تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

إعداد "إدارة الهوية وإمكانية الوصول" وأدوار حساب الخدمة

إنّ ضبط إدارة الهوية وإمكانية الوصول (IAM) بشكلٍ صحيح هو شرط أساسي لإدارة أمان الهوية في نظام Fleet Engine. استخدم أدوار إدارة الهوية وإمكانية الوصول لتخصيص الوصول إلى العمليات والبيانات المختلفة لتلبية متطلبات السائقين والمستهلكين ومشغلي الأسطول.

ما هي حسابات الخدمة وأدوار "إدارة الهوية وإمكانية الوصول"؟

يمكنك إعداد حسابات الخدمة في Google Cloud Console للمصادقة والتفويض بالوصول إلى البيانات في Fleet Engine. يحتوي Fleet Engine على مجموعة من أدوار إدارة الهوية وإمكانية الوصول المحدّدة مسبقًا التي يمكنك تعيينها لحساب خدمة من أجل تحديد البيانات التي يمكن لهذا الحساب الوصول إليها. لمعرفة التفاصيل، يُرجى الاطّلاع على نظرة عامة على حسابات الخدمة في مستندات Google Cloud.

تستخدِم Fleet Engine أدوار وسياسة "إدارة الهوية وإمكانية الوصول" لإدارة التفويض لطُرق Fleet Engine API ومواردها. لمزيد من المعلومات، يُرجى الاطّلاع على نظرة عامة على الأدوار في مستندات Google Cloud. استخدِم فقط أدوار حساب خدمة Fleet Engine الموضّحة في الأقسام التالية.

لمزيد من المعلومات العامة عن منح أدوار إدارة الهوية وإمكانية الوصول، يُرجى الاطّلاع على مقالة منح دور إدارة الهوية وإمكانية الوصول باستخدام وحدة تحكّم Google Cloud.

أدوار حساب خدمة Fleet Engine

تحدِّد خدمة "التنقّل" التي تختارها لتثبيت Fleet Engine الأدوار والأذونات التي يتم تضمينها.

توضّح الأدوار التالية كيفية عمل الأذونات مع أدوار Fleet Engine:

يمكن للدورَين ondemandAdmin وdeliveryAdmin تنفيذ جميع العمليات في Fleet Engine. لا تستخدِم هذه الأدوار إلا في البيئات الموثوق بها، مثل المراسلات بين خادم الخلفية وFleet Engine.
لا يُسمح لدورَي driverSdkUser وconsumerSdkUser سوى بتلقّي تفاصيل الرحلات المخصّصة وتعديل الموقع الجغرافي للمركبة أو تلقّيه. وعادةً ما يستخدم العملاء هذه الأنواع من الأدوار في البيئات التي تتسم بمستوى منخفض من الثقة، مثل تطبيقات السائق أو المستهلك أو التطبيقات التي تتضمّن ميزة المراقبة.

في الجداول التالية، يتم توضيح الأدوار والأذونات الممنوحة للرحلات عند الطلب والمهام المُجدوَلة.

الرحلات عند الطلب

الدور الإذن

الدور	الإذن
مشرف "المحرك الإعلاني للمركبات" عند الطلب `roles/fleetengine.ondemandAdmin`	منح الإذن بالقراءة والكتابة لجميع موارد المركبات والرحلات لا يحتاج المشرفون الذين لديهم هذا الدور إلى استخدام تنسيقات JWT ويجب بدلاً من ذلك استخدام بيانات الاعتماد التلقائية للتطبيق كلما أمكن ذلك. يتجاهل هذا الدور مطالبات JWT المخصّصة. حصر استخدام هذا الدور في البيئات الموثوق بها، مثل خادم الخلفية
مستخدم Fleet Engine Driver SDK `roles/fleetengine.driverSdkUser`	تعديل مواقع المركبات ومسارات التنقّل واسترداد معلومات عن المركبات والرحلات استخدِم تنسيقات JWT مع مطالبات مخصّصة تم إنشاؤها باستخدام هذا الدور للمصادقة والتفويض من تطبيقات السائقين لخدمات المشاركة في الرحلات أو التسليم.
مستخدم حزمة تطوير البرامج (SDK) لبرنامج Fleet Engine Consumer `roles/fleetengine.consumerSdkUser`	البحث عن المركبات واسترداد معلومات عن المركبات والرحلات استخدِم ملفات JWT مع مطالبات مخصّصة تم إنشاؤها باستخدام هذا الدور لتطبيق المستهلك المخصّص لمشاركة الرحلات أو التسليم.

مشرف "المحرك الإعلاني للمركبات" عند الطلب

roles/fleetengine.ondemandAdmin

منح الإذن بالقراءة والكتابة لجميع موارد المركبات والرحلات لا يحتاج المشرفون الذين لديهم هذا الدور إلى استخدام تنسيقات JWT ويجب بدلاً من ذلك استخدام بيانات الاعتماد التلقائية للتطبيق كلما أمكن ذلك. يتجاهل هذا الدور مطالبات JWT المخصّصة. حصر استخدام هذا الدور في البيئات الموثوق بها، مثل خادم الخلفية

مستخدم Fleet Engine Driver SDK

roles/fleetengine.driverSdkUser

تعديل مواقع المركبات ومسارات التنقّل واسترداد معلومات عن المركبات والرحلات استخدِم تنسيقات JWT مع مطالبات مخصّصة تم إنشاؤها باستخدام هذا الدور للمصادقة والتفويض من تطبيقات السائقين لخدمات المشاركة في الرحلات أو التسليم.

