דף זה תורגם על ידי Cloud Translation API.

הגדרת IAM ותפקידי חשבון שירות

הגדרה נכונה של IAM היא חלק חיוני באבטחה ובניהול הזהויות של מערכת Fleet Engine. כדאי להשתמש בתפקידי IAM כדי להתאים את הגישה לפעולות ולנתונים שונים בהתאם לדרישות של הנהגים, הצרכנים ומנהלי הצי.

מהם חשבונות שירות ותפקידי IAM?

מגדירים חשבונות שירות ב-Google Cloud Console כדי לאמת את הגישה לנתונים ב-Fleet Engine ולאשר אותה. ל-Fleet Engine יש קבוצה של תפקידי IAM שמוגדרים מראש, שאותם מקצים לחשבון שירות כדי לקבוע לאילו נתונים יש לחשבון גישה. לפרטים, ראו סקירה כללית על חשבונות שירות במסמכי Google Cloud.

‫Fleet Engine משתמש בתפקידים ובמדיניות של IAM כדי לנהל את ההרשאות ל-methods ולמשאבים של Fleet Engine API. מידע נוסף זמין במאמר סקירה כללית של תפקידים במסמכי התיעוד של Google Cloud. צריך להשתמש רק בתפקידים בחשבון השירות של Fleet Engine שמתוארים בקטעים הבאים.

מידע כללי נוסף על הקצאת תפקידים ב-IAM זמין במאמר איך נותנים תפקידים ב-IAM באמצעות מסוף Google Cloud.

תפקידים של חשבון שירות ב-Fleet Engine

התפקידים וההרשאות שכלולים בהתקנה של Fleet Engine נקבעים לפי שירות הניידות שבוחרים.

התפקידים הבאים ממחישים איך הרשאות פועלות עם תפקידים ב-Fleet Engine:

התפקידים ondemandAdmin ו-deliveryAdmin יכולים לבצע את כל הפעולות ב-Fleet Engine. מומלץ להשתמש בתפקידים האלה רק בסביבות מהימנות, כמו תקשורת בין שרת הקצה העורפי לבין Fleet Engine.
התפקידים driverSdkUser ו-consumerSdkUser מורשים רק לקבל פרטים על נסיעות שהוקצו להם ולעדכן או לקבל את מיקום הרכב. בדרך כלל לקוחות משתמשים בסוגים האלה של תפקידים בסביבות עם רמת אמון נמוכה, כמו אפליקציות של נהגים, צרכנים או אפליקציות לניטור.

התפקידים וההרשאות שניתנים לנסיעות לפי דרישה ולמשימות מתוזמנות מתוארים בטבלאות הבאות.

נסיעות על פי דרישה

תפקיד הרשאה

תפקיד	הרשאה
Fleet Engine On-demand Admin `roles/fleetengine.ondemandAdmin`	מעניק הרשאת קריאה, כתיבה ומחיקה לכל משאבי הרכבים והנסיעות. חשבונות משתמש עם התפקיד הזה לא צריכים להשתמש ב-JWT, ועדיף להשתמש ב-Application Default Credentials כשהדבר אפשרי. התפקיד הזה מתעלם מטענות (claims) של JWT בהתאמה אישית. מומלץ להגביל את השימוש בתפקיד הזה לסביבות מהימנות, כמו שרת הקצה העורפי.
משתמש ב-Fleet Engine Driver SDK `roles/fleetengine.driverSdkUser`	עדכון של מיקומי כלי רכב ומסלולים, ואחזור מידע על כלי רכב ונסיעות. משתמשים ב-JWT עם טענות בהתאמה אישית שנוצרו באמצעות התפקיד הזה לצורך אימות והרשאה מאפליקציות נהגים לשיתוף נסיעות או למשלוחים.
Fleet Engine Consumer SDK User `roles/fleetengine.consumerSdkUser`	חיפוש רכבים ואחזור מידע על רכבים ונסיעות. אפשר להשתמש ב-JWT עם טענות מותאמות אישית שנוצרו באמצעות התפקיד הזה באפליקציות לצרכנים של שיתוף נסיעות או משלוחים .

Fleet Engine On-demand Admin

roles/fleetengine.ondemandAdmin

מעניק הרשאת קריאה, כתיבה ומחיקה לכל משאבי הרכבים והנסיעות. חשבונות משתמש עם התפקיד הזה לא צריכים להשתמש ב-JWT, ועדיף להשתמש ב-Application Default Credentials כשהדבר אפשרי. התפקיד הזה מתעלם מטענות (claims) של JWT בהתאמה אישית. מומלץ להגביל את השימוש בתפקיד הזה לסביבות מהימנות, כמו שרת הקצה העורפי.

