Diese Seite wurde von der Cloud Translation API übersetzt.

IAM-Einrichtung und Dienstkontorollen

Die korrekte Konfiguration von IAM ist eine Voraussetzung für die Sicherheits- und Identitätsverwaltung Ihres Fleet Engine-Systems. Mit IAM-Rollen können Sie den Zugriff auf verschiedene Vorgänge und Daten an die Anforderungen von Fahrern, Nutzern und Flottenbetreibern anpassen.

Was sind Dienstkonten und IAM-Rollen?

Sie richten Dienstkonten in der Google Cloud Console ein, um den Zugriff auf Daten in Fleet Engine zu authentifizieren und zu autorisieren. Fleet Engine hat eine Reihe vordefinierter IAM-Rollen, die Sie einem Dienstkonto zuweisen, um festzulegen, auf welche Daten das Konto Zugriff hat. Weitere Informationen finden Sie in der Google Cloud-Dokumentation unter Dienstkonten – Übersicht.

Fleet Engine verwendet IAM-Rollen und -Richtlinien, um die Autorisierung für Fleet Engine API-Methoden und -Ressourcen zu verwalten. Weitere Informationen finden Sie in der Google Cloud-Dokumentation unter Rollenübersicht. Verwenden Sie nur die in den folgenden Abschnitten beschriebenen Fleet Engine-Dienstkontorollen.

Allgemeine Informationen zum Zuweisen von IAM-Rollen finden Sie unter IAM-Rolle über die Google Cloud Console zuweisen.

Rollen für Fleet Engine-Dienstkonto

Der Mobilitätsdienst, den Sie für Ihre Fleet Engine-Installation auswählen, bestimmt die enthaltenen Rollen und Berechtigungen.

Die folgenden Rollen veranschaulichen, wie Berechtigungen mit Fleet Engine-Rollen funktionieren:

Mit den Rollen ondemandAdmin und deliveryAdmin können alle Vorgänge in Fleet Engine ausgeführt werden. Verwenden Sie diese Rollen nur in vertrauenswürdigen Umgebungen, z. B. bei der Kommunikation zwischen Ihrem Backend-Server und Fleet Engine.
Die Rollen driverSdkUser und consumerSdkUser dürfen nur Details zu zugewiesenen Fahrten abrufen und den Fahrzeugstandort aktualisieren oder empfangen. Diese Arten von Rollen werden in der Regel von Clients in Umgebungen mit geringem Vertrauen verwendet, z. B. von Fahrer-, Verbraucher- oder Monitoring-Apps.

Die Rollen und Berechtigungen, die für On-Demand-Fahrten und geplante Aufgaben gewährt werden, sind in den folgenden Tabellen beschrieben.

On-Demand-Fahrten

Rolle Berechtigung

Rolle	Berechtigung
Fleet Engine On-Demand Admin `roles/fleetengine.ondemandAdmin`	Gewährt Lese-, Schreib- und Löschberechtigungen für alle Fahrzeug- und Fahrtenressourcen. Für Identitäten mit dieser Rolle sind keine JWTs erforderlich. Stattdessen sollten nach Möglichkeit Standardanmeldedaten für Anwendungen verwendet werden. Bei dieser Rolle werden benutzerdefinierte JWT-Ansprüche ignoriert. Beschränken Sie die Verwendung dieser Rolle auf vertrauenswürdige Umgebungen wie Ihren Back-End-Server.
Fleet Engine Driver SDK-Nutzer `roles/fleetengine.driverSdkUser`	Fahrzeugstandorte und ‑routen aktualisieren und Informationen zu Fahrzeugen und Fahrten abrufen. Verwenden Sie JWTs mit benutzerdefinierten Ansprüchen, die mit dieser Rolle erstellt wurden, für die Authentifizierung und Autorisierung von Fahrer-Apps für Fahrdienste oder Lieferungen.
Fleet Engine Consumer SDK-Nutzer `roles/fleetengine.consumerSdkUser`	Nach Fahrzeugen suchen und Informationen zu Fahrzeugen und Fahrten abrufen. Verwenden Sie JWTs mit benutzerdefinierten Ansprüchen, die mit dieser Rolle erstellt wurden, für Verbraucher-Apps für Mitfahrdienste oder Lieferdienste .

Fleet Engine On-Demand Admin

roles/fleetengine.ondemandAdmin

Gewährt Lese-, Schreib- und Löschberechtigungen für alle Fahrzeug- und Fahrtenressourcen. Für Identitäten mit dieser Rolle sind keine JWTs erforderlich. Stattdessen sollten nach Möglichkeit Standardanmeldedaten für Anwendungen verwendet werden. Bei dieser Rolle werden benutzerdefinierte JWT-Ansprüche ignoriert. Beschränken Sie die Verwendung dieser Rolle auf vertrauenswürdige Umgebungen wie Ihren Back-End-Server.

