Os papéis da conta de serviço são uma parte essencial do gerenciamento de identidade e o sistema do Fleet Engine. Esses papéis permitem personalizar o acesso a diferentes operações e dados para atender aos requisitos dos motoristas, consumidores e frotas operadores.
O que é uma conta de serviço?
As contas de serviço são contas do Console do Google Cloud que você usa para autenticar e autorizar o acesso a dados no Fleet Engine. O Fleet Engine tem um conjunto de papéis de política do IAM predeterminados que você atribui a uma conta de serviço para determinar a quais dados essa conta tem acesso.
Papéis da conta de serviço do Fleet Engine
O serviço de mobilidade escolhido para a instalação do Fleet Engine determina as funções e permissões incluídas.
Os papéis a seguir ilustram como as permissões funcionam com os papéis do Fleet Engine:
Os papéis ondemandAdmin e deliveryAdmin podem realizar todas as operações no Fleet Engine. Use esses papéis apenas em ambientes confiáveis, como comunicações entre o servidor de back-end e o Fleet Engine.
Os papéis driverSdkUser e consumerSdkUser são apenas permissão para acessar detalhes de viagens atribuídas e atualizar ou receber veículos o local. Esses tipos de papéis normalmente usados por clientes em ambientes de baixa confiança, como apps de motoristas, consumidores ou monitoramento.
Os papéis e as permissões concedidos a viagens sob demanda e tarefas programadas são descritos nas tabelas a seguir.
Viagens sob demanda
Papel | Permissão |
---|---|
Administrador sob demanda do Fleet Engine
|
Concede permissão de leitura e gravação para todos os recursos de veículos e viagens. Os principais com esse papel não precisam usar JWTs e use o Application Default Credentials sempre que possível. Esse papel ignora as declarações JWT personalizadas. Restrinja o uso dessa função a ambientes confiáveis, como o servidor de back-end. |
Usuário do SDK do driver Fleet Engine
|
Atualizar locais e trajetos de veículos e recuperar informações sobre veículos e viagens. Use JWTs com declarações personalizadas criadas com essa função para autenticação e autorização de apps de motorista para transporte ou entrega. |
Usuário do SDK do consumidor do Fleet Engine
|
Pesquisar veículos e recuperar informações sobre veículos e viagens. Use JWTs com declarações personalizadas criadas com essa função para apps de consumo para compartilhamento de viagens ou entrega. |
Tarefas agendadas
Papel | Permissão |
---|---|
Administrador de entrega do Fleet Engine
|
Concede permissão de leitura e gravação para recursos de entrega. Os principais usuários com essa função não precisam usar JWTs, e sim credenciais padrão do aplicativo. Ignora declarações JWT personalizadas. Restrinja o uso dessa função a ambientes confiáveis, como o servidor de back-end. |
Leitor de frota do Fleet Engine Delivery
|
Concede permissão para ler veículos de entrega e tarefas e pesquisar tarefas usando um ID de rastreamento. Os tokens emitidos por uma conta de serviço com essa função geralmente são usados no navegador da Web de um operador de frota de entrega. |
Usuário de driver não confiável de entrega do Fleet Engine
|
Concede permissão para atualizar o local do veículo de entrega. Os tokens emitidos por uma conta de serviço com essa função geralmente são usados no dispositivo móvel do motorista de entrega. Observação: "não confiável" é um do motorista, que não é gerenciado pela TI corporativa, fornecida pelo motorista e, normalmente, sem a devida segurança de TI controles de segurança. As organizações com políticas do tipo "Traga seu próprio dispositivo" precisam ativar para a segurança dessa função e confiar apenas no aplicativo móvel para enviar atualizações de localização de veículos no Fleet Engine. Todas as outras interações precisam ser originadas dos servidores de back-end. |
Usuário consumidor de entrega do Fleet Engine
|
Concede permissão para pesquisar tarefas usando um ID de rastreamento e para ler, mas não atualizar, informações de tarefas. Os tokens emitidos por uma conta de serviço com essa função geralmente são usados no navegador da Web de um consumidor de entrega. |
Usuário motorista confiável de entrega do Fleet Engine
|
Concede permissão para criar e atualizar veículos de entrega e tarefas, incluindo a atualização do local do veículo de entrega e do status da tarefa ou resultado. Os tokens emitidos por uma conta de serviço com esse papel são geralmente são usados nos dispositivos móveis do motorista ou no nos servidores de back-end. Observação: "Confiável" se refere ao dispositivo de um motorista gerenciado pelo TI corporativa que tenha controles de segurança adequados. As organizações que fornecem esses dispositivos podem integrar as interações do Fleet Engine ao app para dispositivos móveis. |
Como usar contas de serviço com o Fleet Engine
Para usar contas de serviço para autenticação e autorização no Fleet Engine, siga estas etapas gerais:
Crie contas de serviço no console do Google Cloud para cada papel que você precisam. Você precisa de contas de serviço para autenticar motoristas, consumidores, aplicativos de monitoramento e gerenciamento de frotas e sites, ou seja, qualquer software que precise de acesso aos dados do Fleet Engine. O software que precisa das mesmas permissões pode usar a mesma conta de serviço.
Atribua uma função do Fleet Engine a cada conta de serviço. Selecione o papel da política do IAM específico do Fleet Engine que fornece o acesso adequado ou atualize seus dados no Fleet Engine.
Use as contas de serviço apropriadas nos seus apps e software para autenticar a conexão com o Fleet Engine e autorizar o acesso ao de recursos concedidos pelo papel atribuído.
Para saber como os papéis da conta de serviço se encaixam na segurança do Fleet Engine, consulte Visão geral da segurança. Para uma explicação completa sobre contas de serviço consulte Noções básicas sobre os papéis do IAM na documentação do Google Cloud.
A seguir
- Leia sobre os tokens JSON da Web para entender como eles são usados no Fleet Engine.
- Para uma visão geral da segurança do Fleet Engine, consulte a Visão geral de segurança.
- Para uma explicação completa dos papéis da conta de serviço do Console do Google Cloud, consulte Como entender os papéis do IAM.