È normale che più membri del team collaborino alla creazione di un agente e che i servizi accedano all'agente. Utilizzando i ruoli, puoi controllare l'accesso e le autorizzazioni concesse ai principali.
Puoi configurare l'accesso utilizzando la console Dialogflow CX (visita la documentazione, apri la console) o la console Google Cloud (visita la documentazione, apri la console) con Identity and Access Management (IAM). La console Google Cloud viene utilizzata per concedere ruoli IAM alle entità, mentre la console Dialogflow CX viene utilizzata per concedere ruoli dell'agente di agenti conversazionali (Dialogflow CX) alle entità. I ruoli dell'agente di Conversational Agents (Dialogflow CX) sono comodi ruoli predefiniti definiti da Conversational Agents (Dialogflow CX) che limitano l'accesso a un agente o alle risorse figlio di un agente specifico.
In alcune situazioni devi utilizzare la console Google Cloud:
- Per impostazione predefinita, il ruolo Proprietario del progetto IAM viene assegnato all'utente che ha creato il progetto proprietario dell'agente. Questo proprietario ha accesso completo a tutti gli agenti del progetto. Se vuoi cambiare il proprietario del progetto, devi utilizzare la console Google Cloud.
- Solo l'accesso a livello di agente può essere configurato tramite la console Dialogflow CX. Se vuoi configurare l'accesso a livello di progetto, devi utilizzare la console Google Cloud.
- Un sottoinsieme di ruoli IAM ha ruoli agente Conversational Agents (Dialogflow CX) corrispondenti. Se vuoi concedere un ruolo a livello di progetto o agente che non esiste nella console Dialogflow CX, devi utilizzare la console Google Cloud.
- Se stai creando un agente del datastore con l'interfaccia utente di Vertex AI Conversation, devi utilizzare la console Google Cloud.
Se utilizzi l'API, potresti anche avere una o più applicazioni che inviano richieste a un agente. In questo caso, puoi controllare l'accesso con gli account di servizio.
Controllare l'accesso con la console Dialogflow CX
La console Dialogflow CX ti consente di applicare comodi ruoli agenti configurati per la condivisione a livello di agente. Questi ruoli sono correlati ai ruoli IAM con condizioni IAM che limitano l'accesso all'agente specifico o a un sottoinsieme di risorse figlio dell'agente.
Per accedere alla configurazione dei ruoli dell'agente dalla console Dialogflow CX, devi disporre del ruolo Amministratore IAM progetto per il progetto associato. Questo ruolo viene concesso dalla console Google Cloud.
| Ruolo dell'agente di Conversational Agents (Dialogflow CX) | Riepilogo | Ruolo IAM |
|---|---|---|
| Amministratore | Fornisce l'accesso completo per creare, aggiornare, eseguire query, rilevare le intenzioni ed eliminare l'agente dalla console o dall'API. | Dialogflow > Amministratore API Dialogflow |
| Reader | Fornisce l'accesso in lettura per eseguire query (non rilevare intent) sull'agente dalla console o dall'API. | Dialogflow > Lettore API Dialogflow |
| Client | Fornisce l'accesso per rilevare l'intenzione dalla console o dall'API. | Dialogflow > Client API Dialogflow |
| Intent Admin | Fornisce l'accesso per creare, aggiornare, eliminare o eseguire query sugli intent di un agente dalla console o dall'API. | Dialogflow > Dialogflow Intent Admin |
| Amministratore dei tipi di entità | Fornisce l'accesso per creare, aggiornare, eliminare o eseguire query sui tipi di entità di un agente dalla console o dall'API. | Dialogflow > Dialogflow Entity Type Admin |
| Webhook Admin | Fornisce l'accesso per creare, aggiornare, eliminare o eseguire query sugli webhook di un agente dalla console o dall'API. | Dialogflow > Dialogflow Webhook Admin |
| Test Case Admin | Consente di creare, aggiornare, eliminare o eseguire query sugli scenari di test di un agente dalla console o dall'API. | Dialogflow > Dialogflow Test Case Admin |
| Editor di flusso | Fornisce l'accesso per aggiornare, eseguire query su un flusso specifico e creare, aggiornare, eliminare o eseguire query sulle risorse del flusso (pagine, gruppi di route e versioni) dalla console o dall'API. | Dialogflow > Dialogflow Flow editor |
| Editor dell'ambiente | Fornisce l'accesso per aggiornare, eseguire query su un ambiente specifico e creare, aggiornare, eliminare o eseguire query sulle risorse dell'ambiente (esperimenti) dalla console o dall'API. | Dialogflow > Dialogflow Environment editor |
Le opzioni di condivisione si trovano nelle impostazioni dell'agente. Per aprire le impostazioni di condivisione dell'agente:
- Apri la console Dialogflow CX.
- Scegli il tuo progetto Google Cloud.
