Se usó la API de Cloud Translation para traducir esta página.

Roles de la cuenta de servicio

Los roles de las cuentas de servicio forman una clave clave de administración de identidades y seguridad para tus del sistema y te permiten adaptar diferentes operaciones y mostrar diferentes datos a los conductores, los consumidores y los operadores de flota.

¿Qué es una cuenta de servicio?

Para administrar el acceso de las aplicaciones cliente a tus datos en Fleet Engine, debes proporcionan cuentas de servicio, que autentican la actividad de software por parte de un rol predeterminado en lugar de autenticar a los usuarios mediante una y mecanismo de identidad. Los usuarios que acceden a los datos desde tu sistema lo hacen a través de un cliente que usa este rol de cuenta, lo que luego limita los permisos solo a aquellos partes del sistema que se consideren adecuadas para un propósito específico. Este tipo de la restricción del alcance se basa en el concepto del Principio de .

Para obtener una explicación completa de los roles de las cuentas de servicio, consulta Comprende los roles de IAM en la documentación de Google Cloud.

¿Cómo funcionan los roles de la cuenta de servicio con Fleet Engine?

Los roles de IAM definen un conjunto de permisos en los recursos permitidos para una principal. Por ejemplo, los roles de Administrador pueden hacer todo lo que las credenciales predeterminadas de la aplicación, mientras que el rol de Controlador no confiable solo puede actualizar la ubicación del vehículo y está restringido a usar JWT para autenticación y autorización.
Para entornos que no son de confianza, como teléfonos celulares y navegadores web, JWT proporcionan restricciones adicionales solo a aquellas entidades a las que puede operar el llamador. Pueden ser para vehículos, viajes o tareas específicos.
El código que se ejecuta en un entorno de baja confianza primero debe llamar a tu código. que se ejecuta en un entorno de confianza que emite el JWT.
Fleet Engine realiza los siguientes controles de seguridad en las llamadas a la API para un recurso:
1. La principal que realiza la llamada tiene los permisos adecuados (a través del rol asignación) para la acción en el recurso.
2. Para los roles que no son de administrador, los reclamos de JWT pasados en la solicitud proporcionan el el permiso necesario para el recurso.

Para obtener más información, consulta Tokens web JSON.

Roles de la cuenta de servicio de Fleet Engine

Según el servicio de movilidad que elijas, la instalación de Fleet Engine usará los roles y permisos que se describen a continuación.

Viajes on demand

Rol Permiso

Rol	Permiso
Administrador a pedido de Fleet Engine `roles/fleetengine.ondemandAdmin`	Otorga permisos de lectura y escritura para todos los vehículos y viajes de Google Cloud. Las principales con este rol no necesitan usar JWT y debe usar la credencial predeterminada de la aplicación. Ignora el mensaje personalizado Reclamaciones de JWT. Este rol debe restringirse a entornos de confianza como tu propio servidor. Es posible que algunos usuarios de Fleet Engine aún vean el Rol de superusuario del servicio de Fleet Engine, pero esta función dejó de estar disponible.
Usuario de SDK para el controlador de Fleet Engine `roles/fleetengine.driverSdkUser`	Actualiza ubicaciones y rutas de vehículos, y recupera información sobre vehículos y viajes. Por lo general, los tokens se usan del transporte compartido o apps de repartidores.
Usuario de SDK para el consumidor de Fleet Engine `roles/fleetengine.consumerSdkUser`	Busca vehículos y obtén información sobre ellos y viajes. Por lo general, los tokens se usan de transporte compartido o entrega aplicaciones para consumidores.

Administrador a pedido de Fleet Engine

roles/fleetengine.ondemandAdmin

Otorga permisos de lectura y escritura para todos los vehículos y viajes de Google Cloud. Las principales con este rol no necesitan usar JWT y debe usar la credencial predeterminada de la aplicación. Ignora el mensaje personalizado Reclamaciones de JWT. Este rol debe restringirse a entornos de confianza como tu propio servidor.

Es posible que algunos usuarios de Fleet Engine aún vean el Rol de superusuario del servicio de Fleet Engine, pero esta función dejó de estar disponible.

Usuario de SDK para el controlador de Fleet Engine

roles/fleetengine.driverSdkUser

Actualiza ubicaciones y rutas de vehículos, y recupera información sobre vehículos y viajes. Por lo general, los tokens se usan del transporte compartido o apps de repartidores.

Usuario de SDK para el consumidor de Fleet Engine

roles/fleetengine.consumerSdkUser

Busca vehículos y obtén información sobre ellos y viajes. Por lo general, los tokens se usan de transporte compartido o entrega aplicaciones para consumidores.

