Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

IAM-Einrichtung und Dienstkontorollen

Die korrekte Konfiguration von IAM ist eine Voraussetzung für die Sicherheits- und Identitätsverwaltung Ihres Fleet Engine-Systems. Mit IAM-Rollen können Sie den Zugriff auf verschiedene Vorgänge und Daten an die Anforderungen von Fahrern, Kunden und Flottenbetreibern anpassen.

Was sind Dienstkonten und IAM-Rollen?

Sie richten Dienstkonten in der Google Cloud Console ein, um den Zugriff auf Daten in Fleet Engine zu authentifizieren und zu autorisieren. Fleet Engine bietet eine Reihe vordefinierter IAM-Rollen, die Sie einem Dienstkonto zuweisen, um festzulegen, auf welche Daten dieses Konto Zugriff hat. Weitere Informationen finden Sie in der Google Cloud-Dokumentation unter Übersicht über Dienstkonten.

Fleet Engine verwendet IAM-Rollen und ‑Richtlinien, um die Autorisierung für Fleet Engine API-Methoden und ‑Ressourcen zu verwalten. Weitere Informationen finden Sie in der Google Cloud-Dokumentation unter Übersicht über Rollen. Verwenden Sie nur die in den folgenden Abschnitten beschriebenen Fleet Engine-Dienstkontorollen.

Allgemeinere Informationen zum Zuweisen von IAM-Rollen finden Sie unter IAM-Rolle mithilfe der Google Cloud Console gewähren.

Fleet Engine-Dienstkontorollen

Der Mobilitätsdienst, den Sie für Ihre Fleet Engine-Installation auswählen, bestimmt die Rollen und Berechtigungen, die enthalten sind.

Die folgenden Rollen veranschaulichen, wie Berechtigungen mit Fleet Engine-Rollen funktionieren:

Mit den Rollen ondemandAdmin und deliveryAdmin können alle Vorgänge in Fleet Engine ausgeführt werden. Verwenden Sie diese Rollen nur in vertrauenswürdigen Umgebungen, z. B. bei der Kommunikation zwischen Ihrem Back-End-Server und Fleet Engine.
Mit den Rollen driverSdkUser und consumerSdkUser können nur Details zu zugewiesenen Fahrten abgerufen und die Fahrzeugposition aktualisiert oder empfangen werden. Diese Rollentypen werden in der Regel von Clients in Umgebungen mit geringem Vertrauen verwendet, z. B. von Fahrer-, Kunden- oder Monitoring-Apps.

Die für On-Demand-Fahrten und geplante Aufgaben gewährten Rollen und Berechtigungen sind in den folgenden Tabellen beschrieben.

On-Demand-Fahrten

Rolle Berechtigung

Rolle	Berechtigung
Fleet Engine On-Demand Admin `roles/fleetengine.ondemandAdmin`	Gewährt Lese-, Schreib- und Löschberechtigungen für alle Fahrzeug- und Fahrtressourcen. Prinzipale mit dieser Rolle müssen keine JWTs verwenden, sondern sollten nach Möglichkeit Standardanmeldedaten für Anwendungen verwenden. Diese Rolle ignoriert benutzerdefinierte JWT-Anforderungen. Beschränken Sie die Verwendung dieser Rolle auf vertrauenswürdige Umgebungen wie Ihren Back-End-Server.
Fleet Engine Driver SDK-Nutzer `roles/fleetengine.driverSdkUser`	Fahrzeugpositionen und ‑routen aktualisieren und Informationen zu Fahrzeugen und Fahrten abrufen. Verwenden Sie JWTs mit benutzerdefinierten Anforderungen, die mit dieser Rolle erstellt wurden, zur Authentifizierung und Autorisierung von Fahrer-Apps für Mitfahrgelegenheiten oder Lieferungen.
Fleet Engine Consumer SDK-Nutzer `roles/fleetengine.consumerSdkUser`	Nach Fahrzeugen suchen und Informationen zu Fahrzeugen und Fahrten abrufen. Verwenden Sie JWTs mit benutzerdefinierten Anforderungen, die mit dieser Rolle erstellt wurden, für Kunden-Apps für Mitfahrgelegenheiten oder Lieferungen .

Fleet Engine On-Demand Admin

roles/fleetengine.ondemandAdmin

Gewährt Lese-, Schreib- und Löschberechtigungen für alle Fahrzeug- und Fahrtressourcen. Prinzipale mit dieser Rolle müssen keine JWTs verwenden, sondern sollten nach Möglichkeit Standardanmeldedaten für Anwendungen verwenden. Diese Rolle ignoriert benutzerdefinierte JWT-Anforderungen. Beschränken Sie die Verwendung dieser Rolle auf vertrauenswürdige Umgebungen wie Ihren Back-End-Server.

