本頁面由 Cloud Translation API 翻譯而成。

服務帳戶角色

服務帳戶角色是安全性和身分管理服務的重要一環您的 Fleet Engine 系統這些角色可讓您設定作業和資料以符合駕駛、消費者和車隊的需求運算子

什麼是服務帳戶？

服務帳戶是可用來進行驗證的 Google Cloud 控制台帳戶並授予 Fleet Engine 中資料的存取權。Fleet Engine 提供一組可以指派給服務帳戶的預先定義 IAM 政策角色該帳戶可存取的資料

Fleet Engine 服務帳戶角色

您為 Fleet Engine 安裝選擇的行動性服務會決定包含的角色和權限

以下角色說明權限如何與 Fleet Engine 角色搭配運作：

ondemandAdmin 和 deliveryAdmin 角色可以執行所有作業也就是 Fleet Engine 的資料庫請僅在信任的環境中使用這些角色，例如以及後端伺服器與 Fleet Engine 之間的通訊
driverSdkUser 和 consumerSdkUser 角色僅已獲準取得已指派行程的詳細資料，並更新或接收車輛或 HTTP/HTTPS 位置這些角色類型通常由用戶端在低信任環境，例如驅動程式、消費者或監控應用程式。

隨選行程和已排定工作授予的角色和權限如下：如下表所述。

隨選行程

角色權限

角色	權限
Fleet Engine 隨選管理員 `roles/fleetengine.ondemandAdmin`	授予所有車輛和行程的讀取及寫入權限再複習一下，機構節點是所有 Google Cloud Platform 資源的根節點具備這個角色的主體不需要使用 JWT，以及應盡可能使用應用程式預設憑證。這個角色會忽略自訂 JWT 憑證附加資訊。限制使用這個角色：以及您的後端伺服器等安全環境
Fleet Engine 推動者 SDK 使用者 `roles/fleetengine.driverSdkUser`	更新車輛位置和路線，並擷取資訊提供車輛和行程資訊將 JWT 與以下列方式建立的自訂憑證附加資訊搭配使用：這個角色用於驗證及授權代僱駕駛服務或外送。
Fleet Engine 用戶 SDK 使用者 `roles/fleetengine.consumerSdkUser`	搜尋車輛，取得車輛和車輛的相關資訊行程。將 JWT 與以這個角色建立的自訂憑證附加資訊搭配使用，提供代僱駕駛服務或外送服務的消費者應用程式。

Fleet Engine 隨選管理員

roles/fleetengine.ondemandAdmin

授予所有車輛和行程的讀取及寫入權限再複習一下，機構節點是所有 Google Cloud Platform 資源的根節點具備這個角色的主體不需要使用 JWT，以及應盡可能使用應用程式預設憑證。這個角色會忽略自訂 JWT 憑證附加資訊。限制使用這個角色：以及您的後端伺服器等安全環境

