שהונפקו על ידי חשבון שירות עם התפקיד הזה מדפדפן אינטרנט של צרכן משלוחים.

Fleet Engine Delivery Trusted Driver User

roles/fleetengine.deliveryTrustedDriver

התפקיד הזה מאפשר ליצור ולעדכן כלי רכב למשלוחים ומשימות, כולל עדכון המיקום של כלי הרכב למשלוחים והסטטוס או התוצאה של המשימה. בדרך כלל, נעשה שימוש בטוקנים שהונפקו על ידי חשבון שירות עם התפקיד הזה ממכשירים ניידים של נהגי המשלוחים או משרתי הבק-אנד.

הערה: הביטוי Trusted (מהימן) מתייחס למכשיר של נהג שמנוהל על ידי מחלקת ה-IT של החברה, ושמוגדרים בו אמצעי אבטחה מתאימים. ארגונים שמספקים את המכשירים האלה יכולים לבחור לשלב אינטראקציות עם Fleet Engine באפליקציה לנייד.

איך משתמשים בתפקידי IAM ובחשבונות שירות עם Fleet Engine

כדי להשתמש בחשבונות שירות לצורך אימות והרשאה ב-Fleet Engine, פועלים לפי השלבים הכלליים הבאים:

יוצרים חשבונות שירות במסוף Google Cloud לכל תפקיד שצריך. אתם צריכים חשבונות שירות כדי לאמת אפליקציות ואתרי אינטרנט של נהגים, צרכנים, מעקב אחר צי רכבים וניהול צי רכבים – כל תוכנה שזקוקה לגישה לנתונים של Fleet Engine. תוכנות שזקוקות לאותן הרשאות יכולות להשתמש באותו חשבון שירות.
מקצים תפקיד במדיניות IAM של Fleet Engine לכל חשבון שירות. בוחרים את תפקיד מדיניות ה-IAM שספציפית ל-Fleet Engine שמספק את ההרשאות המתאימות לגישה עו לעדכון נתונים במערכת.
משתמשים בחשבונות השירות המתאימים באפליקציות ובתוכנות כדי לאמת את החיבור שלהם ל-Fleet Engine, ולאשר גישה למשאבים שניתנו על ידי התפקיד שהוקצה.

כדי לדעת איך תפקידים של חשבונות שירות משתלבים באבטחה של Fleet Engine, קראו את הסקירה הכללית על אבטחה. הסבר מלא על תפקידים של חשבונות שירות זמין במאמר על תפקידים ב-IAM במאמרי העזרה של Google Cloud.

המאמרים הבאים

כדאי לקרוא על טוקנים של JSON Web כדי להבין איך משתמשים בהם ב-Fleet Engine.
סקירה כללית על האבטחה ב-Fleet Engine
הסבר מלא על התפקידים של חשבונות שירות במסוף Google Cloud זמין במאמר בנושא תפקידים ב-IAM.