תפקידים של חשבון שירות הם חלק מרכזי באבטחה ובניהול זהויות במערכת Fleet Engine. התפקידים האלה מאפשרים לך להתאים אישית את הרשאות הגישה תפעול ונתונים כדי לעמוד בדרישות של הנהגים, הצרכנים והציים אופרטורים.
מה זה חשבון שירות?
חשבונות שירות הם חשבונות במסוף Google Cloud שבהם אתם משתמשים כדי לבצע אימות ומתן הרשאה לנתונים ב-Fleet Engine. ב-Fleet Engine יש קבוצה של תפקידי מדיניות IAM מוגדרים מראש שתקצו לחשבון שירות כדי לקבוע לאילו נתונים יש לחשבון זה גישה.
תפקידים של חשבונות שירות ב-Fleet Engine
שירות הניידות שבחרת להתקנת Fleet Engine קובע את התפקידים וההרשאות שכלולים בחבילה.
התפקידים הבאים ממחישים איך ההרשאות פועלות עם התפקידים ב-Fleet Engine:
התפקידים ondemandAdmin ו-deliveryAdmin יכולים לבצע את כל הפעולות ב-Fleet Engine. השתמשו בתפקידים האלה רק בסביבות מהימנות, כמו בין שרת הקצה העורפי שלכם לבין Fleet Engine.
התפקידים driverSdkUser ו-consumerSdkUser מורשים לקבל רק פרטים על נסיעות שהוקצו להם ולעדכן או לקבל את המיקום של הרכב. אלה סוגי התפקידים שבדרך כלל משתמשים בהם לקוחות בסביבות עם רמת אמינות נמוכה, כמו אפליקציות של נהגים, אפליקציות לצרכנים או אפליקציות מעקב.
התפקידים וההרשאות שמוענקים לנסיעות על פי דרישה ולמשימות מתוזמנות הם שמתוארות בטבלאות הבאות.
נסיעות על פי דרישה
תפקיד | הרשאה |
---|---|
אדמין על פי דרישה של Fleet Engine
|
מעניק הרשאת קריאה וכתיבה לכל משאבי הרכב והנסיעות. חשבונות משתמשים עם התפקיד הזה לא צריכים להשתמש באסימוני JWT. כדאי להשתמש במקום זאת ב-Application Default Credentials ככל האפשר. התפקיד הזה מתעלם מהצהרות JWT מותאמות אישית. להגביל את השימוש בתפקיד הזה לסביבות מהימנות, כמו שרת הקצה העורפי. |
משתמש ב-SDK של Fleet Engine Driver
|
עדכון מיקומים ומסלולים של רכבים ואחזור מידע על כלי רכב ונסיעות. שימוש באסימוני JWT עם תלונות מותאמות אישית שנוצרו באמצעות התפקיד הזה לצורך אימות והרשאה מאפליקציות לנהגים עבור שיתוף נסיעות או משלוחים. |
משתמש ב-SDK של Fleet Engine לצרכן
|
חיפוש רכבים ואחזור מידע על רכבים ונסיעות. שימוש באסימוני JWT עם תלונות מותאמות אישית שנוצרו עם התפקיד הזה עבור אפליקציות לצרכנים לשיתוף נסיעות או למשלוחים . |
משימות מתוזמנות
תפקיד | הרשאה |
---|---|
אדמין של מודעות לרכב ב-Fleet
|
התפקיד הזה מאפשר לקרוא ולכתוב למשאבי ההעברה. חשבונות משתמשים עם התפקיד הזה לא צריכים להשתמש באסימוני JWT, ובמקום זאת הם צריכים להשתמש Application Default Credentials. התעלמות מטענות נכונות (claims) מותאמות אישית של JWT. הגבלה לשימוש בתפקיד הזה בסביבות מהימנות, כמו שרת הקצה העורפי. |
Fleet Engine Delivery Fleet Reader
|
