Dienstkontorollen

Dienstkontorollen sind ein wichtiger Bestandteil der Sicherheit und Identitätsverwaltung für Ihr Fleet Engine-System. Mit diesen Rollen können Sie den Zugriff auf verschiedene Funktionen und Daten an die Anforderungen von Fahrern, Nutzern und Flottenbetreibern anpassen.

Was ist ein Dienstkonto?

Dienstkonten sind Google Cloud Console-Konten, die Sie zur Authentifizierung verwenden und den Zugriff auf Daten in Fleet Engine autorisieren. Fleet Engine bietet eine Reihe vordefinierter IAM-Richtlinienrollen, die Sie einem Dienstkonto zuweisen, um festzulegen, auf welche Daten dieses Konto Zugriff hat.

Fleet Engine-Dienstkontorollen

Der Mobilitätsdienst, den Sie für Ihre Fleet Engine-Installation auswählen, bestimmt enthalten sind.

Die folgenden Rollen veranschaulichen, wie Berechtigungen mit Fleet Engine-Rollen funktionieren:

  • Die Rollen ondemandAdmin und deliveryAdmin können alle Vorgänge ausführen. Fleet Engine nutzen. Verwenden Sie diese Rollen nur in vertrauenswürdigen Umgebungen wie Kommunikation zwischen Ihrem Back-End-Server und Fleet Engine.

  • Nutzer mit den Rollen driverSdkUser und consumerSdkUser dürfen nur Details zu zugewiesenen Fahrten abrufen und den Fahrzeugstandort aktualisieren oder abrufen. Diese Rollentypen werden üblicherweise Umgebungen mit geringem Vertrauen, z. B. Treiber-, Nutzer- oder Monitoring-Anwendungen.

Die Rollen und Berechtigungen, die für Fahrten auf Abruf und geplante Aufgaben gewährt werden, werden in den folgenden Tabellen beschrieben.

On-Demand-Reisen

Rolle Berechtigung

Fleet Engine On-Demand Admin

roles/fleetengine.ondemandAdmin

Gewährt Lese- und Schreibberechtigungen für alle Fahrzeuge und Fahrten Ressourcen. Hauptkonten mit dieser Rolle müssen keine JWTs verwenden und sollten stattdessen nach Möglichkeit Standardanmeldedaten für Anwendungen verwenden. Diese Rolle ignoriert benutzerdefinierte JWT-Anforderungen. Beschränken Sie die Verwendung dieser Rolle auf vertrauenswürdige Umgebungen wie Ihren Back-End-Server.

Fleet Engine Driver SDK-Nutzer

roles/fleetengine.driverSdkUser

Fahrzeugstandorte und -routen aktualisieren und Informationen abrufen zu Fahrzeugen und Fahrten. JWTs mit benutzerdefinierten Anforderungen verwenden, die mit Rolle für die Authentifizierung und Autorisierung von Treiber-Apps für ein Mitfahrdienst oder einen Lieferdienst.

Fleet Engine Consumer SDK-Nutzer

roles/fleetengine.consumerSdkUser

Nach Fahrzeugen suchen und Informationen zu Fahrzeugen abrufen und Fahrten. JWTs mit benutzerdefinierten Anforderungen verwenden, die mit dieser Rolle für erstellt wurden Apps für Mitfahrdienste oder Lieferdienste

Geplante Aufgaben

Rolle Berechtigung

Fleet Engine Delivery Admin

roles/fleetengine.deliveryAdmin

Gewährt Lese- und Schreibberechtigungen für Bereitstellungsressourcen. Hauptkonten mit dieser Rolle müssen keine JWTs verwenden und sollten stattdessen Standardanmeldedaten für Anwendungen. Benutzerdefinierte JWT-Anforderungen werden ignoriert. Beschränken Sie die Verwendung dieser Rolle auf vertrauenswürdige Umgebungen wie Ihren Back-End-Server.

