نقش های حساب سرویس

نقش‌های حساب سرویس بخش کلیدی مدیریت امنیت و هویت برای سیستم Fleet Engine شما هستند. این نقش‌ها به شما امکان می‌دهند تا به عملیات و داده‌های مختلف دسترسی داشته باشید تا نیازهای رانندگان، مصرف‌کنندگان و اپراتورهای ناوگان را برآورده کنید.

حساب سرویس چیست؟

حساب‌های سرویس، حساب‌های Google Cloud Console هستند که برای احراز هویت و مجوز دسترسی به داده‌ها در Fleet Engine استفاده می‌کنید. Fleet Engine مجموعه‌ای از نقش‌های خط‌مشی IAM از پیش تعیین‌شده دارد که به یک حساب سرویس اختصاص می‌دهید تا مشخص کنید آن حساب به کدام داده‌ها دسترسی دارد.

نقش های حساب خدمات موتور ناوگان

سرویس Mobility که برای نصب Fleet Engine انتخاب می‌کنید نقش‌ها و مجوزهایی را که شامل می‌شوند را تعیین می‌کند.

نقش‌های زیر نحوه عملکرد مجوزها با نقش‌های Fleet Engine را نشان می‌دهند:

  • نقش‌های ondemandAdmin و deliveryAdmin می‌توانند همه عملیات را در Fleet Engine انجام دهند. از این نقش‌ها فقط در محیط‌های قابل اعتماد استفاده کنید، مانند ارتباطات بین سرور پشتیبان و Fleet Engine.

  • نقش‌های driverSdkUser و customerSdkUser فقط مجاز به دریافت جزئیات برای سفرهای اختصاص‌یافته و به‌روزرسانی یا دریافت مکان وسیله نقلیه هستند. این نوع نقش‌ها معمولاً توسط مشتریان در محیط‌های کم‌اعتماد، مانند برنامه‌های راننده، مصرف‌کننده یا نظارت استفاده می‌شوند.

نقش ها و مجوزهای اعطا شده برای سفرهای درخواستی و وظایف برنامه ریزی شده در جداول زیر توضیح داده شده است.

سفرهای درخواستی

نقش اجازه

مدیریت درخواستی موتور ناوگان

roles/fleetengine.ondemandAdmin

مجوز خواندن و نوشتن را برای همه منابع وسیله نقلیه و سفرها اعطا می کند. مدیرانی که این نقش را دارند نیازی به استفاده از JWT ندارند و در عوض باید در صورت امکان از اعتبارنامه پیش فرض برنامه استفاده کنند. این نقش ادعاهای سفارشی JWT را نادیده می گیرد. استفاده از این نقش را به محیط های قابل اعتمادی مانند سرور باطن خود محدود کنید.

کاربر SDK درایور موتور ناوگان

roles/fleetengine.driverSdkUser

مکان ها و مسیرهای خودرو را به روز کنید و اطلاعات مربوط به وسایل نقلیه و سفرها را بازیابی کنید. از JWT ها با ادعاهای سفارشی ایجاد شده با این نقش برای احراز هویت و مجوز از برنامه های راننده برای اشتراک گذاری یا تحویل استفاده کنید.

کاربر SDK مصرف کننده موتور ناوگان

roles/fleetengine.consumerSdkUser

وسایل نقلیه را جستجو کنید و اطلاعات مربوط به وسایل نقلیه و سفرها را بازیابی کنید. از JWT ها با ادعاهای سفارشی ایجاد شده با این نقش برای برنامه های مصرف کننده برای اشتراک گذاری یا تحویل استفاده کنید.

وظایف برنامه ریزی شده

نقش اجازه

مدیر تحویل موتور ناوگان

roles/fleetengine.deliveryAdmin

مجوز خواندن و نوشتن برای منابع تحویل را اعطا می کند. مدیران با این نقش نیازی به استفاده از JWT ندارند و در عوض باید از اعتبارنامه پیش فرض برنامه استفاده کنند. ادعاهای سفارشی JWT را نادیده می گیرد. استفاده از این نقش را به محیط های قابل اعتمادی مانند سرور باطن خود محدود کنید.

Fleet Engine Delivery Fleet Reader

roles/fleetengine.deliveryFleetReader

به خواندن وسایل نقلیه تحویلی و وظایف و جستجوی کارها با استفاده از شناسه ردیابی اجازه می دهد. توکن های صادر شده توسط یک حساب سرویس با این نقش معمولاً از مرورگر وب اپراتور ناوگان تحویل استفاده می شود.