משתמש ב-Fleet Engine Driver SDK

roles/fleetengine.driverSdkUser

עדכון של מיקומי כלי רכב ומסלולים, ואחזור מידע על כלי רכב ונסיעות. משתמשים ב-JWT עם טענות בהתאמה אישית שנוצרו באמצעות התפקיד הזה לצורך אימות והרשאה מאפליקציות נהגים לשיתוף נסיעות או למשלוחים.

Fleet Engine Consumer SDK User

roles/fleetengine.consumerSdkUser

חיפוש רכבים ואחזור מידע על רכבים ונסיעות. אפשר להשתמש ב-JWT עם טענות מותאמות אישית שנוצרו באמצעות התפקיד הזה באפליקציות לצרכנים של שיתוף נסיעות או משלוחים .

משימות מתוזמנות

תפקיד הרשאה

תפקיד	הרשאה
Fleet Engine Delivery Admin `roles/fleetengine.deliveryAdmin`	מעניק הרשאת קריאה, כתיבה ומחיקה למשאבי מסירה. חשבונות משתמש עם התפקיד הזה לא צריכים להשתמש ב-JWT, אלא ב-Application Default Credentials. התעלמות מטענות JWT מותאמות אישית. הגבלת השימוש בתפקיד הזה לסביבות מהימנות כמו שרת הקצה העורפי.
Fleet Engine Delivery Fleet Reader `roles/fleetengine.deliveryFleetReader`	מעניק הרשאה לקרוא כלי רכב ומשימות של משלוחים ולחפש משימות באמצעות מזהה מעקב. אסימונים שמונפקים על ידי חשבון שירות עם התפקיד הזה משמשים בדרך כלל מדפדפן אינטרנט של מפעיל צי משלוחים.
Fleet Engine Delivery Untrusted Driver User `roles/fleetengine.deliveryUntrustedDriver`	ההרשאה מאפשרת לעדכן את המיקום של רכב המשלוחים. אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים בדרך כלל במכשיר הנייד של נהג המשלוחים. הערה: 'לא מהימן' מתייחס למכשיר של נהג שלא מנוהל על ידי מחלקת ה-IT של החברה, אלא מסופק על ידי הנהג ובדרך כלל ללא אמצעי בקרה מתאימים לאבטחת IT. ארגונים עם מדיניות 'הבאת מכשיר משלך' צריכים לבחור באפשרות הזו כדי לשמור על הבטיחות של התפקיד, ולהסתמך רק על האפליקציה לנייד כדי לשלוח עדכונים על מיקום הרכב ל-Fleet Engine. כל האינטראקציות האחרות צריכות להגיע משרתי הקצה העורפי.
משתמש צרכן ב-Fleet Engine Delivery `roles/fleetengine.deliveryConsumer`	ההרשאה מאפשרת לחפש משימות באמצעות מזהה מעקב, ולקרוא את פרטי המשימה אבל לא לעדכן אותם. בדרך כלל, נעשה שימוש באסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה מדפדפן אינטרנט של צרכן משלוחים.
Fleet Engine Delivery Trusted Driver User `roles/fleetengine.deliveryTrustedDriver`	התפקיד הזה מאפשר ליצור ולעדכן כלי רכב למשלוחים ומשימות, כולל עדכון המיקום של כלי הרכב למשלוחים והסטטוס או התוצאה של המשימה. בדרך כלל, נעשה שימוש בטוקנים שהונפקו על ידי חשבון שירות עם התפקיד הזה ממכשירים ניידים של נהגי משלוחים או משרתי קצה עורפי. הערה: 'מהימן' מתייחס למכשיר של נהג שמנוהל על ידי מחלקת ה-IT של החברה, ושמוגדרות בו אמצעי אבטחה מתאימים. ארגונים שמספקים את המכשירים האלה יכולים לבחור לשלב אינטראקציות עם Fleet Engine באפליקציה לנייד.

Fleet Engine Delivery Admin

roles/fleetengine.deliveryAdmin

מעניק הרשאת קריאה, כתיבה ומחיקה למשאבי מסירה. חשבונות משתמש עם התפקיד הזה לא צריכים להשתמש ב-JWT, אלא ב-Application Default Credentials. התעלמות מטענות JWT מותאמות אישית. הגבלת השימוש בתפקיד הזה לסביבות מהימנות כמו שרת הקצה העורפי.