- Seleziona il tuo agente.
- Fai clic su Impostazioni agente.
- Fai clic sulla scheda Condividi.
Aggiungi un'entità
- Fai clic su Aggiungi.
- Inserisci l'indirizzo email dell'utente, del gruppo o dell'account di servizio.
- Seleziona Utente, Gruppo o Account di servizio per il tipo di email.
- Il ruolo Lettore Dialogflow viene aggiunto per impostazione predefinita ed è necessario per consentire agli utenti di accedere alla console Dialogflow CX.
- Fai clic su Aggiungi ruolo in Assegna ruoli.
- Seleziona un tipo di ruolo in Tipo.
- Per i ruoli Editor di flusso ed Editor di ambienti, seleziona flussi o ambienti specifici o mantieni l'opzione predefinita Tutti.
- (Facoltativo) Imposta la data di scadenza del ruolo.
- Fai clic su Salva.
Modificare i ruoli principali
- Fai clic sul principale nell'elenco.
- Aggiorna i ruoli per questa entità nel popup.
- Fai clic su Salva.
Rimuovere un'entità
- Trova l'entità nell'elenco.
- Fai clic sul pulsante di eliminazione delete per l'entità.
- Fai clic su Ok.
Controllare l'accesso con la console Google Cloud
Puoi controllare l'accesso con le impostazioni IAM. Consulta la guida introduttiva di IAM per istruzioni dettagliate su come aggiungere, modificare e rimuovere le autorizzazioni.
Per accedere alle impostazioni riportate di seguito, apri la pagina IAM nella console Google Cloud.
Aggiungere un utente o un account di servizio al progetto
Puoi concedere autorizzazioni a utenti o account di servizio concedendo loro ruoli nel progetto Google Cloud. Gli utenti vengono aggiunti fornendo il loro indirizzo email. Gli account di servizio vengono aggiunti anche fornendo il relativo indirizzo email associato. Devi aggiungere account di servizio quando vuoi utilizzare un account di servizio per più progetti. Per trovare l'indirizzo email associato al tuo account di servizio, consulta la pagina IAM Account di servizio nella console Google Cloud.
Per aggiungere un principale:
- Fai clic sul pulsante Aggiungi nella parte superiore della pagina.
- Inserisci l'indirizzo email del preside.
- Seleziona un ruolo.
- Fai clic su Salva.
Cambia autorizzazioni
- Fai clic sul pulsante di modifica per il principale.
- Seleziona un altro ruolo.
- Fai clic su Salva.
Rimuovere un'entità
- Fai clic sul pulsante di eliminazione per l'entità.
Aggiungere una condizione per limitare l'accesso a un agente
Quando aggiungi o modifichi un principale, puoi creare una condizione IAM che limita l'accesso a un agente.
Ad esempio:
{
"expression": "resource.name.startsWith(\"projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID\")",
"title": "For Conversational Agents (Dialogflow CX) Agent AGENT_ID"
}
Questa condizione ti consente di accedere di base a un agente specifico. Ad esempio, un account di servizio con questa condizione può chiamare l'API Agenti conversazionali (Dialogflow CX) solo per accedere all'agente specificato nella condizione per il progetto, ma non agli altri agenti del progetto.
Per aggiungere questa condizione a un ruolo concesso a un'entità:
- Seleziona un'entità.
- Fai clic sul pulsante di modifica per il principale.
- Fai clic su Aggiungi condizione.
- Nel campo Title (Titolo), inserisci
For Conversational Agents (Dialogflow CX) Agent AGENT_IDe sostituisci AGENT_ID con il tuo ID agente. - Puoi aggiungere una descrizione qualsiasi.
- Seleziona l'editor delle condizioni per creare la condizione.
- Aggiungi l'espressione
resource.name.startsWith("projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID"), sostituendo AGENT_ID con il tuo ID agente e PROJECT_ID con il tuo ID progetto. - Fai clic su Salva.
Ruoli IAM
La tabella seguente elenca i ruoli IAM comuni pertinenti a Conversational Agents (Dialogflow CX). I riepiloghi delle autorizzazioni nella tabella utilizzano i seguenti termini:
- Accesso completo: autorizzazione per modificare l'accesso, creare, eliminare, modificare e leggere qualsiasi risorsa.
- Accesso in modifica: autorizzazione per creare, eliminare, modificare e leggere qualsiasi risorsa.
- Accesso alla sessione: autorizzazione a chiamare metodi per risorse solo di runtime durante una conversazione, come il rilevamento dell'intento, l'aggiornamento del contesto, l'aggiornamento delle entità sessione o le interazioni con la conversazione di Agent Assist.