התפקיד הזה מאפשר לקרוא רכבים ומשימות למשלוחים, וגם לחפש משימות באמצעות מזהה לצורכי מעקב. בדרך כלל, אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים בדפדפן האינטרנט של מפעיל צי משאיות. |
משתמש לא מהימן של נהג לא מהימן למסירה ב-Fleet Engine
|
התפקיד הזה מאפשר לעדכן את מיקום הרכב למשלוח. אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה, בדרך כלל משמשים מהמכשיר הנייד של נהג המשלוח. הערה: 'לא מהימן' מתייחס למכשיר של נהג שלא מנוהל על ידי מחלקת ה-IT של הארגון, אלא מסופק על ידי הנהג ובדרך כלל ללא אמצעי בקרה מתאימים לאבטחת ה-IT. ארגונים עם מדיניות של 'הבאת מכשיר משלכם' צריכים לבחור באפשרות הבטוחה הזו ולהסתמך רק על האפליקציה לנייד כדי לשלוח עדכונים לגבי מיקום הרכב ל-Fleet Engine. כל האינטראקציות האחרות צריכות להגיע מהשרתים בקצה העורפי. |
משתמש צרכני של Fleet Engine Delivery
|
הרשאה לחפש משימות באמצעות מזהה מעקב, ולקרוא את פרטי המשימות אבל לא לעדכן אותם. בדרך כלל, אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים בדפדפן האינטרנט של צרכן המסירה. |
משתמש 'נהג מהימן' ב-Fleet Engine Delivery
|
מעניק הרשאה ליצור ולעדכן רכבי משלוח משימות, כולל עדכון המיקום וסטטוס המשימה של הרכב המסירה או לתוצאה אחרת. בדרך כלל, אסימונים שהונפקו על ידי חשבון שירות עם התפקיד הזה משמשים במכשירים הניידים של נהגי המשלוחים או בשרתי הקצה העורפי. הערה: 'מכשיר מהימן' מתייחס למכשיר של נהג שמנוהל על ידי צוות ה-IT של הארגון, ויש בו אמצעי בקרת אבטחה מתאימים. ארגונים שמספקים את המכשירים האלה יכולים לשלב את האינטראקציות עם Fleet Engine באפליקציה לנייד. |
איך משתמשים בחשבונות שירות עם Fleet Engine
כדי להשתמש בחשבונות שירות לאימות והרשאה ב-Fleet Engine, בצעו את השלבים הכלליים הבאים:
ליצור חשבונות שירות במסוף Google Cloud לכל תפקיד שאתם מקבלים צריכים. חשבונות שירות נדרשים לאימות של אפליקציות ואתרים למעקב אחרי נהגים, צרכנים, צי רכב וניהול צי רכב – כל תוכנה שזקוקה לגישה לנתונים של Fleet Engine. תוכנות שזקוקות לאותו הרשאות יכולות להשתמש באותו חשבון שירות.
מקצים תפקיד ב-Fleet Engine לכל חשבון שירות. בוחרים את הצי תפקיד מדיניות IAM ספציפי למנוע שמספק את הגישה או לעדכן את הנתונים שלכם ב-Fleet Engine.
משתמשים בחשבונות השירות המתאימים באפליקציות ובתוכנות כדי לאמת את החיבור שלהם ל-Fleet Engine, ולאשר את הגישה למשאבים שהוקצו על ידי התפקיד שהוקצה.
במאמר סקירה כללית על אבטחה מוסבר איך התפקידים של חשבונות השירות משתלבים באבטחה של Fleet Engine. כדי לקבל הסבר מלא על חשבון השירות שלהם, ראו הסבר על תפקידי IAM במאמרי העזרה של Google Cloud.
המאמרים הבאים
- כדאי לקרוא את המאמר בנושא אסימוני JSON Web כדי להבין את השימוש בהם ב-Fleet Engine.
- סקירה כללית על אבטחה
- הסבר מלא על התפקידים של חשבונות שירות במסוף Google Cloud זמין במאמר הסבר על התפקידים ב-IAM.