Controllo dell'accesso

È normale che più membri del team collaborino alla creazione di un agente e che i servizi accedano all'agente. Utilizzando i ruoli, puoi controllare l'accesso e le autorizzazioni concesse ai principali.

Puoi configurare l'accesso utilizzando la console degli agenti conversazionali o la console Google Cloud (visita la documentazione, apri la console) con Identity and Access Management (IAM). La Google Cloud console viene utilizzata per concedere ruoli IAM alle entità, mentre la console Conversational Agents viene utilizzata per concedere ruoli agente di Conversational Agents (Dialogflow CX) alle entità. I ruoli dell'agente di Conversational Agents (Dialogflow CX) sono comodi ruoli predefiniti definiti da Conversational Agents (Dialogflow CX) che limitano l'accesso a un agente o alle risorse figlio di un agente specifico.

In alcuni casi devi utilizzare la Google Cloud console:

  • Per impostazione predefinita, il ruolo Proprietario del progetto IAM viene assegnato all'utente che ha creato il progetto di proprietà dell'agente. Questo proprietario ha accesso completo a tutti gli agenti del progetto. Se vuoi cambiare il proprietario del progetto, devi utilizzare la Google Cloud console.
  • Solo l'accesso a livello di agente può essere configurato tramite la console Dialogflow CX. Se vuoi configurare l'accesso a livello di progetto, devi utilizzare la Google Cloud console.
  • Un sottoinsieme di ruoli IAM ha ruoli agente di Conversational Agents (Dialogflow CX) corrispondenti. Se vuoi concedere un ruolo a livello di progetto o agente che non esiste nella console Dialogflow CX, devi utilizzare la Google Cloud console.
  • Se stai creando un agente datastore con l'interfaccia utente di Vertex AI Conversation, devi utilizzare la Google Cloud console.

Se utilizzi l'API, potresti anche avere una o più applicazioni che inviano richieste a un agente. In questo caso, puoi controllare l'accesso con gli account di servizio.

Controllare l'accesso con la console Conversational Agents

La console Conversational Agents ti consente di applicare comodi ruoli agenti configurati per la condivisione a livello di agente. Questi ruoli sono correlati ai ruoli IAM con condizioni IAM che limitano l'accesso all'agente specifico o a un sottoinsieme di risorse figlio dell'agente.

Per accedere alla configurazione dei ruoli dell'agente dalla console degli agenti conversazionali, devi disporre del ruolo Amministratore IAM progetto per il progetto associato. Questo ruolo viene concesso dalla Google Cloud console.

Ruolo dell'agente di Conversational Agents (Dialogflow CX) Riepilogo Ruolo IAM
Lettore conversazionale Fornisce l'accesso in lettura per eseguire query (non rilevare intent) sull'agente dalla console o dall'API. Dialogflow > Lettore API Dialogflow
Amministrazione conversazionale Fornisce accesso completo per creare, aggiornare, eseguire query, rilevare intent ed eliminare l'agente dalla console o dall'API. Dialogflow > Amministratore API Dialogflow
Client conversazionale Fornisce l'accesso per rilevare l'intenzione dalla console o dall'API. Dialogflow > Client API Dialogflow
Agente di servizio Consulta Agenti di servizio. Consulta Agenti di servizio.
Editor di flusso Fornisce l'accesso per aggiornare, eseguire query su un flusso specifico e creare, aggiornare, eliminare o eseguire query sulle risorse del flusso (pagine, gruppi di route e versioni) dalla console o dall'API. Dialogflow > Dialogflow Flow editor
Editor dell'ambiente Fornisce l'accesso per aggiornare, eseguire query su un ambiente specifico e creare, aggiornare, eliminare o eseguire query sulle risorse dell'ambiente (esperimenti) dalla console o dall'API. Dialogflow > Dialogflow Environment editor
Amministratore dei tipi di entità Fornisce l'accesso per creare, aggiornare, eliminare o eseguire query sui tipi di entità di un agente dalla console o dall'API. Dialogflow > Dialogflow Entity Type Admin
Intent Admin Fornisce l'accesso per creare, aggiornare, eliminare o eseguire query sugli intent di un agente dalla console o dall'API. Dialogflow > Dialogflow Intent Admin
Test Case Admin Fornisce l'accesso per creare, aggiornare, eliminare o eseguire query sugli scenari di test di un agente dalla console o dall'API. Dialogflow > Dialogflow Test Case Admin
Webhook Admin Fornisce l'accesso per creare, aggiornare, eliminare o eseguire query sugli webhook di un agente dalla console o dall'API. Dialogflow > Dialogflow Webhook Admin

