أدوار حساب الخدمة

تُعدّ أدوار حسابات الخدمة جزءًا أساسيًا من إدارة الأمان والهوية في نظام Fleet Engine. تتيح لك هذه الأدوار تخصيص أذونات الوصول إلى مختلف العمليات والبيانات لتلبية متطلبات السائقين والمستهلكين ومشغّلي الأسطول .

ما المقصود بحساب الخدمة؟

حسابات الخدمة هي حسابات Google Cloud Console التي تستخدمها للمصادقة والحصول على إذن بالوصول إلى البيانات في Fleet Engine. ويحتوي Fleet Engine على مجموعة من أدوار سياسة إدارة الهوية وإمكانية الوصول (IAM) المحدّدة مسبقًا التي تحدّدها لحساب الخدمة لتحديد البيانات التي يمكن لهذا الحساب الوصول إليها.

أدوار حساب خدمة Fleet Engine

تحدد خدمة التنقل التي تختارها لتركيب Fleet Engine الأدوار والأذونات المضمنة.

توضح الأدوار التالية كيفية عمل الأذونات مع أدوار Fleet Engine:

  • يمكن لدورَي ondemandAdmin وdeliveryAdmin تنفيذ جميع العمليات في Fleet Engine. لا تستخدِم هذه الأدوار إلا في البيئات الموثوق بها، مثل المراسلات بين خادم الخلفية وFleet Engine.

  • لا يُسمح لدورَي driverSdkUser وconsumerSdkUser سوى بالحصول على تفاصيل الرحلات المخصّصة وتعديل الموقع الجغرافي للمركبة أو تلقّيه. وعادةً ما يستخدم العملاء هذه الأنواع من الأدوار في البيئات التي تتسم بمستوى منخفض من الثقة، مثل تطبيقات السائق أو المستهلك أو المراقبة.

إنّ الأدوار والأذونات الممنوحة للرحلات عند الطلب والمهام المجدولة هي الموضحة في الجداول التالية.

الرحلات عند الطلب

الدور الإذن

مشرف عند الطلب من Fleet Engine

roles/fleetengine.ondemandAdmin

لمنح الإذن بالقراءة والكتابة لجميع المركبات والرحلات الموارد. لا يحتاج المشرفون الذين لديهم هذا الدور إلى استخدام تنسيقات JWT ويجب بدلاً من ذلك استخدام بيانات الاعتماد التلقائية للتطبيق كلما أمكن ذلك. يتجاهل هذا الدور مطالبات JWT المخصّصة. حصر استخدام هذا الدور في البيئات الموثوق بها، مثل خادم الخلفية

مستخدم Fleet Engine Driver SDK

roles/fleetengine.driverSdkUser

تعديل مواقع المركبات ومسارات التنقّل واسترداد معلومات عن المركبات والرحلات استخدِم تنسيقات JWT مع مطالبات مخصّصة تم إنشاؤها باستخدام هذا الدور للمصادقة والتفويض من تطبيقات السائقين لخدمات المشاركة في الرحلات أو التسليم.

مستخدم حزمة SDK لمستهلك Fleet Engine

roles/fleetengine.consumerSdkUser

ابحث عن المركبات واسترجِع معلومات حول المركبات رحلات. استخدام JWT مع المطالبات المخصّصة التي تم إنشاؤها باستخدام هذا الدور تطبيقات المستهلك لمشاركة الرحلات أو التوصيل .

المهام المُجدوَلة

الدور الإذن

مشرف تسليم محرّك الأسطول

roles/fleetengine.deliveryAdmin

لمنح الإذن بالقراءة والكتابة لموارد التسليم لا يحتاج المستخدمون الرئيسيون الذين لديهم هذا الدور إلى استخدام تنسيقات JWT، بل عليهم استخدام بيانات الاعتماد التلقائية للتطبيق بدلاً من ذلك. تتجاهل هذه الطريقة مطالبات JWT المخصّصة. حصر استخدام هذا الدور بالبيئات الموثوق بها، مثل خادم الخلفية

قارئ أسطول نقل الأسطول

roles/fleetengine.deliveryFleetReader

منح الإذن بقراءة مركبات التسليم والمهام والبحث عن المهام باستخدام رقم تعريف التتبّع الرموز المميزة الصادرة عن حساب الخدمة مع هذا الدور عادةً من شبكة ويب مشغل أسطول التسليم المتصفح.

