サービス アカウントのロールは、Google Cloud のセキュリティと ID 管理の Fleet Engine システムに接続できますこれらのロールを使用すると、組織、フォルダ、 ドライバー、消費者、フリートの要件を満たすために あります。
サービス アカウントとは
サービス アカウントは、認証に使用する Google Cloud コンソール アカウントです。 Fleet Engine 内のデータへのアクセスを承認します。Fleet Engine には一連の サービス アカウントに割り当てる一連の事前定義された IAM ポリシー ロールを どのデータへのアクセスを許可するかを指定できます
Fleet Engine サービス アカウントのロール
Fleet Engine のインストールに選択したモビリティ サービスによって、 含まれているロールと権限を管理できます。
次のロールは、Fleet Engine のロールで権限がどのように機能するかを示しています。
ondemandAdmin と deliveryAdmin のロールは、すべての操作を実行できます。 Fleet Engine で行えますこれらのロールは、次のような信頼できる環境でのみ使用してください。 バックエンド サーバーと Fleet Engine 間の通信に最適です。
driverSdkUser ロールと consumerSdkUser ロールは、 割り当てられたルートの詳細の取得、車両の更新または受信を行えること あります。この種のロールは、クラウド コンピューティング モデル ドライバ、コンシューマ、モニタリング アプリなど、信頼性の低い環境。
オンデマンドの賃走と予定されたタスクに対して付与されるロールと権限は次のとおりです。 次の表の説明をご覧ください。
オンデマンドの賃走
ロール | 権限 |
---|---|
Fleet Engine On-demand 管理者
|
すべての車両とルートに対する読み取りと書き込みの権限を付与します 説明します。このロールを持つプリンシパルは JWT を使用する必要はありません。また、 可能な限り、アプリケーションのデフォルト認証情報を使用してください。 このロールは、カスタム JWT クレームを無視します。このロールの使用制限 バックエンドサーバーなどの信頼できる環境に ルーティングできます |
Fleet Engine Driver SDK ユーザー
|
車両の位置とルートを更新し、情報を取得する 分析できますカスタム クレームで JWT を使用する ドライバーアプリから認証と認可を行うこのロールは、 配車サービスも提供しています |
Fleet Engine Consumer SDK ユーザー
|
車両を検索し、車両に関する情報を取得できます。 移動しますこのロールで作成されたカスタム クレームで JWT を使用する 消費者向けライドシェアリングや配達用アプリ |
スケジュール設定されたタスク
ロール | 権限 |
---|---|
Fleet Engine Delivery 管理者
|
配信リソースに対する読み取り / 書き込み権限を付与します。 このロールを持つプリンシパルは JWT を使用する必要がないため、代わりに JWT を使用する必要があります アプリケーションのデフォルト認証情報。JWT カスタム クレームは無視されます。制限 バックエンド サーバーなどの信頼できる環境にこのロールを付与できます。 |
Fleet Engine Delivery フリート リーダー
|
配達車両とタスクの読み取り、および トラッキング ID を使ってタスクを検索できます。サービス アカウントによって発行されたトークン このロールは、通常は配達フリート オペレーターのウェブアプリから アクセスできます。 |
Fleet Engine Delivery の信頼されていないドライバ ユーザー
|
配達車両の位置情報を更新する権限を付与します。トークン サービス アカウントによって発行されたこのロールは、通常は 配送ドライバーのモバイルデバイスで 注: 信頼できないとは、 会社の IT 部門に管理されずに、管理者の権限を ドライバーから通知されるもので、通常は適切な IT セキュリティがない できます。BYOD(Bring Your Own Device)ポリシーを使用している組織では、 安全を確保したうえで、モバイルアプリによる 車両位置情報の更新を Fleet Engine に 送信しましたその他すべてのインタラクション バックエンドサーバーから 開始する必要があります |
Fleet Engine Delivery の一般ユーザー
|
トラッキング ID を使用してタスクを検索する権限を付与します。また、 タスク情報を読み取り、更新することはできません。サービスによって発行されたトークン このロールを持つアカウントは通常、デリバリー コンシューマ アクセスできます。 |
Fleet Engine Delivery の信頼されているドライバ ユーザー
|
配達車両を作成および更新する権限を付与します 配送車両の位置情報やタスク ステータスの更新を含む 決定できますこのロールを持つサービス アカウントによって発行されたトークンは、 配達ドライバーのモバイル デバイスから使用したり、 バックエンドサーバーと通信します 注: 信頼済みとは、管理者によって管理されているドライバーのデバイスのことを指します。 適切なセキュリティ管理を行っている企業の IT 担当者。組織が これらのデバイスで Fleet Engine インタラクションの統合を モバイルアプリに統合します |
Fleet Engine でサービス アカウントを使用する方法
Fleet Engine で認証と認可にサービス アカウントを使用するには、 一般的な手順は次のとおりです。
Google Cloud コンソールで、目的のロールごとにサービス アカウントを作成します。 できます。ドライバ、コンシューマ、サービス アカウントを認証するには フリートのモニタリング、フリート管理アプリケーションとウェブサイトなど、 Fleet Engine データにアクセスする必要があるソフトウェアです。アプリケーションに必要な 同じ権限で同じサービス アカウントを使用できます。
各サービス アカウントに Fleet Engine のロールを割り当てる。フリートの選択 適切なアクセス権や IAM ポリシー権限を付与するとともに、 Fleet Engine でデータを更新します。
アプリとソフトウェアで適切なサービス アカウントを使用して、以下を行います。 Fleet Engine への接続を認証し、サービス アカウントの リソースが含まれています。
Fleet Engine のセキュリティにおけるサービス アカウント ロールの位置付けについて詳しくは、以下をご覧ください。 セキュリティの概要。サービス アカウントの詳しい説明については、 Google Cloud ドキュメントの IAM ロールについてをご覧ください。
次のステップ
- Fleet Engine での使用については、JSON Web Token をご覧ください。
- Fleet Engine のセキュリティの概要については、セキュリティ 概要をご覧ください。
- Google Cloud コンソールのサービス アカウントのロールの詳細については、以下をご覧ください。 IAM ロールについて