Fleet Engine Driver SDK-Nutzer

roles/fleetengine.driverSdkUser

Fahrzeugstandorte und ‑routen aktualisieren und Informationen zu Fahrzeugen und Fahrten abrufen. Verwenden Sie JWTs mit benutzerdefinierten Ansprüchen, die mit dieser Rolle erstellt wurden, für die Authentifizierung und Autorisierung von Fahrer-Apps für Fahrdienste oder Lieferungen.

Fleet Engine Consumer SDK-Nutzer

roles/fleetengine.consumerSdkUser

Nach Fahrzeugen suchen und Informationen zu Fahrzeugen und Fahrten abrufen. Verwenden Sie JWTs mit benutzerdefinierten Ansprüchen, die mit dieser Rolle erstellt wurden, für Verbraucher-Apps für Mitfahrdienste oder Lieferdienste .

Geplante Aufgaben

Rolle Berechtigung

Rolle	Berechtigung
Fleet Engine Delivery Admin `roles/fleetengine.deliveryAdmin`	Gewährt Lese-, Schreib- und Löschberechtigungen für Bereitstellungsressourcen. Hauptkonten mit dieser Rolle müssen keine JWTs verwenden, sondern sollten stattdessen Standardanmeldedaten für Anwendungen verwenden. Benutzerdefinierte JWT-Anforderungen werden ignoriert. Beschränken Sie die Verwendung dieser Rolle auf vertrauenswürdige Umgebungen wie Ihren Backend-Server.
Nutzer mit der Rolle „Leser“ von Fleet Engine Delivery-Flotten `roles/fleetengine.deliveryFleetReader`	Gewährt die Berechtigung, Lieferfahrzeuge und Aufgaben zu lesen und nach Aufgaben anhand einer Tracking-ID zu suchen. Tokens, die von einem Dienstkonto mit dieser Rolle ausgestellt werden, werden in der Regel über den Webbrowser eines Betreibers einer Lieferflotte verwendet.
Nicht vertrauenswürdiger Fleet Engine Delivery-Fahrernutzer `roles/fleetengine.deliveryUntrustedDriver`	Gewährt die Berechtigung, den Standort des Lieferfahrzeugs zu aktualisieren. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel auf dem Mobilgerät Ihres Fahrers verwendet. Hinweis: „Nicht vertrauenswürdig“ bezieht sich auf das Gerät eines Fahrers, das nicht von der Unternehmens-IT verwaltet wird, sondern vom Fahrer bereitgestellt wird und in der Regel keine angemessenen IT-Sicherheitskontrollen hat. Organisationen mit BYOD-Richtlinien (Bring Your Own Device) sollten sich für die Sicherheit dieser Rolle entscheiden und sich nur auf die mobile App verlassen, um Standortaktualisierungen des Fahrzeugs an Fleet Engine zu senden. Alle anderen Interaktionen sollten von Ihren Backend-Servern ausgehen.
Fleet Engine Delivery-Privatnutzer `roles/fleetengine.deliveryConsumer`	Gewährt die Berechtigung, mithilfe einer Tracking-ID nach Aufgaben zu suchen und Aufgabeninformationen zu lesen, aber nicht zu aktualisieren. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel über den Webbrowser eines Zustellungsnutzers verwendet.
Nutzer der vertrauenswürdigen Treiber von Fleet Engine Delivery `roles/fleetengine.deliveryTrustedDriver`	Ermöglicht das Erstellen und Aktualisieren von Lieferfahrzeugen und Aufgaben, einschließlich der Aktualisierung des Standorts des Lieferfahrzeugs und des Aufgabenstatus oder -ergebnisses. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel von den Mobilgeräten Ihrer Fahrer oder von Ihren Backend-Servern verwendet. Hinweis: „Vertrauenswürdig“ bezieht sich auf das Gerät eines Fahrers, das von der Unternehmens-IT verwaltet wird und über geeignete Sicherheitskontrollen verfügt. Organisationen, die diese Geräte zur Verfügung stellen, können Fleet Engine-Interaktionen in die mobile App einbinden.

Fleet Engine Delivery Admin

roles/fleetengine.deliveryAdmin

Gewährt Lese-, Schreib- und Löschberechtigungen für Bereitstellungsressourcen. Hauptkonten mit dieser Rolle müssen keine JWTs verwenden, sondern sollten stattdessen Standardanmeldedaten für Anwendungen verwenden. Benutzerdefinierte JWT-Anforderungen werden ignoriert. Beschränken Sie die Verwendung dieser Rolle auf vertrauenswürdige Umgebungen wie Ihren Backend-Server.

