تُعدّ أدوار حسابات الخدمة جزءًا أساسيًا من إدارة الأمان والهوية في نظام Fleet Engine. تتيح لك هذه الأدوار تخصيص أذونات الوصول إلى مختلف العمليات والبيانات لتلبية متطلبات السائقين والمستهلكين ومشغّلي الأسطول .
ما المقصود بحساب الخدمة؟
حسابات الخدمة هي حسابات Google Cloud Console التي تستخدمها للمصادقة والحصول على إذن بالوصول إلى البيانات في Fleet Engine. ويحتوي Fleet Engine على مجموعة من أدوار سياسة إدارة الهوية وإمكانية الوصول (IAM) المحدّدة مسبقًا التي تحدّدها لحساب الخدمة لتحديد البيانات التي يمكن لهذا الحساب الوصول إليها.
أدوار حساب خدمة Fleet Engine
تحدد خدمة التنقل التي تختارها لتركيب Fleet Engine الأدوار والأذونات المضمنة.
توضح الأدوار التالية كيفية عمل الأذونات مع أدوار Fleet Engine:
يمكن لدورَي ondemandAdmin وdeliveryAdmin تنفيذ جميع العمليات في Fleet Engine. لا تستخدِم هذه الأدوار إلا في البيئات الموثوق بها، مثل المراسلات بين خادم الخلفية وFleet Engine.
لا يُسمح لدورَي driverSdkUser وconsumerSdkUser سوى بالحصول على تفاصيل الرحلات المخصّصة وتعديل الموقع الجغرافي للمركبة أو تلقّيه. وعادةً ما يستخدم العملاء هذه الأنواع من الأدوار في البيئات التي تتسم بمستوى منخفض من الثقة، مثل تطبيقات السائق أو المستهلك أو المراقبة.
إنّ الأدوار والأذونات الممنوحة للرحلات عند الطلب والمهام المجدولة هي الموضحة في الجداول التالية.
الرحلات عند الطلب
الدور | الإذن |
---|---|
مشرف عند الطلب من Fleet Engine
|
لمنح الإذن بالقراءة والكتابة لجميع المركبات والرحلات الموارد. لا يحتاج المشرفون الذين لديهم هذا الدور إلى استخدام تنسيقات JWT ويجب بدلاً من ذلك استخدام بيانات الاعتماد التلقائية للتطبيق كلما أمكن ذلك. يتجاهل هذا الدور مطالبات JWT المخصّصة. حصر استخدام هذا الدور في البيئات الموثوق بها، مثل خادم الخلفية |
مستخدم Fleet Engine Driver SDK
|
تعديل مواقع المركبات ومسارات التنقّل واسترداد معلومات عن المركبات والرحلات استخدِم تنسيقات JWT مع مطالبات مخصّصة تم إنشاؤها باستخدام هذا الدور للمصادقة والتفويض من تطبيقات السائقين لخدمات المشاركة في الرحلات أو التسليم. |
مستخدم حزمة SDK لمستهلك Fleet Engine
|
ابحث عن المركبات واسترجِع معلومات حول المركبات رحلات. استخدام JWT مع المطالبات المخصّصة التي تم إنشاؤها باستخدام هذا الدور تطبيقات المستهلك لمشاركة الرحلات أو التوصيل . |
المهام المُجدوَلة
الدور | الإذن |
---|---|
مشرف تسليم محرّك الأسطول
|
لمنح الإذن بالقراءة والكتابة لموارد التسليم لا يحتاج المستخدمون الرئيسيون الذين لديهم هذا الدور إلى استخدام تنسيقات JWT، بل عليهم استخدام بيانات الاعتماد التلقائية للتطبيق بدلاً من ذلك. تتجاهل هذه الطريقة مطالبات JWT المخصّصة. حصر استخدام هذا الدور بالبيئات الموثوق بها، مثل خادم الخلفية |
قارئ أسطول نقل الأسطول
|
منح الإذن بقراءة مركبات التسليم والمهام والبحث عن المهام باستخدام رقم تعريف التتبّع الرموز المميزة الصادرة عن حساب الخدمة مع هذا الدور عادةً من شبكة ويب مشغل أسطول التسليم المتصفح. |
مستخدم غير موثوق بسائق يقدّم مجموعة المحرّكات