Fleet Engine Delivery-Leser

roles/fleetengine.deliveryFleetReader

Gewährt die Berechtigung zum Lesen von Zustellfahrzeugen und Aufgaben sowie zum Suchen nach Aufgaben mithilfe einer Tracking-ID. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel über den Webbrowser eines Betreibers von Lieferflotten verwendet.

Nicht vertrauenswürdiger Fleet Engine Delivery-Fahrernutzer

roles/fleetengine.deliveryUntrustedDriver

Gewährt die Berechtigung, den Standort des Lieferfahrzeugs zu aktualisieren. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel auf dem Mobilgerät des Lieferfahrers verwendet.

Hinweis: „Nicht vertrauenswürdig“ bezieht sich auf das Gerät eines Fahrers, das nicht von der IT des Unternehmens verwaltet, sondern vom Fahrer bereitgestellt wird und in der Regel keine geeigneten IT-Sicherheitsfunktionen hat. Organisationen, die Richtlinien zum Verwenden eigener Geräte (Bring Your Own Device, BYOD) verwenden, sollten aus Sicherheitsgründen und verlassen Sie sich nur auf die mobile App, Aktualisierungen des Fahrzeugstandorts an Fleet Engine. Alle anderen Interaktionen sollten von deinen Backend-Servern stammen.

Fleet Engine Delivery-Privatnutzer

roles/fleetengine.deliveryConsumer

Ermöglicht die Suche nach Aufgaben mithilfe einer Tracking-ID und das Lesen, aber nicht das Aktualisieren von Aufgabeninformationen. Von einem Dienst ausgestellte Tokens mit dieser Rolle werden in der Regel vom Webbrowser.

Nutzer der vertrauenswürdigen Treiber von Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

Ermöglicht das Erstellen und Aktualisieren von Lieferfahrzeugen und Aufgaben, einschließlich der Aktualisierung des Standorts des Lieferfahrzeugs und des Aufgabenstatus oder -ergebnisses. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens sind die in der Regel auf den Mobilgeräten des Lieferfahrers oder Ihre Back-End-Server.

Hinweis: „Vertrauenswürdig“ bezieht sich auf das Gerät eines Fahrers, das von der IT des Unternehmens verwaltet wird und über geeignete Sicherheitskontrollen verfügt. Organisationen, die diese Geräte bereitstellen, können Fleet Engine-Interaktionen in die mobile App einbinden.

Dienstkonten mit Fleet Engine verwenden

So verwenden Sie Dienstkonten für die Authentifizierung und Autorisierung in der Fleet Engine:

  1. Erstellen Sie in der Google Cloud Console Dienstkonten für jede Rolle, die Sie benötigen. Sie benötigen Dienstkonten, um Treiber, Nutzer, Anwendungen und Websites für das Flottenmonitoring und -management die Zugriff auf Fleet Engine-Daten benötigt. Software, die dieselben Berechtigungen benötigt, kann dasselbe Dienstkonto verwenden.

  2. Weisen Sie jedem Dienstkonto eine Fleet Engine-Rolle zu. Flotte auswählen Suchmaschinenspezifische IAM-Richtlinienrolle, die den entsprechenden Zugriff oder um Ihre Daten in Fleet Engine zu aktualisieren.

  3. Verwenden Sie die entsprechenden Dienstkonten in Ihren Anwendungen und Ihrer Software, um authentifizieren die Verbindung zu Fleet Engine und autorisieren den Zugriff Ressourcen, die durch die zugewiesene Rolle gewährt wurden.

Weitere Informationen dazu, wie sich Dienstkontorollen in die Sicherheit von Fleet Engine einfügen, finden Sie unter Sicherheit – Übersicht. Eine vollständige Erklärung zu Dienstkontorollen finden Sie in der Google Cloud-Dokumentation unter IAM-Rollen.

Nächste Schritte

  • Weitere Informationen zur Verwendung von JSON Web Tokens in der Fleet Engine
  • Eine Übersicht über die Sicherheit der Fleet Engine finden Sie in der Übersicht über die Sicherheit.
  • Eine vollständige Erklärung der Rollen von Dienstkonten in der Google Cloud Console finden Sie unter IAM-Rollen.