Cette page a été traduite par l'API Cloud Translation.

Configuration IAM et rôles de compte de service

La configuration correcte d'IAM est une condition préalable à la gestion de la sécurité et de l'identité pour votre système Fleet Engine. Utilisez des rôles IAM pour adapter l'accès à différentes opérations et données afin de répondre aux exigences des conducteurs, des consommateurs et des opérateurs de parcs.

Qu'est-ce qu'un compte de service et un rôle IAM ?

Vous configurez des comptes de service dans la console Google Cloud pour authentifier et autoriser l'accès aux données dans Fleet Engine. Fleet Engine dispose d'un ensemble de rôles IAM prédéterminés que vous attribuez à un compte de service pour déterminer à quelles données ce compte a accès. Pour en savoir plus, consultez la section Présentation des comptes de service dans la documentation Google Cloud.

Fleet Engine utilise des rôles et des stratégies IAM pour gérer l'autorisation des méthodes et des ressources de l'API Fleet Engine. Pour en savoir plus, consultez la page Présentation des rôles dans la documentation Google Cloud. N'utilisez que les rôles de compte de service Fleet Engine décrits dans les sections suivantes.

Pour en savoir plus sur l'attribution de rôles IAM, consultez la page Attribuer un rôle IAM à l'aide de la console Google Cloud.

Rôles de compte de service Fleet Engine

Le service de mobilité que vous choisissez pour l'installation de Fleet Engine détermine les rôles et les autorisations inclus.

Les rôles suivants illustrent le fonctionnement des autorisations avec les rôles Fleet Engine:

Les rôles ondemandAdmin et deliveryAdmin peuvent effectuer toutes les opérations dans Fleet Engine. N'utilisez ces rôles que dans des environnements approuvés, tels que les communications entre votre serveur backend et Fleet Engine.
Les rôles driverSdkUser et consumerSdkUser ne sont autorisés qu'à obtenir des informations sur les trajets attribués, et à mettre à jour ou à recevoir la position du véhicule. Ces types de rôles sont généralement utilisés par les clients dans des environnements à faible confiance, tels que les applications de pilote, de consommation ou de surveillance.

Les rôles et les autorisations accordés pour les trajets à la demande et les tâches planifiées sont décrits dans les tableaux suivants.

Voyages à la demande

Rôle Autorisation

Rôle	Autorisation
Administrateur Fleet Engine On-Demand `roles/fleetengine.ondemandAdmin`	Accorde une autorisation de lecture et d'écriture pour toutes les ressources de véhicules et de trajets. Les comptes principaux dotés de ce rôle n'ont pas besoin d'utiliser de jetons JWT et doivent plutôt utiliser les identifiants par défaut de l'application dans la mesure du possible. Ce rôle ignore les revendications JWT personnalisées. Limitez l'utilisation de ce rôle aux environnements approuvés, tels que votre serveur backend.
Utilisateur du SDK pilote Fleet Engine `roles/fleetengine.driverSdkUser`	Mettez à jour leur position et leurs itinéraires, et récupérez des informations sur les véhicules et les trajets. Utilisez des jetons JWT avec des revendications personnalisées créées avec ce rôle pour l'authentification et l'autorisation des applications de chauffeur pour le partage de course ou la livraison.
Utilisateur du SDK client Fleet Engine `roles/fleetengine.consumerSdkUser`	Recherchez des véhicules, et récupérez des informations sur les véhicules et les trajets. Utilisez des jetons JWT avec des revendications personnalisées créées avec ce rôle pour les applications grand public de covoiturage ou de livraison.

Administrateur Fleet Engine On-Demand

roles/fleetengine.ondemandAdmin

Accorde une autorisation de lecture et d'écriture pour toutes les ressources de véhicules et de trajets. Les comptes principaux dotés de ce rôle n'ont pas besoin d'utiliser de jetons JWT et doivent plutôt utiliser les identifiants par défaut de l'application dans la mesure du possible. Ce rôle ignore les revendications JWT personnalisées. Limitez l'utilisation de ce rôle aux environnements approuvés, tels que votre serveur backend.