Le opzioni di condivisione si trovano nelle impostazioni dell'agente. Per aprire le impostazioni di condivisione dell'agente:

  1. Apri la console Dialogflow CX.
  2. Scegli il tuo progetto Google Cloud.
  3. Seleziona il tuo agente.
  4. Fai clic su Impostazioni agente.
  5. Fai clic sulla scheda Condividi.

Aggiungi un'entità

  1. Fai clic su Aggiungi.
  2. Inserisci l'indirizzo email dell'utente, del gruppo o dell'account di servizio.
  3. Seleziona Utente, Gruppo o Account di servizio per il tipo di email.
  4. Il ruolo Lettore Dialogflow viene aggiunto per impostazione predefinita ed è necessario per consentire agli utenti di accedere alla console degli agenti conversazionali.
  5. Fai clic su Aggiungi ruolo in Assegna ruoli.
  6. Seleziona un tipo di ruolo in Tipo.
  7. Per i ruoli Editor di flusso ed Editor di ambienti, seleziona flussi o ambienti specifici o mantieni l'opzione predefinita Tutti.
  8. (Facoltativo) Imposta la data di scadenza del ruolo.
  9. Fai clic su Salva.

Modificare i ruoli principali

  1. Fai clic sul principale nell'elenco.
  2. Aggiorna i ruoli per questa entità nel popup.
  3. Fai clic su Salva.

Rimuovere un'entità

  1. Trova l'entità nell'elenco.
  2. Fai clic sul pulsante di eliminazione per l'entità.
  3. Fai clic su Ok.

Controllare l'accesso con la Google Cloud console

Puoi controllare l'accesso con le impostazioni IAM. Consulta la guida introduttiva IAM per istruzioni dettagliate su come aggiungere, modificare e rimuovere le autorizzazioni.

Per accedere alle impostazioni riportate di seguito, apri la pagina IAM nella Google Cloud console.

Aggiungere un utente o un account di servizio al progetto

Puoi concedere autorizzazioni a utenti o account di servizio concedendo loro ruoli nel tuo Google Cloud progetto. Gli utenti vengono aggiunti fornendo il loro indirizzo email. Gli account di servizio vengono aggiunti anche fornendo il relativo indirizzo email associato. Devi aggiungere account di servizio quando vuoi utilizzare un account di servizio per più progetti. Per trovare l'indirizzo email associato al tuo account di servizio, consulta la pagina Account di servizio di IAM nella Google Cloud console.

Per aggiungere un principale:

  1. Fai clic sul pulsante Aggiungi nella parte superiore della pagina.
  2. Inserisci l'indirizzo email del preside.
  3. Seleziona un ruolo.
  4. Fai clic su Salva.

Cambia autorizzazioni

  1. Fai clic sul pulsante di modifica per l'entità.
  2. Seleziona un altro ruolo.
  3. Fai clic su Salva.

Rimuovere un'entità

  1. Fai clic sul pulsante di eliminazione per l'entità principale.

Aggiungere una condizione per limitare l'accesso a un agente

Quando aggiungi o modifichi un principale, puoi creare una condizione IAM che limita l'accesso a un agente.

Ad esempio:

{
    "expression": "resource.name.startsWith(\"projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID\")",
    "title": "For Conversational Agents (Dialogflow CX) Agent AGENT_ID"
}

Questa condizione ti consente di accedere di base a un agente specifico. Ad esempio, un account di servizio con questa condizione può chiamare l'API Conversational Agents (Dialogflow CX) solo per accedere all'agente specificato nella condizione per il progetto, ma non agli altri agenti del progetto.