مستخدم حزمة تطوير البرامج (SDK) لبرنامج Fleet Engine Consumer

roles/fleetengine.consumerSdkUser

البحث عن المركبات واسترداد معلومات عن المركبات والرحلات استخدِم ملفات JWT مع مطالبات مخصّصة تم إنشاؤها باستخدام هذا الدور لتطبيق المستهلك المخصّص لمشاركة الرحلات أو التسليم.

المهام المُجدوَلة

الدور الإذن

الدور	الإذن
مشرف عرض إعلانات "الإعلانات على شبكة البحث" في "إعلانات Google" `roles/fleetengine.deliveryAdmin`	لمنح الإذن بالقراءة والكتابة لموارد التسليم لا يحتاج المستخدمون الرئيسيون الذين لديهم هذا الدور إلى استخدام تنسيقات JWT، بل عليهم استخدام بيانات الاعتماد التلقائية للتطبيق بدلاً من ذلك. تتجاهل هذه الطريقة مطالبات JWT المخصّصة. حصر استخدام هذا الدور بالبيئات الموثوق بها، مثل خادم الخلفية
قارئ أسطول نقل الأسطول `roles/fleetengine.deliveryFleetReader`	منح الإذن بقراءة مركبات التسليم والمهام والبحث عن المهام باستخدام رقم تعريف التتبّع وعادةً ما يتم استخدام الرموز المميّزة الصادرة عن حساب خدمة يحمل هذا الدور من متصفّح الويب الخاص بمشغّل أسطول التسليم.
مستخدم سائق غير موثوق به في ميزة "تسليم المركبات" من Fleet Engine `roles/fleetengine.deliveryUntrustedDriver`	يمنح الإذن بتعديل الموقع الجغرافي لمركبة التسليم. عادةً ما يتم استخدام الرموز المميّزة التي يصدرها حساب خدمة لديه هذا الدور من جهاز جوّال لسائق التسليم. ملاحظة: يشير "غير موثوق به" إلى جهاز السائق الذي لا تديره إدارة تكنولوجيا المعلومات في الشركة، بل يقدّمه السائق بدلاً من ذلك وعادةً ما يكون بدون عناصر التحكّم المناسبة في أمان تكنولوجيا المعلومات. على المؤسسات التي لديها سياسات "إحضار الجهاز الخاص بك" اختيار الحفاظ على أمان هذا الدور والاعتماد فقط على تطبيق الأجهزة الجوّالة لإرسال بيانات الموقع الجغرافي للمركبة إلى Fleet Engine. يجب أن تأتي جميع التفاعلات الأخرى من خوادم الخلفية.
مستخدم مستهلك نقل البيانات من مجموعة الأجهزة `roles/fleetengine.deliveryConsumer`	يمنح الإذن للبحث عن المهام باستخدام رقم تعريف التتبّع ولقراءة معلومات المهمة بدون تعديلها. وعادةً ما يتم استخدام الرموز المميّزة الصادرة عن حساب خدمة يحمل هذا الدور من متصفّح الويب الخاص بمستهلك التسليم.
مستخدم سائق موثوق به لتسليم محرّكات الأسطول `roles/fleetengine.deliveryTrustedDriver`	لمنح الإذن لإنشاء وتعديل مركبات التسليم والمهام، بما في ذلك تعديل الموقع الجغرافي لمركبة التسليم وحالة المهمة أو نتائجها عادةً ما يتم استخدام الرموز المميّزة التي يصدرها حساب الخدمة الذي يحمل هذا الدور من الأجهزة الجوّالة لسائق التسليم أو من خوادم الخلفية. ملاحظة: يشير "موثوق به" إلى جهاز السائق الذي تديره إدارة تكنولوجيا المعلومات في الشركة التي تتضمّن عناصر تحكّم في الأمان المناسبة. يمكن للمؤسسات التي توفّر هذه الأجهزة اختيار دمج تفاعلات Fleet Engine في التطبيق المتوافق مع الأجهزة الجوّالة.

مشرف عرض إعلانات "الإعلانات على شبكة البحث" في "إعلانات Google"

roles/fleetengine.deliveryAdmin

لمنح الإذن بالقراءة والكتابة لموارد التسليم لا يحتاج المستخدمون الرئيسيون الذين لديهم هذا الدور إلى استخدام تنسيقات JWT، بل عليهم استخدام بيانات الاعتماد التلقائية للتطبيق بدلاً من ذلك. تتجاهل هذه الطريقة مطالبات JWT المخصّصة. حصر استخدام هذا الدور بالبيئات الموثوق بها، مثل خادم الخلفية

قارئ أسطول نقل الأسطول

roles/fleetengine.deliveryFleetReader

منح الإذن بقراءة مركبات التسليم والمهام والبحث عن المهام باستخدام رقم تعريف التتبّع وعادةً ما يتم استخدام الرموز المميّزة الصادرة عن حساب خدمة يحمل هذا الدور من متصفّح الويب الخاص بمشغّل أسطول التسليم.