Fleet Engine Driver SDK-Nutzer

roles/fleetengine.driverSdkUser

Fahrzeugpositionen und ‑routen aktualisieren und Informationen zu Fahrzeugen und Fahrten abrufen. Verwenden Sie JWTs mit benutzerdefinierten Anforderungen, die mit dieser Rolle erstellt wurden, zur Authentifizierung und Autorisierung von Fahrer-Apps für Mitfahrgelegenheiten oder Lieferungen.

Fleet Engine Consumer SDK-Nutzer

roles/fleetengine.consumerSdkUser

Nach Fahrzeugen suchen und Informationen zu Fahrzeugen und Fahrten abrufen. Verwenden Sie JWTs mit benutzerdefinierten Anforderungen, die mit dieser Rolle erstellt wurden, für Kunden-Apps für Mitfahrgelegenheiten oder Lieferungen .

Geplante Aufgaben

Rolle Berechtigung

Rolle	Berechtigung
Fleet Engine Delivery Admin `roles/fleetengine.deliveryAdmin`	Gewährt Lese-, Schreib- und Löschberechtigungen für Lieferressourcen. Prinzipale mit dieser Rolle müssen keine JWTs verwenden, sondern sollten stattdessen Standardanmeldedaten für Anwendungen verwenden. Ignoriert benutzerdefinierte JWT-Anforderungen. Beschränken Sie die Verwendung dieser Rolle auf vertrauenswürdige Umgebungen wie Ihren Back-End-Server.
Fleet Engine Delivery Fleet Reader `roles/fleetengine.deliveryFleetReader`	Gewährt die Berechtigung, Lieferfahrzeuge und ‑aufgaben zu lesen und nach Aufgaben anhand einer Tracking-ID zu suchen. Tokens, die von einem Dienstkonto mit dieser Rolle ausgestellt wurden, werden in der Regel über den Webbrowser eines Flottenbetreibers verwendet.
Nicht vertrauenswürdiger Fleet Engine Delivery-Fahrernutzer `roles/fleetengine.deliveryUntrustedDriver`	Gewährt die Berechtigung, die Position des Lieferfahrzeugs zu aktualisieren. Tokens die von einem Dienstkonto mit dieser Rolle ausgestellt wurden, werden in der Regel über das Mobilgerät des Fahrers verwendet. Hinweis: „Nicht vertrauenswürdig“ bezieht sich auf ein Fahrergerät, das nicht von der IT-Abteilung des Unternehmens verwaltet wird, sondern stattdessen vom Fahrer bereitgestellt wird und in der Regel keine angemessenen IT-Sicherheitskontrollen hat. Organisationen mit Richtlinien für private Geräte sollten die Sicherheit dieser Rolle nutzen und sich nur auf die mobile App verlassen, um Fahrzeugpositionsaktualisierungen an Fleet Engine zu senden. Alle anderen Interaktionen sollten von Ihren Back-End-Servern ausgehen.
Fleet Engine Delivery-Privatnutzer `roles/fleetengine.deliveryConsumer`	Gewährt die Berechtigung, nach Aufgaben anhand einer Tracking-ID zu suchen und Aufgabeninformationen zu lesen, aber nicht zu aktualisieren. Tokens, die von einem Dienstkonto mit dieser Rolle ausgestellt wurden, werden in der Regel über den Webbrowser eines Lieferkunden verwendet.
Nutzer der vertrauenswürdigen Treiber von Fleet Engine Delivery `roles/fleetengine.deliveryTrustedDriver`	Gewährt die Berechtigung, Lieferfahrzeuge und Aufgaben zu erstellen und zu aktualisieren, einschließlich der Aktualisierung der Position des Lieferfahrzeugs und des Aufgabenstatus oder -ergebnisses. Tokens, die von einem Dienstkonto mit dieser Rolle ausgestellt wurden, werden in der Regel über die Mobilgeräte des Fahrers oder über Ihre Back-End-Server verwendet. Hinweis: „Vertrauenswürdig“ bezieht sich auf ein Fahrergerät, das von der IT-Abteilung des Unternehmens verwaltet wird und über angemessene Sicherheitskontrollen verfügt. Organisationen, die diese Geräte bereitstellen, können Fleet Engine-Interaktionen in die mobile App einbinden.

Fleet Engine Delivery Admin

roles/fleetengine.deliveryAdmin

Gewährt Lese-, Schreib- und Löschberechtigungen für Lieferressourcen. Prinzipale mit dieser Rolle müssen keine JWTs verwenden, sondern sollten stattdessen Standardanmeldedaten für Anwendungen verwenden. Ignoriert benutzerdefinierte JWT-Anforderungen. Beschränken Sie die Verwendung dieser Rolle auf vertrauenswürdige Umgebungen wie Ihren Back-End-Server.