Per aggiungere questa condizione a un ruolo concesso a un'entità:

  1. Seleziona un'entità.
  2. Fai clic sul pulsante di modifica per l'entità.
  3. Fai clic su Aggiungi condizione.
  4. Nel campo Title (Titolo), inserisci For Conversational Agents (Dialogflow CX) Agent AGENT_ID e sostituisci AGENT_ID con il tuo ID agente.
  5. Puoi aggiungere qualsiasi descrizione.
  6. Seleziona l'editor delle condizioni per creare la condizione.
  7. Aggiungi l'espressioneresource.name.startsWith("projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID"), sostituendo AGENT_ID con il tuo ID agente e PROJECT_ID con il tuo ID progetto.
  8. Fai clic su Salva.

Ruoli IAM

La tabella seguente elenca i ruoli IAM comuni pertinenti a Conversational Agents (Dialogflow CX). I riepiloghi delle autorizzazioni nella tabella utilizzano i seguenti termini:

  • Accesso completo: autorizzazione per modificare l'accesso, creare, eliminare, modificare e leggere qualsiasi risorsa.
  • Accesso in modifica: autorizzazione per creare, eliminare, modificare e leggere qualsiasi risorsa.
  • Accesso alla sessione: autorizzazione a chiamare metodi per risorse solo di runtime durante una conversazione, come il rilevamento dell'intento, l'aggiornamento del contesto, l'aggiornamento delle entità sessione o le interazioni con la conversazione di Agent Assist.
  • Accesso in lettura: autorizzazione a leggere qualsiasi risorsa.
Ruolo IAM Riepilogo delle autorizzazioni Dettagli autorizzazione
Progetto >
Proprietario		 Concedi ai proprietari di progetti che hanno bisogno di accesso completo a tutte le Google Cloud risorse e a quelle di Conversational Agents (Dialogflow CX):
  • Accesso completo a tutte le Google Cloud risorse del progetto utilizzando Google Cloud la console o le API.
  • Accesso completo agli agenti che utilizzano la console Conversational Agents.
  • Può rilevare l'intenzione utilizzando l'API.
 Consulta le definizioni dei ruoli IAM di base.
Progetto >
Editor		 Concedi agli editor del progetto che hanno bisogno di accesso in modifica a tutte le Google Cloud risorse e a Conversational Agents (Dialogflow CX):
  • Modifica l'accesso a tutte le Google Cloud risorse del progetto utilizzando Google Cloud la console o le API.
  • Modifica l'accesso agli agenti utilizzando la console Conversational Agents.
  • Può rilevare l'intenzione utilizzando l'API.
 Consulta le definizioni dei ruoli IAM di base.
Progetto >
Visualizzatore		 Concedi ai visualizzatori del progetto che hanno bisogno di accesso in lettura a tutte le Google Cloud risorse di Conversational Agents (Dialogflow CX):
  • Accesso in lettura a tutte le Google Cloud risorse del progetto utilizzando Google Cloud la console o le API.
  • L'accesso in lettura agli agenti che utilizzano la console o l'API Conversational Agents non può utilizzare il simulatore.
  • Impossibile rilevare l'intenzione utilizzando l'API.
 Consulta le definizioni dei ruoli IAM di base.
Progetto >
Amministratore IAM		 Concedi agli amministratori IAM del progetto che hanno bisogno di accesso in modifica alla configurazione dei ruoli degli agenti di Conversational Agents (Dialogflow CX). Consulta le definizioni dei ruoli di Resource Manager IAM.
Progetto >
Browser		 Concedi ai visualizzatori di progetti che hanno bisogno di accesso in lettura per esplorare la gerarchia di un progetto, inclusi cartella, organizzazione e criterio IAM:
  • Accesso in lettura alla Google Cloud gerarchia dei progetti.
  • Nessun accesso agli agenti che utilizzano la console Conversational Agents.
  • Impossibile rilevare l'intenzione utilizzando l'API.
 Consulta Definizioni dei ruoli del progetto IAM.
Dialogflow >
Amministratore API Dialogflow		 Concedi agli amministratori dell'API Conversational Agents (Dialogflow CX) che hanno bisogno di accesso completo alle risorse specifiche di Conversational Agents (Dialogflow CX):
  • Accesso completo a tutte le risorse di Conversational Agents (Dialogflow CX) utilizzando la Google Cloud console o le API.
  • Accesso completo agli agenti che utilizzano la console Conversational Agents.
  • Può rilevare l'intenzione utilizzando l'API.
 Consulta le definizioni dei ruoli IAM di Dialogflow.
Dialogflow >
Client API Dialogflow		 Concedi ai client API Conversational Agents (Dialogflow CX) che eseguono chiamate di rilevamento dell'intenzione utilizzando l'API:
  • Accesso alla sessione alle risorse di Conversational Agents (Dialogflow CX) di runtime utilizzando il simulatore o l'API di Conversational Agents (Dialogflow CX).
  • Accesso limitato agli agenti che utilizzano la console Conversational Agents.
  • Può rilevare l'intenzione utilizzando l'API.
 Consulta le definizioni dei ruoli IAM di Dialogflow.
Dialogflow >
Editor agente della console Conversational Agents		 Concedi agli editor della console Conversational Agents che modificano gli agenti esistenti:
  • Accesso completo a tutte le risorse di Conversational Agents (Dialogflow CX) utilizzando la Google Cloud console.
  • Modifica l'accesso alla maggior parte dei dati degli agenti utilizzando la console Conversational Agents.
  • Può rilevare l'intenzione utilizzando l'API.
 Consulta le definizioni dei ruoli IAM di Dialogflow.
Dialogflow >
Lettore API Dialogflow		 Concedi ai client dell'API Dialogflow che eseguono chiamate di sola lettura specifiche di Conversational Agents (Dialogflow CX) utilizzando l'API:
  • Accesso in lettura a tutte le risorse di Conversational Agents (Dialogflow CX) utilizzando la Google Cloud console o le API.
  • Accesso in lettura agli agenti che utilizzano la console Conversational Agents, non può utilizzare il simulatore.
  • Impossibile rilevare l'intenzione utilizzando l'API.
 Consulta le definizioni dei ruoli IAM di Dialogflow.
Discovery Engine Admin Concedi agli utenti che creano agenti datastore con l'interfaccia utente di Vertex AI Agents. Consulta Altre definizioni di ruolo.

