服務帳戶角色

服務帳戶角色是安全性和身分管理服務的重要一環 您的 Fleet Engine 系統這些角色可讓您設定 作業和資料以符合駕駛、消費者和車隊的需求 運算子

什麼是服務帳戶?

服務帳戶是可用來進行驗證的 Google Cloud 控制台帳戶 並授予 Fleet Engine 中資料的存取權。Fleet Engine 提供一組 可以指派給服務帳戶的預先定義 IAM 政策角色 該帳戶可存取的資料

Fleet Engine 服務帳戶角色

您為 Fleet Engine 安裝選擇的行動性服務會決定 包含的角色和權限

以下角色說明權限如何與 Fleet Engine 角色搭配運作:

  • ondemandAdmindeliveryAdmin 角色可以執行所有作業 也就是 Fleet Engine 的資料庫請僅在信任的環境中使用這些角色,例如 以及後端伺服器與 Fleet Engine 之間的通訊

  • driverSdkUserconsumerSdkUser 角色僅 已獲準取得已指派行程的詳細資料,並更新或接收車輛 或 HTTP/HTTPS 位置這些角色類型通常由用戶端在 低信任環境,例如驅動程式、消費者或監控應用程式。

隨選行程和已排定工作授予的角色和權限如下: 如下表所述。

隨選行程

角色 權限

Fleet Engine 隨選管理員

roles/fleetengine.ondemandAdmin

授予所有車輛和行程的讀取及寫入權限 再複習一下,機構節點 是所有 Google Cloud Platform 資源的根節點具備這個角色的主體不需要使用 JWT,以及 應盡可能使用應用程式預設憑證。 這個角色會忽略自訂 JWT 憑證附加資訊。限制使用這個角色: 以及您的後端伺服器等安全環境

Fleet Engine 推動者 SDK 使用者

roles/fleetengine.driverSdkUser

更新車輛位置和路線,並擷取資訊 提供車輛和行程資訊將 JWT 與以下列方式建立的自訂憑證附加資訊搭配使用: 這個角色用於驗證及授權 代僱駕駛服務或外送。

Fleet Engine 用戶 SDK 使用者

roles/fleetengine.consumerSdkUser

搜尋車輛,取得車輛和車輛的相關資訊 行程。將 JWT 與以這個角色建立的自訂憑證附加資訊搭配使用, 提供代僱駕駛服務或外送服務的消費者應用程式。

已排定的工作

角色 權限

Fleet Engine Delivery 管理員

roles/fleetengine.deliveryAdmin

授予交付資源的讀取和寫入權限。 具備這個角色的主體不需要使用 JWT,而是應改用 應用程式預設憑證。忽略自訂 JWT 憑證附加資訊。限制 將這個角色用於信任的環境,例如後端伺服器。

Fleet Engine Delivery 機群讀取者

roles/fleetengine.deliveryFleetReader

授予讀取貨件和工作的權限,以及 來搜尋工作服務帳戶核發的權杖 這個角色通常透過貨運車隊營運商的網站使用 。

不受信任的 Fleet Engine Delivery 駕駛員使用者

roles/fleetengine.deliveryUntrustedDriver

可授予更新送貨車位置的權限。代幣 這個角色通常用於您的 外送司機的行動裝置。

注意:「不受信任」是指 不是由公司 IT 管理,而是由公司 IT 管理的裝置 所提供的資訊,通常沒有適當的 IT 安全措施 控制項已自備裝置政策的機構應選用 確保這個角色的安全,只使用行動應用程式傳送 將車輛位置更新至 Fleet Engine。所有其他互動 應來自後端伺服器

Fleet Engine Delivery 一般使用者

roles/fleetengine.deliveryConsumer

可使用追蹤 ID 搜尋工作。 讀取工作資訊,但無法更新。服務核發的權杖 這個角色的帳戶通常用於貨品消費者的 網路瀏覽器。

Fleet Engine Delivery 受信任驅動者

roles/fleetengine.deliveryTrustedDriver

可授予建立及更新運輸車輛的權限 工作,包括更新送貨車位置和工作狀態 或是結果具備這個角色的服務帳戶核發的憑證 通常使用送貨司機的行動裝置 您的後端伺服器

注意:「可信任」是指由 具有適當安全性控管機制的公司 IT 人員。符合以下條件的機構 這類裝置提供 Fleet Engine 互動模式 整合至行動應用程式

如何搭配使用服務帳戶與 Fleet Engine

如要在 Fleet Engine 中使用服務帳戶進行驗證和授權, 請按照下列一般步驟操作:

  1. 在 Google Cloud 控制台中,為您建立的每個角色建立服務帳戶 需求。您需要服務帳戶來驗證驅動程式、用戶 車隊監控,以及機群管理應用程式和網站 - 必須存取 Fleet Engine 資料的軟體需要 都能使用相同的服務帳戶。

  2. 為各個服務帳戶指派 Fleet Engine 角色。選取機群 提供適當存取權的引擎專屬 IAM 政策角色 更新 Fleet Engine 中的資料

  3. 在應用程式和軟體中使用適當的服務帳戶, 驗證他們與 Fleet Engine 的連線,並授權存取 指派的角色

如要進一步瞭解服務帳戶角色在 Fleet Engine 安全性中如何因應,請參閱 安全性總覽。如需服務帳戶的完整說明 角色,請參閱 Google Cloud 說明文件中的「瞭解 IAM 角色」一文。

後續步驟

  • 請參閱 JSON Web Token,瞭解這些項目在 Fleet Engine 中的用途。
  • 如需 Fleet Engine 安全性總覽,請參閱 總覽頁面
  • 如需 Google Cloud 控制台服務帳戶角色的完整說明,請參閱 瞭解 IAM 角色