مستخدم سائق غير موثوق به في ميزة "تسليم المركبات" من Fleet Engine

roles/fleetengine.deliveryUntrustedDriver

يمنح الإذن بتعديل الموقع الجغرافي لمركبة التسليم. عادةً ما يتم استخدام الرموز المميّزة التي يصدرها حساب خدمة لديه هذا الدور من جهاز جوّال لسائق التسليم.

ملاحظة: يشير "غير موثوق به" إلى جهاز السائق الذي لا تديره إدارة تكنولوجيا المعلومات في الشركة، بل يقدّمه السائق بدلاً من ذلك وعادةً ما يكون بدون عناصر التحكّم المناسبة في أمان تكنولوجيا المعلومات. على المؤسسات التي لديها سياسات "إحضار الجهاز الخاص بك" اختيار الحفاظ على أمان هذا الدور والاعتماد فقط على تطبيق الأجهزة الجوّالة لإرسال بيانات الموقع الجغرافي للمركبة إلى Fleet Engine. يجب أن تأتي جميع التفاعلات الأخرى من خوادم الخلفية.

مستخدم مستهلك نقل البيانات من مجموعة الأجهزة

roles/fleetengine.deliveryConsumer

يمنح الإذن للبحث عن المهام باستخدام رقم تعريف التتبّع ولقراءة معلومات المهمة بدون تعديلها. وعادةً ما يتم استخدام الرموز المميّزة الصادرة عن حساب خدمة يحمل هذا الدور من متصفّح الويب الخاص بمستهلك التسليم.

مستخدم سائق موثوق به لتسليم محرّكات الأسطول

roles/fleetengine.deliveryTrustedDriver

لمنح الإذن لإنشاء وتعديل مركبات التسليم والمهام، بما في ذلك تعديل الموقع الجغرافي لمركبة التسليم وحالة المهمة أو نتائجها عادةً ما يتم استخدام الرموز المميّزة التي يصدرها حساب الخدمة الذي يحمل هذا الدور من الأجهزة الجوّالة لسائق التسليم أو من خوادم الخلفية.

ملاحظة: يشير "موثوق به" إلى جهاز السائق الذي تديره إدارة تكنولوجيا المعلومات في الشركة التي تتضمّن عناصر تحكّم في الأمان المناسبة. يمكن للمؤسسات التي توفّر هذه الأجهزة اختيار دمج تفاعلات Fleet Engine في التطبيق المتوافق مع الأجهزة الجوّالة.

كيفية استخدام أدوار "إدارة الهوية وإمكانية الوصول" وحسابات الخدمة مع Fleet Engine

لاستخدام حسابات الخدمة للمصادقة والتفويض في Fleet Engine، اتّبِع الخطوات العامة التالية:

أنشئ حسابات الخدمة في Google Cloud Console لكل دور تحتاجه. تحتاج إلى حسابات الخدمة لمصادقة تطبيقات ومواقع إلكترونية خاصة بالسائقين والمستهلكين ومراقبة الأسطول وإدارته، أي البرامج التي تحتاج إلى الوصول إلى بيانات Fleet Engine. يمكن للبرامج التي تحتاج إلى الأذونات نفسها، استخدام حساب الخدمة نفسه.
إسناد دور سياسة إدارة الهوية وإمكانية الوصول في Fleet Engine إلى كل حساب خدمة اختَر دور سياسة إدارة الهوية وإمكانية الوصول المخصّص لخدمة Fleet Engine والذي يمنح الأذونات المناسبة للوصول إلى بياناتك أو تعديلها في Fleet Engine.
استخدِم حسابات الخدمة المناسبة في تطبيقاتك وبرامجك لتأكيد اتصالها بـ Fleet Engine، وتفويض الوصول إلى الموارد التي يمنحها الدور المحدَّد.

لمعرفة تفاصيل حول كيفية ملاءمة أدوار حسابات الخدمة لأمان Fleet Engine، يُرجى الاطّلاع على نظرة عامة على الأمان. للحصول على شرح كامل لأدوار حساب الخدمة، يُرجى الاطّلاع على التعرّف على أدوار "إدارة الهوية وإمكانية الوصول" في مستندات Google Cloud.

الخطوات التالية

يمكنك الاطّلاع على رموز JSON المميّزة للويب لفهم استخدامها في Fleet Engine.
للحصول على نظرة عامة حول أمان Fleet Engine، يُرجى الاطّلاع على نظرة عامة على أمان .
للحصول على شرح كامل لأدوار حسابات الخدمة في Google Cloud Console، اطّلِع على مقالة فهم أدوار "إدارة الهوية وإمكانية الوصول".