- Accesso in lettura: autorizzazione a leggere qualsiasi risorsa.
| Ruolo IAM | Riepilogo delle autorizzazioni | Dettagli autorizzazione |
|---|---|---|
| Progetto > Proprietario |
Concedi ai proprietari di progetti
che hanno bisogno dell'accesso completo a tutte le risorse di Google Cloud e Conversational Agents (Dialogflow CX):
|
Consulta le definizioni dei ruoli IAM di base. |
| Progetto > Editor |
Concedi agli editor del progetto
che hanno bisogno di accesso in modifica a tutte le risorse di Google Cloud e Conversational Agents (Dialogflow CX):
|
Consulta le definizioni dei ruoli IAM di base. |
| Progetto > Visualizzatore |
Concedi ai visualizzatori del progetto
che hanno bisogno di accesso in lettura a tutte le risorse di Google Cloud e Conversational Agents (Dialogflow CX):
|
Consulta le definizioni dei ruoli IAM di base. |
| Progetto > Amministratore IAM |
Concedi agli amministratori IAM del progetto che hanno bisogno di accedere in modifica alla configurazione dei ruoli degli agenti di Conversational Agents (Dialogflow CX). | Consulta le definizioni dei ruoli di Resource Manager IAM. |
| Progetto > Browser |
Concedi ai visualizzatori di progetti
che hanno bisogno di accesso in lettura per esplorare la gerarchia di un progetto,
inclusi cartella, organizzazione e criterio IAM:
|
Consulta Definizioni dei ruoli del progetto IAM. |
| Dialogflow > Amministratore API Dialogflow |
Concedi agli amministratori dell'API Conversational Agents (Dialogflow CX)
che hanno bisogno dell'accesso completo alle risorse specifiche di Conversational Agents (Dialogflow CX):
|
Consulta le definizioni dei ruoli IAM di Dialogflow. |
| Dialogflow > Client API Dialogflow |
Concedi ai client API di agenti conversazionali (Dialogflow CX)
che eseguono chiamate di rilevamento dell'intenzione utilizzando l'API:
|
Consulta le definizioni dei ruoli IAM di Dialogflow. |
| Dialogflow > Editor agente della console Dialogflow CX |
Concedi agli editor della console Dialogflow CX
che modificano gli agenti esistenti:
|
Consulta le definizioni dei ruoli IAM di Dialogflow. |
| Dialogflow > Lettore API Dialogflow |
Concedi ai client dell'API Dialogflow
che eseguono chiamate di sola lettura specifiche per gli agenti conversazionali (Dialogflow CX)
utilizzando l'API:
|
Consulta le definizioni dei ruoli IAM di Dialogflow. |
| Discovery Engine Admin | Concedi agli utenti che creano agenti datastore con l'interfaccia utente di Vertex AI Agents. | Consulta Altre definizioni di ruolo. |
OAuth
Se utilizzi le librerie client di Google per accedere agli agenti conversazionali (Dialogflow CX), non devi utilizzare OAuth direttamente, perché queste librerie gestiscono l'implementazione per te. Tuttavia, se stai implementando il tuo client, potresti dover implementare il tuo flusso OAuth. Per accedere all'API Conversational Agents (Dialogflow CX) è necessario uno dei seguenti ambiti OAuth:
https://www.googleapis.com/auth/cloud-platform(accesso a tutte le risorse del progetto)https://www.googleapis.com/auth/dialogflow(accesso alle risorse di Conversational Agents (Dialogflow CX))
Richieste che richiedono l'accesso a Cloud Storage
Alcuni agenti conversazionali (Dialogflow CX) richiedono oggetti di accesso in Cloud Storage per leggere o scrivere dati. Quando chiami una di queste richieste, agenti di conversazione (Dialogflow CX) accede ai dati di Cloud Storage per conto dell'utente che effettua la chiamata. Ciò significa che l'autenticazione della richiesta deve disporre delle autorizzazioni per accedere agli agenti di conversazione (Dialogflow CX) e agli oggetti Cloud Storage.
Quando utilizzi una libreria client di Google e i ruoli IAM, consulta la guida controllo dell'accesso di Cloud Storage per informazioni sui ruoli di Cloud Storage.
Quando implementi il tuo client e utilizzi OAuth, devi utilizzare il seguente ambito OAuth:
https://www.googleapis.com/auth/cloud-platform(accesso a tutte le risorse del progetto)
Controllo dell'accesso alla console di Agent Builder
Consulta la guida al controllo dell'accesso per Vertex AI Agent Builder e Discovery Engine.
Ruoli personalizzati per l'accesso allo strumento di playbook
Puoi fornire un controllo granulare degli accessi agli strumenti di playbook utilizzando autorizzazioni e ruoli personalizzati.
Puoi elencare le autorizzazioni disponibili visitando
lo strumento di ricerca delle autorizzazioni
e cercando dialogflow.tools.
Con queste autorizzazioni, puoi creare ruoli personalizzati.