Utilisateur du SDK pilote Fleet Engine

roles/fleetengine.driverSdkUser

Mettez à jour leur position et leurs itinéraires, et récupérez des informations sur les véhicules et les trajets. Utilisez des jetons JWT avec des revendications personnalisées créées avec ce rôle pour l'authentification et l'autorisation des applications de chauffeur pour le partage de course ou la livraison.

Utilisateur du SDK client Fleet Engine

roles/fleetengine.consumerSdkUser

Recherchez des véhicules, et récupérez des informations sur les véhicules et les trajets. Utilisez des jetons JWT avec des revendications personnalisées créées avec ce rôle pour les applications grand public de covoiturage ou de livraison.

Tâches planifiées

Rôle Autorisation

Rôle	Autorisation
Administrateur Fleet Engine Delivery `roles/fleetengine.deliveryAdmin`	Accorde une autorisation de lecture et d'écriture pour les ressources de diffusion. Les principaux disposant de ce rôle n'ont pas besoin d'utiliser de jetons JWT et doivent plutôt utiliser les identifiants par défaut de l'application. Ignore les revendications JWT personnalisées. Limitez l'utilisation de ce rôle aux environnements approuvés, tels que votre serveur backend.
Lecteur de parc Fleet Engine Delivery `roles/fleetengine.deliveryFleetReader`	Accorde l'autorisation de lire les véhicules et les tâches de livraison, et de rechercher des tâches à l'aide d'un ID de suivi. Les jetons émis par un compte de service disposant de ce rôle sont généralement utilisés à partir du navigateur Web d'un opérateur de flotte de livraison.
Utilisateur non approuvé Fleet Engine Delivery `roles/fleetengine.deliveryUntrustedDriver`	Accorde l'autorisation de mettre à jour l'emplacement du véhicule de livraison. Les jetons émis par un compte de service disposant de ce rôle sont généralement utilisés depuis l'appareil mobile de votre livreur. Remarque : Un appareil non approuvé désigne un appareil de conducteur qui n'est pas géré par l'IT de l'entreprise, mais fourni par le conducteur et généralement sans contrôle de sécurité IT approprié. Les organisations qui ont mis en place des règles BYOD (Bring Your Own Device) doivent privilégier la sécurité de ce rôle et ne s'appuyer que sur l'application mobile pour envoyer des mises à jour de la position des véhicules à Fleet Engine. Toutes les autres interactions doivent provenir de vos serveurs backend.
Consommateur Fleet Engine Delivery `roles/fleetengine.deliveryConsumer`	Accorde l'autorisation de rechercher des tâches à l'aide d'un ID de suivi, et de lire, mais pas de mettre à jour, les informations sur les tâches. Les jetons émis par un compte de service doté de ce rôle sont généralement utilisés à partir du navigateur Web du client du service de livraison.
Utilisateur de confiance Fleet Engine Delivery `roles/fleetengine.deliveryTrustedDriver`	Accorde l'autorisation de créer et de mettre à jour les tâches et les véhicules de livraison, y compris l'emplacement du véhicule de livraison et l'état ou le résultat de la tâche. Les jetons émis par un compte de service disposant de ce rôle sont généralement utilisés à partir des appareils mobiles de votre livreur ou de vos serveurs backend. Remarque : "Approuvé" fait référence à l'appareil d'un conducteur géré par l'IT de l'entreprise, qui dispose de contrôles de sécurité appropriés. Les organisations qui fournissent ces appareils peuvent choisir d'intégrer les interactions avec Fleet Engine dans l'application mobile.

Administrateur Fleet Engine Delivery

roles/fleetengine.deliveryAdmin

Accorde une autorisation de lecture et d'écriture pour les ressources de diffusion. Les principaux disposant de ce rôle n'ont pas besoin d'utiliser de jetons JWT et doivent plutôt utiliser les identifiants par défaut de l'application. Ignore les revendications JWT personnalisées. Limitez l'utilisation de ce rôle aux environnements approuvés, tels que votre serveur backend.