Fleet Engine Delivery Fleet Reader

roles/fleetengine.deliveryFleetReader

מעניק הרשאה לקרוא כלי רכב ומשימות של משלוחים ולחפש משימות באמצעות מזהה מעקב. אסימונים שמונפקים על ידי חשבון שירות עם התפקיד הזה משמשים בדרך כלל מדפדפן אינטרנט של מפעיל צי משלוחים.

Fleet Engine Delivery Untrusted Driver User

roles/fleetengine.deliveryUntrustedDriver

ההרשאה מאפשרת לעדכן את המיקום של רכב המשלוחים. אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים בדרך כלל במכשיר הנייד של נהג המשלוחים.

הערה: 'לא מהימן' מתייחס למכשיר של נהג שלא מנוהל על ידי מחלקת ה-IT של החברה, אלא מסופק על ידי הנהג ובדרך כלל ללא אמצעי בקרה מתאימים לאבטחת IT. ארגונים עם מדיניות 'הבאת מכשיר משלך' צריכים לבחור באפשרות הזו כדי לשמור על הבטיחות של התפקיד, ולהסתמך רק על האפליקציה לנייד כדי לשלוח עדכונים על מיקום הרכב ל-Fleet Engine. כל האינטראקציות האחרות צריכות להגיע משרתי הקצה העורפי.

משתמש צרכן ב-Fleet Engine Delivery

roles/fleetengine.deliveryConsumer

ההרשאה מאפשרת לחפש משימות באמצעות מזהה מעקב, ולקרוא את פרטי המשימה אבל לא לעדכן אותם. בדרך כלל, נעשה שימוש באסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה מדפדפן אינטרנט של צרכן משלוחים.

Fleet Engine Delivery Trusted Driver User

roles/fleetengine.deliveryTrustedDriver

התפקיד הזה מאפשר ליצור ולעדכן כלי רכב למשלוחים ומשימות, כולל עדכון המיקום של כלי הרכב למשלוחים והסטטוס או התוצאה של המשימה. בדרך כלל, נעשה שימוש בטוקנים שהונפקו על ידי חשבון שירות עם התפקיד הזה ממכשירים ניידים של נהגי משלוחים או משרתי קצה עורפי.

הערה: 'מהימן' מתייחס למכשיר של נהג שמנוהל על ידי מחלקת ה-IT של החברה, ושמוגדרות בו אמצעי אבטחה מתאימים. ארגונים שמספקים את המכשירים האלה יכולים לבחור לשלב אינטראקציות עם Fleet Engine באפליקציה לנייד.

איך משתמשים בתפקידי IAM ובחשבונות שירות עם Fleet Engine

כדי להשתמש בחשבונות שירות לצורך אימות והרשאה ב-Fleet Engine, פועלים לפי השלבים הכלליים הבאים:

יוצרים חשבונות שירות במסוף Google Cloud לכל תפקיד שצריך. אתם צריכים חשבונות שירות כדי לאמת אפליקציות ואתרי אינטרנט של נהגים, צרכנים, מעקב אחר צי רכבים וניהול צי רכבים – כל תוכנה שזקוקה לגישה לנתונים של Fleet Engine. תוכנות שזקוקות לאותן הרשאות יכולות להשתמש באותו חשבון שירות.
מקצים תפקיד במדיניות IAM של Fleet Engine לכל חשבון שירות. בוחרים את תפקיד מדיניות ה-IAM הספציפי ל-Fleet Engine שמספק את ההרשאות המתאימות לגישה לנתונים או לעדכון שלהם ב-Fleet Engine.
משתמשים בחשבונות השירות המתאימים באפליקציות ובתוכנות כדי לאמת את החיבור שלהם ל-Fleet Engine, ולאשר גישה למשאבים שניתנו על ידי התפקיד שהוקצה.

לפרטים על האופן שבו תפקידים של חשבונות שירות משתלבים באבטחה של Fleet Engine, ראו סקירה כללית על אבטחה. הסבר מלא על תפקידים של חשבונות שירות זמין במאמר הסבר על תפקידים ב-IAM במסמכי Google Cloud.

המאמרים הבאים

כדאי לקרוא על אסימוני JSON Web Token כדי להבין איך משתמשים בהם ב-Fleet Engine.
סקירה כללית על האבטחה ב-Fleet Engine זמינה במאמר סקירה כללית על אבטחה.
במאמר הסבר על תפקידים ב-IAM מופיע הסבר מלא על תפקידים של חשבונות שירות במסוף Google Cloud.