Tareas programadas

Rol Permiso

Rol	Permiso
Administrador de entrega de Fleet Engine `roles/fleetengine.deliveryAdmin`	Otorga permisos de lectura y escritura para los recursos de entrega. Las principales con este rol no necesitan usar JWT y, en su lugar, deben usar Credenciales predeterminadas de la aplicación. Se ignoran las reclamaciones personalizadas de JWT. Esta de acceso deberían restringirse a entornos de confianza, como servidores propios.
Lector de flota de entrega de Fleet Engine `roles/fleetengine.deliveryFleetReader`	Otorga permiso para leer tareas y vehículos de entrega, así como buscar tareas con un ID de seguimiento. Tokens emitidos por una cuenta de servicio con este rol suelen usarse desde la red web de un operador de flota navegador.
Usuario de controlador no confiable de entrega de Fleet Engine `roles/fleetengine.deliveryUntrustedDriver`	Otorga permiso para actualizar la ubicación del vehículo de entrega. Tokens que emite una cuenta de servicio con este rol, por lo general, se usan desde tu el dispositivo móvil del repartidor. Nota: No confiable alude a un dispositivo de un conductor que no es administrado por TI, sino proporcionadas por el conductor y, por lo general, no cuentan con la seguridad de TI adecuada controles de seguridad. Las organizaciones que usan políticas de “Trae tu propio dispositivo” deben optar por por la seguridad de este rol y solo debes usar la app para dispositivos móviles para enviar actualizaciones de ubicación de vehículos a Fleet Engine. Todas las demás interacciones deben originarse en tus servidores backend.
Usuario consumidor de entrega de Fleet Engine `roles/fleetengine.deliveryConsumer`	Otorga permiso para buscar tareas mediante un ID de seguimiento. leer, pero no actualizar la información de la tarea. Tokens emitidos por un servicio con este rol, suelen usarse desde la cuenta de un consumidor navegador web.
Usuario de controlador confiable de entrega de Fleet Engine `roles/fleetengine.deliveryTrustedDriver`	Otorga permiso para crear y actualizar vehículos de entrega y tareas, como actualizar la ubicación del vehículo de entrega y el estado de las tareas o resultado. Los tokens emitidos por una cuenta de servicio con este rol se normalmente se usan desde los dispositivos móviles del repartidor o desde de tus servidores de backend. Nota: Confiable se refiere al dispositivo de un conductor administrado por de TI empresarial que cuenta con los controles de seguridad adecuados. Organizaciones que estos dispositivos pueden optar por integrar las interacciones de Fleet Engine en la aplicación móvil.

Administrador de entrega de Fleet Engine

roles/fleetengine.deliveryAdmin

Otorga permisos de lectura y escritura para los recursos de entrega. Las principales con este rol no necesitan usar JWT y, en su lugar, deben usar Credenciales predeterminadas de la aplicación. Se ignoran las reclamaciones personalizadas de JWT. Esta de acceso deberían restringirse a entornos de confianza, como servidores propios.

Lector de flota de entrega de Fleet Engine

roles/fleetengine.deliveryFleetReader

Otorga permiso para leer tareas y vehículos de entrega, así como buscar tareas con un ID de seguimiento. Tokens emitidos por una cuenta de servicio con este rol suelen usarse desde la red web de un operador de flota navegador.

Usuario de controlador no confiable de entrega de Fleet Engine

roles/fleetengine.deliveryUntrustedDriver

Otorga permiso para actualizar la ubicación del vehículo de entrega. Tokens que emite una cuenta de servicio con este rol, por lo general, se usan desde tu el dispositivo móvil del repartidor.

Nota: No confiable alude a un dispositivo de un conductor que no es administrado por TI, sino proporcionadas por el conductor y, por lo general, no cuentan con la seguridad de TI adecuada controles de seguridad. Las organizaciones que usan políticas de “Trae tu propio dispositivo” deben optar por por la seguridad de este rol y solo debes usar la app para dispositivos móviles para enviar actualizaciones de ubicación de vehículos a Fleet Engine. Todas las demás interacciones deben originarse en tus servidores backend.

Usuario consumidor de entrega de Fleet Engine

roles/fleetengine.deliveryConsumer

Otorga permiso para buscar tareas mediante un ID de seguimiento. leer, pero no actualizar la información de la tarea. Tokens emitidos por un servicio con este rol, suelen usarse desde la cuenta de un consumidor navegador web.

Usuario de controlador confiable de entrega de Fleet Engine

roles/fleetengine.deliveryTrustedDriver

Otorga permiso para crear y actualizar vehículos de entrega y tareas, como actualizar la ubicación del vehículo de entrega y el estado de las tareas o resultado. Los tokens emitidos por una cuenta de servicio con este rol se normalmente se usan desde los dispositivos móviles del repartidor o desde de tus servidores de backend.

Nota: Confiable se refiere al dispositivo de un conductor administrado por de TI empresarial que cuenta con los controles de seguridad adecuados. Organizaciones que estos dispositivos pueden optar por integrar las interacciones de Fleet Engine en la aplicación móvil.

¿Qué sigue?

Obtén información sobre los tokens web JSON para comprender su uso en Fleet Engine.