Lecteur de parc Fleet Engine Delivery

roles/fleetengine.deliveryFleetReader

Accorde l'autorisation de lire les véhicules et les tâches de livraison, et de rechercher des tâches à l'aide d'un ID de suivi. Les jetons émis par un compte de service disposant de ce rôle sont généralement utilisés à partir du navigateur Web d'un opérateur de flotte de livraison.

Utilisateur non approuvé Fleet Engine Delivery

roles/fleetengine.deliveryUntrustedDriver

Accorde l'autorisation de mettre à jour l'emplacement du véhicule de livraison. Les jetons émis par un compte de service disposant de ce rôle sont généralement utilisés depuis l'appareil mobile de votre livreur.

Remarque : Un appareil non approuvé désigne un appareil de conducteur qui n'est pas géré par l'IT de l'entreprise, mais fourni par le conducteur et généralement sans contrôle de sécurité IT approprié. Les organisations qui ont mis en place des règles BYOD (Bring Your Own Device) doivent privilégier la sécurité de ce rôle et ne s'appuyer que sur l'application mobile pour envoyer des mises à jour de la position des véhicules à Fleet Engine. Toutes les autres interactions doivent provenir de vos serveurs backend.

Consommateur Fleet Engine Delivery

roles/fleetengine.deliveryConsumer

Accorde l'autorisation de rechercher des tâches à l'aide d'un ID de suivi, et de lire, mais pas de mettre à jour, les informations sur les tâches. Les jetons émis par un compte de service doté de ce rôle sont généralement utilisés à partir du navigateur Web du client du service de livraison.

Utilisateur de confiance Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

Accorde l'autorisation de créer et de mettre à jour les tâches et les véhicules de livraison, y compris l'emplacement du véhicule de livraison et l'état ou le résultat de la tâche. Les jetons émis par un compte de service disposant de ce rôle sont généralement utilisés à partir des appareils mobiles de votre livreur ou de vos serveurs backend.

Remarque : "Approuvé" fait référence à l'appareil d'un conducteur géré par l'IT de l'entreprise, qui dispose de contrôles de sécurité appropriés. Les organisations qui fournissent ces appareils peuvent choisir d'intégrer les interactions avec Fleet Engine dans l'application mobile.

Utiliser des rôles IAM et des comptes de service avec Fleet Engine

Pour utiliser des comptes de service pour l'authentification et l'autorisation dans Fleet Engine, procédez comme suit :

Créez des comptes de service dans la console Google Cloud pour chaque rôle dont vous avez besoin. Vous avez besoin de comptes de service pour authentifier les applications et les sites Web de surveillance et de gestion de parc, ainsi que les logiciels qui ont besoin d'accéder aux données de Fleet Engine. Les logiciels nécessitant les mêmes autorisations peuvent utiliser le même compte de service.
Attribuez un rôle de stratégie IAM Fleet Engine à chaque compte de service. Sélectionnez le rôle de stratégie IAM spécifique à Fleet Engine qui fournit les autorisations appropriées pour accéder à vos données ou les mettre à jour dans Fleet Engine.
Utilisez les comptes de service appropriés dans vos applications et logiciels pour authentifier leur connexion à Fleet Engine, et autoriser l'accès aux ressources accordées par le rôle attribué.

Pour en savoir plus sur l'intégration des rôles de compte de service à la sécurité de Fleet Engine, consultez la présentation de la sécurité. Pour obtenir une explication complète des rôles des comptes de service, consultez la page Comprendre les rôles IAM dans la documentation Google Cloud.

Étape suivante

Découvrez les jetons Web JSON pour comprendre leur utilisation dans Fleet Engine.
Pour en savoir plus sur la sécurité de Fleet Engine, consultez la section Présentation de la sécurité.
Pour une explication complète des rôles de compte de service de la console Google Cloud, consultez Comprendre les rôles IAM.