Fleet Engine 推動者 SDK 使用者

roles/fleetengine.driverSdkUser

更新車輛位置和路線，並擷取資訊提供車輛和行程資訊將 JWT 與以下列方式建立的自訂憑證附加資訊搭配使用：這個角色用於驗證及授權代僱駕駛服務或外送。

Fleet Engine 用戶 SDK 使用者

roles/fleetengine.consumerSdkUser

搜尋車輛，取得車輛和車輛的相關資訊行程。將 JWT 與以這個角色建立的自訂憑證附加資訊搭配使用，提供代僱駕駛服務或外送服務的消費者應用程式。

已排定的工作

角色權限

角色	權限
Fleet Engine Delivery 管理員 `roles/fleetengine.deliveryAdmin`	授予交付資源的讀取和寫入權限。具備這個角色的主體不需要使用 JWT，而是應改用應用程式預設憑證。忽略自訂 JWT 憑證附加資訊。限制將這個角色用於信任的環境，例如後端伺服器。
Fleet Engine Delivery 機群讀取者 `roles/fleetengine.deliveryFleetReader`	授予讀取貨件和工作的權限，以及來搜尋工作服務帳戶核發的權杖這個角色通常透過貨運車隊營運商的網站使用。
不受信任的 Fleet Engine Delivery 駕駛員使用者 `roles/fleetengine.deliveryUntrustedDriver`	可授予更新送貨車位置的權限。代幣這個角色通常用於您的外送司機的行動裝置。注意：「不受信任」是指不是由公司 IT 管理，而是由公司 IT 管理的裝置所提供的資訊，通常沒有適當的 IT 安全措施控制項已自備裝置政策的機構應選用確保這個角色的安全，只使用行動應用程式傳送將車輛位置更新至 Fleet Engine。所有其他互動應來自後端伺服器
Fleet Engine Delivery 一般使用者 `roles/fleetengine.deliveryConsumer`	可使用追蹤 ID 搜尋工作。讀取工作資訊，但無法更新。服務核發的權杖這個角色的帳戶通常用於貨品消費者的網路瀏覽器。
Fleet Engine Delivery 受信任驅動者 `roles/fleetengine.deliveryTrustedDriver`	可授予建立及更新運輸車輛的權限工作，包括更新送貨車位置和工作狀態或是結果具備這個角色的服務帳戶核發的憑證通常使用送貨司機的行動裝置您的後端伺服器注意：「可信任」是指由具有適當安全性控管機制的公司 IT 人員。符合以下條件的機構這類裝置提供 Fleet Engine 互動模式整合至行動應用程式

Fleet Engine Delivery 管理員

roles/fleetengine.deliveryAdmin

授予交付資源的讀取和寫入權限。具備這個角色的主體不需要使用 JWT，而是應改用應用程式預設憑證。忽略自訂 JWT 憑證附加資訊。限制將這個角色用於信任的環境，例如後端伺服器。

Fleet Engine Delivery 機群讀取者

roles/fleetengine.deliveryFleetReader

授予讀取貨件和工作的權限，以及來搜尋工作服務帳戶核發的權杖這個角色通常透過貨運車隊營運商的網站使用。

不受信任的 Fleet Engine Delivery 駕駛員使用者

roles/fleetengine.deliveryUntrustedDriver

可授予更新送貨車位置的權限。代幣這個角色通常用於您的外送司機的行動裝置。

注意：「不受信任」是指不是由公司 IT 管理，而是由公司 IT 管理的裝置所提供的資訊，通常沒有適當的 IT 安全措施控制項已自備裝置政策的機構應選用確保這個角色的安全，只使用行動應用程式傳送將車輛位置更新至 Fleet Engine。所有其他互動應來自後端伺服器

Fleet Engine Delivery 一般使用者

roles/fleetengine.deliveryConsumer

可使用追蹤 ID 搜尋工作。讀取工作資訊，但無法更新。服務核發的權杖這個角色的帳戶通常用於貨品消費者的網路瀏覽器。

Fleet Engine Delivery 受信任驅動者

roles/fleetengine.deliveryTrustedDriver

可授予建立及更新運輸車輛的權限工作，包括更新送貨車位置和工作狀態或是結果具備這個角色的服務帳戶核發的憑證通常使用送貨司機的行動裝置您的後端伺服器

注意：「可信任」是指由具有適當安全性控管機制的公司 IT 人員。符合以下條件的機構這類裝置提供 Fleet Engine 互動模式整合至行動應用程式

如何搭配使用服務帳戶與 Fleet Engine

如要在 Fleet Engine 中使用服務帳戶進行驗證和授權，請按照下列一般步驟操作：

在 Google Cloud 控制台中，為您建立的每個角色建立服務帳戶 需求。您需要服務帳戶來驗證驅動程式、用戶車隊監控，以及機群管理應用程式和網站 - 必須存取 Fleet Engine 資料的軟體需要都能使用相同的服務帳戶。
為各個服務帳戶指派 Fleet Engine 角色。選取機群提供適當存取權的引擎專屬 IAM 政策角色更新 Fleet Engine 中的資料
在應用程式和軟體中使用適當的服務帳戶，驗證他們與 Fleet Engine 的連線，並授權存取指派的角色

如要進一步瞭解服務帳戶角色在 Fleet Engine 安全性中如何因應，請參閱安全性總覽。如需服務帳戶的完整說明角色，請參閱 Google Cloud 說明文件中的「瞭解 IAM 角色」一文。

後續步驟

請參閱 JSON Web Token，瞭解這些項目在 Fleet Engine 中的用途。
如需 Fleet Engine 安全性總覽，請參閱總覽頁面。
如需 Google Cloud 控制台服務帳戶角色的完整說明，請參閱瞭解 IAM 角色