|
يمنح الإذن بتعديل الموقع الجغرافي لمركبة التسليم. عادةً ما يتم استخدام الرموز المميّزة التي يصدرها حساب خدمة لديه هذا الدور من جهاز جوّال لسائق التسليم. ملاحظة: يشير "غير موثوق به" إلى جهاز السائق الذي لا تديره إدارة تكنولوجيا المعلومات في الشركة، ولكن يتم توفيره من قِبل السائق وعادةً ما يكون بدون عناصر التحكّم المناسبة في أمان تكنولوجيا المعلومات. على المؤسسات التي تتّبع سياسات "استخدام جهازك الخاص" تفعيل وضع أمان هذا الدور وعدم الاعتماد إلا على التطبيق المتوافق مع الأجهزة الجوّالة لإرسال آخر المعلومات المتعلّقة بالموقع الجغرافي للمركبة إلى Fleet Engine. كل التفاعلات الأخرى يجب أن تنشأ من خوادم الخلفية. |
مستخدم تسليم محرك الأسطول
|
يمنح الإذن بالبحث عن المهام باستخدام رقم تعريف التتبّع، وقراءة معلومات المهام بدون تعديلها. الرموز المميزة التي تصدرها خدمة التي تتولى هذا الدور عادةً ما تُستخدم من حساب مستهلك Google. |
مستخدم برنامج التشغيل الموثوق به في نظام تسليم Fleet Engine
|
لمنح الإذن لإنشاء وتحديث مركبات التسليم المهام، بما في ذلك تحديث موقع مركبة التسليم وحالة المهمة أو نتيجته. إنّ الرموز المميّزة التي يتم إصدارها من خلال حساب خدمة يتولى هذا الدور: يتم استخدامها عادةً من الأجهزة الجوّالة لسائق التوصيل أو من لخوادم الخلفية. ملاحظة: تشير عبارة "موثوق به" إلى جهاز السائق الذي يديره قسم تكنولوجيا المعلومات للشركات لديه عناصر التحكم الخاصة بالأمان المناسبة. يمكن للمؤسسات التي توفّر هذه الأجهزة اختيار دمج تفاعلات Fleet Engine في التطبيق المتوافق مع الأجهزة الجوّالة. |
كيفية استخدام حسابات الخدمة مع Fleet Engine
لاستخدام حسابات الخدمة للمصادقة والتفويض في Fleet Engine، اتبع هذه الخطوات العامة:
أنشئ حسابات خدمة في Google Cloud Console لكل دور تحتاجه. تحتاج إلى حسابات خدمة لمصادقة برنامج التشغيل والمستهلك ومراقبة الأسطول وإدارة الأساطيل ومواقع الويب - أي برنامج يحتاج إلى الوصول إلى بيانات Fleet Engine. البرامج التي تحتاج إلى يمكن استخدام الأذونات نفسها لحساب الخدمة نفسه.
امنح دور Fleet Engine لكل حساب خدمة. حدد Fleet دور سياسة إدارة الهوية وإمكانية الوصول (IAM) الخاصة بالمحرك والذي يوفر الوصول المناسب لتحديث بياناتك في Fleet Engine.
استخدِم حسابات الخدمة المناسبة في تطبيقاتك وبرامجك من أجل: ومصادقة اتصالها بـ Fleet Engine، والسماح بالوصول إلى الموارد التي منحها الدور المعين.
لمعرفة تفاصيل عن كيفية تناسب أدوار حسابات الخدمة مع أمان Fleet Engine، يُرجى الاطّلاع على نظرة عامة على الأمان. للحصول على شرح كامل لأدوار حساب الخدمة، يُرجى الاطّلاع على التعرّف على أدوار "إدارة الهوية وإمكانية الوصول" في مستندات Google Cloud.
الخطوات التالية
- اطّلِع على رموز JSON المميّزة للويب لفهم استخدامها في Fleet Engine.
- للحصول على نظرة عامة حول أمان Fleet Engine، يُرجى الاطّلاع على مقالة الأمان نظرة عامة.
- للحصول على شرح كامل لأدوار حسابات الخدمة في Google Cloud Console، اطّلِع على مقالة فهم أدوار "إدارة الهوية وإمكانية الوصول".