مستخدم غير موثوق بسائق يقدّم مجموعة المحرّكات

roles/fleetengine.deliveryUntrustedDriver

يمنح الإذن بتعديل الموقع الجغرافي لمركبة التسليم. عادةً ما يتم استخدام الرموز المميّزة التي يصدرها حساب خدمة لديه هذا الدور من جهاز جوّال لسائق التسليم.

ملاحظة: يشير "غير موثوق به" إلى جهاز السائق الذي لا تديره إدارة تكنولوجيا المعلومات في الشركة، ولكن يتم توفيره من قِبل السائق وعادةً ما يكون بدون عناصر التحكّم المناسبة في أمان تكنولوجيا المعلومات. على المؤسسات التي تتّبع سياسات "استخدام جهازك الخاص" تفعيل وضع أمان هذا الدور وعدم الاعتماد إلا على التطبيق المتوافق مع الأجهزة الجوّالة لإرسال آخر المعلومات المتعلّقة بالموقع الجغرافي للمركبة إلى Fleet Engine. كل التفاعلات الأخرى يجب أن تنشأ من خوادم الخلفية.

مستخدم تسليم محرك الأسطول

roles/fleetengine.deliveryConsumer

يمنح الإذن بالبحث عن المهام باستخدام رقم تعريف التتبّع، وقراءة معلومات المهام بدون تعديلها. الرموز المميزة التي تصدرها خدمة التي تتولى هذا الدور عادةً ما تُستخدم من حساب مستهلك Google.

مستخدم برنامج التشغيل الموثوق به في نظام تسليم Fleet Engine

roles/fleetengine.deliveryTrustedDriver

لمنح الإذن لإنشاء وتحديث مركبات التسليم المهام، بما في ذلك تحديث موقع مركبة التسليم وحالة المهمة أو نتيجته. إنّ الرموز المميّزة التي يتم إصدارها من خلال حساب خدمة يتولى هذا الدور: يتم استخدامها عادةً من الأجهزة الجوّالة لسائق التوصيل أو من لخوادم الخلفية.

ملاحظة: تشير عبارة "موثوق به" إلى جهاز السائق الذي يديره قسم تكنولوجيا المعلومات للشركات لديه عناصر التحكم الخاصة بالأمان المناسبة. يمكن للمؤسسات التي توفّر هذه الأجهزة اختيار دمج تفاعلات Fleet Engine في التطبيق المتوافق مع الأجهزة الجوّالة.

كيفية استخدام حسابات الخدمة مع Fleet Engine

لاستخدام حسابات الخدمة للمصادقة والتفويض في Fleet Engine، اتبع هذه الخطوات العامة:

  1. أنشئ حسابات خدمة في Google Cloud Console لكل دور تحتاجه. تحتاج إلى حسابات خدمة لمصادقة برنامج التشغيل والمستهلك ومراقبة الأسطول وإدارة الأساطيل ومواقع الويب - أي برنامج يحتاج إلى الوصول إلى بيانات Fleet Engine. البرامج التي تحتاج إلى يمكن استخدام الأذونات نفسها لحساب الخدمة نفسه.

  2. امنح دور Fleet Engine لكل حساب خدمة. حدد Fleet دور سياسة إدارة الهوية وإمكانية الوصول (IAM) الخاصة بالمحرك والذي يوفر الوصول المناسب لتحديث بياناتك في Fleet Engine.

  3. استخدِم حسابات الخدمة المناسبة في تطبيقاتك وبرامجك من أجل: ومصادقة اتصالها بـ Fleet Engine، والسماح بالوصول إلى الموارد التي منحها الدور المعين.

لمعرفة تفاصيل عن كيفية تناسب أدوار حسابات الخدمة مع أمان Fleet Engine، يُرجى الاطّلاع على نظرة عامة على الأمان. للحصول على شرح كامل لأدوار حساب الخدمة، يُرجى الاطّلاع على التعرّف على أدوار "إدارة الهوية وإمكانية الوصول" في مستندات Google Cloud.

الخطوات التالية