Fleet Engine Delivery Fleet Reader

roles/fleetengine.deliveryFleetReader

Gewährt die Berechtigung, Lieferfahrzeuge und ‑aufgaben zu lesen und nach Aufgaben anhand einer Tracking-ID zu suchen. Tokens, die von einem Dienstkonto mit dieser Rolle ausgestellt wurden, werden in der Regel über den Webbrowser eines Flottenbetreibers verwendet.

Nicht vertrauenswürdiger Fleet Engine Delivery-Fahrernutzer

roles/fleetengine.deliveryUntrustedDriver

Gewährt die Berechtigung, die Position des Lieferfahrzeugs zu aktualisieren. Tokens die von einem Dienstkonto mit dieser Rolle ausgestellt wurden, werden in der Regel über das Mobilgerät des Fahrers verwendet.

Hinweis: „Nicht vertrauenswürdig“ bezieht sich auf ein Fahrergerät, das nicht von der IT-Abteilung des Unternehmens verwaltet wird, sondern stattdessen vom Fahrer bereitgestellt wird und in der Regel keine angemessenen IT-Sicherheitskontrollen hat. Organisationen mit Richtlinien für private Geräte sollten die Sicherheit dieser Rolle nutzen und sich nur auf die mobile App verlassen, um Fahrzeugpositionsaktualisierungen an Fleet Engine zu senden. Alle anderen Interaktionen sollten von Ihren Back-End-Servern ausgehen.

Fleet Engine Delivery-Privatnutzer

roles/fleetengine.deliveryConsumer

Gewährt die Berechtigung, nach Aufgaben anhand einer Tracking-ID zu suchen und Aufgabeninformationen zu lesen, aber nicht zu aktualisieren. Tokens, die von einem Dienstkonto mit dieser Rolle ausgestellt wurden, werden in der Regel über den Webbrowser eines Lieferkunden verwendet.

Nutzer der vertrauenswürdigen Treiber von Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

Gewährt die Berechtigung, Lieferfahrzeuge und Aufgaben zu erstellen und zu aktualisieren, einschließlich der Aktualisierung der Position des Lieferfahrzeugs und des Aufgabenstatus oder -ergebnisses. Tokens, die von einem Dienstkonto mit dieser Rolle ausgestellt wurden, werden in der Regel über die Mobilgeräte des Fahrers oder über Ihre Back-End-Server verwendet.

Hinweis: „Vertrauenswürdig“ bezieht sich auf ein Fahrergerät, das von der IT-Abteilung des Unternehmens verwaltet wird und über angemessene Sicherheitskontrollen verfügt. Organisationen, die diese Geräte bereitstellen, können Fleet Engine-Interaktionen in die mobile App einbinden.

IAM-Rollen und Dienstkonten mit Fleet Engine verwenden

So verwenden Sie Dienstkonten für die Authentifizierung und Autorisierung in Fleet Engine:

Erstellen Sie in der Google Cloud Console Dienstkonten für jede Rolle, die Sie benötigen. Sie benötigen Dienstkonten, um Fahrer-, Kunden-, Flottenmonitoring- und Flottenverwaltungsanwendungen und ‑Websites zu authentifizieren – jede Software, die Zugriff auf Fleet Engine-Daten benötigt. Software, die dieselben Berechtigungen benötigt, kann dasselbe Dienstkonto verwenden.
Weisen Sie jedem Dienstkonto eine Fleet Engine IAM-Richtlinienrolle zu. Wählen Sie die Fleet Engine-spezifische IAM-Richtlinienrolle aus, die die entsprechenden Berechtigungen für den Zugriff auf oder die Aktualisierung Ihrer Daten in Fleet Engine bietet.
Verwenden Sie die entsprechenden Dienstkonten in Ihren Apps und Ihrer Software, um die Verbindung zu Fleet Engine zu authentifizieren und den Zugriff auf die Ressourcen zu autorisieren, die durch die zugewiesene Rolle gewährt werden.

Weitere Informationen dazu, wie Dienstkontorollen in die Fleet Engine-Sicherheit passen, finden Sie unter Sicherheit – Übersicht. Eine vollständige Erläuterung der Dienstkonto rollen finden Sie in der Google Cloud-Dokumentation unter IAM-Rollen.

Nächste Schritte

Lesen Sie mehr über JSON Web Tokens, um ihre Verwendung in Fleet Engine zu verstehen.
Eine Übersicht über die Fleet Engine-Sicherheit finden Sie unter Sicherheit Übersicht.
Eine vollständige Erläuterung der Dienstkontorollen der Google Cloud Console finden Sie unter IAM-Rollen.