کاربر راننده غیرقابل اعتماد تحویل موتور ناوگان

roles/fleetengine.deliveryUntrustedDriver

اجازه به‌روزرسانی مکان خودروی تحویل را می‌دهد. رمزهای صادر شده توسط یک حساب سرویس با این نقش معمولاً از دستگاه تلفن همراه راننده تحویل شما استفاده می شود.

توجه: Untrusted به دستگاه راننده ای اطلاق می شود که توسط IT شرکت مدیریت نمی شود، اما در عوض توسط راننده و معمولاً بدون کنترل های امنیتی IT مناسب ارائه می شود. سازمان‌های دارای خط‌مشی‌های Bring Your Own Device باید ایمنی این نقش را انتخاب کنند و برای ارسال به‌روزرسانی‌های مکان وسیله نقلیه به Fleet Engine فقط به برنامه تلفن همراه تکیه کنند. همه تعاملات دیگر باید از سرورهای باطن شما منشاء بگیرند.

کاربر مصرف کننده تحویل موتور ناوگان

roles/fleetengine.deliveryConsumer

به جستجوی کارها با استفاده از شناسه ردیابی و خواندن اما عدم به‌روزرسانی اطلاعات کار اجازه می‌دهد. توکن های صادر شده توسط یک حساب سرویس با این نقش معمولاً از مرورگر وب مصرف کننده تحویل استفاده می شود.

کاربر راننده قابل اعتماد تحویل موتور ناوگان

roles/fleetengine.deliveryTrustedDriver

اجازه ایجاد و به‌روزرسانی وسایل نقلیه و وظایف تحویل، از جمله به‌روزرسانی مکان وسیله نقلیه تحویلی و وضعیت یا نتیجه کار را می‌دهد. رمزهای صادر شده توسط یک حساب سرویس با این نقش معمولاً از دستگاه های تلفن همراه راننده تحویل شما یا از سرورهای پشتیبان شما استفاده می شود.

توجه: Trusted به دستگاه راننده ای اطلاق می شود که توسط IT شرکت مدیریت می شود و دارای کنترل های امنیتی مناسب است. سازمان‌هایی که این دستگاه‌ها را ارائه می‌کنند می‌توانند تعاملات Fleet Engine را در برنامه تلفن همراه ادغام کنند.

نحوه استفاده از حساب های سرویس با Fleet Engine

برای استفاده از حساب‌های سرویس برای احراز هویت و مجوز در Fleet Engine، این مراحل کلی را دنبال کنید:

  1. برای هر نقشی که نیاز دارید، حساب‌های خدماتی در Google Cloud Console ایجاد کنید . برای تأیید اعتبار راننده، مصرف‌کننده، نظارت بر ناوگان و برنامه‌های کاربردی و وب‌سایت‌های مدیریت ناوگان - هر نرم‌افزاری که نیاز به دسترسی به داده‌های Fleet Engine دارد، به حساب‌های خدماتی نیاز دارید. نرم افزارهایی که به مجوزهای یکسانی نیاز دارند می توانند از همان حساب سرویس استفاده کنند.

  2. به هر حساب سرویس یک نقش Fleet Engine اختصاص دهید . نقش خط مشی IAM مخصوص موتور ناوگان را انتخاب کنید که دسترسی مناسب را فراهم می کند یا داده های شما را در Fleet Engine به روز می کند.

  3. از حساب‌های سرویس مناسب در برنامه‌ها و نرم‌افزارهای خود برای احراز هویت اتصال آنها به Fleet Engine استفاده کنید و اجازه دسترسی به منابع اعطا شده توسط نقش تعیین‌شده را بدهید.

برای جزئیات در مورد اینکه چگونه نقش‌های حساب سرویس با امنیت Fleet Engine مطابقت دارند، به نمای کلی امنیت مراجعه کنید. برای توضیح کامل نقش‌های حساب سرویس، به درک نقش‌های IAM در اسناد Google Cloud مراجعه کنید.

بعدش چی

  • برای درک کاربرد آنها در Fleet Engine، درباره JSON Web Tokens بخوانید.
  • برای مروری بر امنیت Fleet Engine، به نمای کلی امنیت مراجعه کنید.
  • برای توضیح کامل نقش‌های حساب سرویس Google Cloud Console، به درک نقش‌های IAM مراجعه کنید