OAuth

Se utilizzi le librerie client di Google per accedere a Conversational Agents (Dialogflow CX), non devi utilizzare OAuth direttamente, perché queste librerie gestiscono l'implementazione per te. Tuttavia, se stai implementando il tuo client, potresti dover implementare il tuo flusso OAuth. L'accesso all'API Conversational Agents (Dialogflow CX) richiede uno dei seguenti ambiti OAuth:

  • https://www.googleapis.com/auth/cloud-platform (accesso a tutte le risorse del progetto)
  • https://www.googleapis.com/auth/dialogflow (accesso alle risorse di Conversational Agents (Dialogflow CX))

Richieste che richiedono l'accesso a Cloud Storage

Alcuni Conversational Agents (Dialogflow CX) richiedono oggetti di accesso in Cloud Storage per leggere o scrivere dati. Quando chiami una di queste richieste, Conversational Agents (Dialogflow CX) accede ai dati di Cloud Storage per conto dell'utente che effettua la chiamata. Ciò significa che l'autenticazione della richiesta deve disporre delle autorizzazioni per accedere a Conversational Agents (Dialogflow CX) e agli oggetti Cloud Storage.

Quando utilizzi una libreria client di Google e i ruoli IAM, consulta la guida controllo dell'accesso di Cloud Storage per informazioni sui ruoli di Cloud Storage.

Quando implementi il tuo client e utilizzi OAuth, devi utilizzare il seguente ambito OAuth:

  • https://www.googleapis.com/auth/cloud-platform (accesso a tutte le risorse del progetto)

Ruoli personalizzati per l'accesso allo strumento di playbook

Puoi fornire un controllo granulare degli accessi per gli strumenti di playbook utilizzando autorizzazioni e ruoli personalizzati.

Puoi elencare le autorizzazioni disponibili visitando lo strumento di ricerca delle autorizzazioni e cercando dialogflow.tools.

Con queste autorizzazioni, puoi creare ruoli personalizzati.

Indietro
Dati legacy
Avanti
Collaborazione con gli agenti