Nutzer mit der Rolle „Leser“ von Fleet Engine Delivery-Flotten

roles/fleetengine.deliveryFleetReader

Gewährt die Berechtigung, Lieferfahrzeuge und Aufgaben zu lesen und nach Aufgaben anhand einer Tracking-ID zu suchen. Tokens, die von einem Dienstkonto mit dieser Rolle ausgestellt werden, werden in der Regel über den Webbrowser eines Betreibers einer Lieferflotte verwendet.

Nicht vertrauenswürdiger Fleet Engine Delivery-Fahrernutzer

roles/fleetengine.deliveryUntrustedDriver

Gewährt die Berechtigung, den Standort des Lieferfahrzeugs zu aktualisieren. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel auf dem Mobilgerät Ihres Fahrers verwendet.

Hinweis: „Nicht vertrauenswürdig“ bezieht sich auf das Gerät eines Fahrers, das nicht von der Unternehmens-IT verwaltet wird, sondern vom Fahrer bereitgestellt wird und in der Regel keine angemessenen IT-Sicherheitskontrollen hat. Organisationen mit BYOD-Richtlinien (Bring Your Own Device) sollten sich für die Sicherheit dieser Rolle entscheiden und sich nur auf die mobile App verlassen, um Standortaktualisierungen des Fahrzeugs an Fleet Engine zu senden. Alle anderen Interaktionen sollten von Ihren Backend-Servern ausgehen.

Fleet Engine Delivery-Privatnutzer

roles/fleetengine.deliveryConsumer

Gewährt die Berechtigung, mithilfe einer Tracking-ID nach Aufgaben zu suchen und Aufgabeninformationen zu lesen, aber nicht zu aktualisieren. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel über den Webbrowser eines Zustellungsnutzers verwendet.

Nutzer der vertrauenswürdigen Treiber von Fleet Engine Delivery

roles/fleetengine.deliveryTrustedDriver

Ermöglicht das Erstellen und Aktualisieren von Lieferfahrzeugen und Aufgaben, einschließlich der Aktualisierung des Standorts des Lieferfahrzeugs und des Aufgabenstatus oder -ergebnisses. Von einem Dienstkonto mit dieser Rolle ausgestellte Tokens werden in der Regel von den Mobilgeräten Ihrer Fahrer oder von Ihren Backend-Servern verwendet.

Hinweis: „Vertrauenswürdig“ bezieht sich auf das Gerät eines Fahrers, das von der Unternehmens-IT verwaltet wird und über geeignete Sicherheitskontrollen verfügt. Organisationen, die diese Geräte zur Verfügung stellen, können Fleet Engine-Interaktionen in die mobile App einbinden.

IAM-Rollen und Dienstkonten mit Fleet Engine verwenden

So verwenden Sie Dienstkonten für die Authentifizierung und Autorisierung in Fleet Engine:

Erstellen Sie Dienstkonten in der Google Cloud Console für jede Rolle, die Sie benötigen. Sie benötigen Dienstkonten, um Fahrer-, Verbraucher-, Flottenüberwachungs- und Flottenverwaltungsanwendungen und ‑websites zu authentifizieren – also jede Software, die Zugriff auf Fleet Engine-Daten benötigt. Software, die dieselben Berechtigungen benötigt, kann dasselbe Dienstkonto verwenden.
Weisen Sie jedem Dienstkonto eine Fleet Engine-IAM-Rolle zu. Wählen Sie die Fleet Engine-spezifische IAM-Rolle aus, die die entsprechenden Berechtigungen für den Zugriff auf oder die Aktualisierung Ihrer Daten in Fleet Engine bietet.
Verwenden Sie die entsprechenden Dienstkonten in Ihren Apps und Ihrer Software, um die Verbindung zu Fleet Engine zu authentifizieren und den Zugriff auf die Ressourcen zu autorisieren, die durch die zugewiesene Rolle gewährt werden.

Weitere Informationen dazu, wie Dienstkontorollen in die Fleet Engine-Sicherheit passen, finden Sie unter Sicherheitsübersicht. Eine vollständige Beschreibung der Dienstkontorollen finden Sie in der Google Cloud-Dokumentation unter IAM-Rollen.

Nächste Schritte

Weitere Informationen zu JSON Web Tokens
Einen Überblick über die Sicherheit von Fleet Engine finden Sie unter Sicherheit – Übersicht.
Eine vollständige Erläuterung der Dienstkontorollen in der Google Cloud Console finden Sie unter IAM-Rollen.