È normale che più membri del team collaborino alla creazione di un agente e che i servizi accedano all'agente. Utilizzando i ruoli, puoi controllare l'accesso e le autorizzazioni concesse ai principali.
Puoi configurare l'accesso utilizzando la console Dialogflow CX (visita la documentazione, apri la console) o la console Google Cloud (visita la documentazione, apri la console) con Identity and Access Management (IAM). La console Google Cloud viene utilizzata per concedere ruoli IAM alle entità, mentre la console Dialogflow CX viene utilizzata per concedere ruoli di agente per gli agenti conversazionali (Dialogflow CX) alle entità. I ruoli dell'agente di Dialogflow CX sono comodi ruoli predefiniti definiti da Dialogflow CX che limitano l'accesso a un agente o alle risorse secondarie di un agente specifico.
In alcune situazioni devi utilizzare la console Google Cloud:
- Per impostazione predefinita, il ruolo Proprietario del progetto IAM viene assegnato all'utente che ha creato il progetto proprietario dell'agente. Questo proprietario ha accesso completo a tutti gli agenti del progetto. Se vuoi cambiare il proprietario del progetto, devi utilizzare la console Google Cloud.
- Solo l'accesso a livello di agente può essere configurato tramite la console Dialogflow CX. Se vuoi configurare l'accesso a livello di progetto, devi utilizzare la console Google Cloud.
- Un sottoinsieme di ruoli IAM ha ruoli di agente di agenti conversazionali (Dialogflow CX) corrispondenti. Se vuoi concedere un ruolo a livello di progetto o di agente non esistente nella console Dialogflow CX, devi utilizzare la console Google Cloud.
- Se crei un agente del datastore con Interfaccia utente di Vertex AI Conversation, devi utilizzare la console Google Cloud.
Se utilizzi l'API, potresti anche avere una o più applicazioni che inviano richieste a un agente. In questo caso, puoi controllare l'accesso account di servizio.
Controlla l'accesso con la console Dialogflow CX
La console Dialogflow CX ti consente di applicare comodi ruoli agenti configurati per la condivisione a livello di agente. Questi ruoli sono correlati ai ruoli IAM Condizioni IAM che limitano l'accesso all'agente specifico o a un sottoinsieme di risorse figlio dell'agente.
Per accedere alla configurazione dei ruoli di agente dalla console Dialogflow CX: devi disporre del ruolo Amministratore IAM progetto per i progetto. Questo ruolo viene concesso dalla console Google Cloud.
| Ruolo di agente agenti conversazionali (Dialogflow CX) | Riepilogo | Ruolo IAM |
|---|---|---|
| Amministratore | Fornisce l'accesso completo per creare, aggiornare, eseguire query, rilevare le intenzioni ed eliminare l'agente dalla console o dall'API. | Dialogflow > Amministratore API Dialogflow |
| Reader | Fornisce l'accesso in lettura per eseguire query (non rilevare intent) sull'agente dalla console o dall'API. | Dialogflow > Lettore API Dialogflow |
| Client | Fornisce l'accesso per rilevare l'intento dalla console o dall'API. | Dialogflow > Client API Dialogflow |
| Amministratore intent | Fornisce l'accesso per creare, aggiornare, eliminare o eseguire query sugli intent di un agente dalla console o dall'API. | Dialogflow > Dialogflow Intent Admin |
| Amministratore dei tipi di entità | Fornisce l'accesso per creare, aggiornare, eliminare o eseguire query sui tipi di entità di un agente dalla console o dall'API. | Dialogflow > Dialogflow Entity Type Admin |
| Amministratore webhook | Fornisce l'accesso per creare, aggiornare, eliminare o eseguire query sugli webhook di un agente dalla console o dall'API. | Dialogflow > Dialogflow Webhook Admin |
| Test Case Admin | Consente di creare, aggiornare, eliminare o eseguire query sui casi di test di un agente dalla console o dall'API. | Dialogflow > Amministratore scenari di test Dialogflow |
| Editor di flusso | Fornisce l'accesso per aggiornare, eseguire query su un flusso specifico e creare, aggiornare, eliminare o eseguire query sulle risorse del flusso (pagine, gruppi di route e versioni) dalla console o dall'API. | Dialogflow > Editor flusso Dialogflow |
| Editor dell'ambiente | Fornisce l'accesso per aggiornare, eseguire query su un ambiente specifico e creare, aggiornare, eliminare o eseguire query sulle risorse dell'ambiente (esperimenti) dalla console o dall'API. | Dialogflow > Dialogflow Environment editor |
Le opzioni di condivisione si trovano nelle impostazioni dell'agente. Per aprire le impostazioni di condivisione dell'agente:
- Apri la console Dialogflow CX.
- Scegli il tuo progetto Google Cloud.
- Seleziona l'agente.
- Fai clic su Impostazioni agente.
- Fai clic sulla scheda Condividi.
Aggiungi un'entità
- Fai clic su Aggiungi.
- Inserisci l'indirizzo email dell'account utente, gruppo o di servizio.
- Seleziona Utente, Gruppo o Account di servizio come tipo di email.
- Per impostazione predefinita, viene aggiunto il ruolo Lettore Dialogflow, che è necessario agli utenti per accedere alla console Dialogflow CX.
- Fai clic su Aggiungi ruolo in Assegna ruoli.
- Seleziona un tipo di ruolo in Tipo.
- Per i ruoli Editor flussi ed Editor ambiente, seleziona flussi o ambienti specifici oppure lascia l'opzione predefinita Tutti.
- (Facoltativo) Imposta la data di scadenza del ruolo.
- Fai clic su Salva.
Modifica ruoli dell'entità
- Fai clic sul principale nell'elenco.
- Aggiorna i ruoli per questa entità nel popup.
- Fai clic su Salva.
Rimuovi un'entità
- Trova l'entità nell'elenco.
- Fai clic sul pulsante di eliminazione delete per l'entità.
- Fai clic su Ok.
Controllare l'accesso con la console Google Cloud
Puoi controllare l'accesso con le impostazioni IAM. Consulta la guida rapida di IAM per istruzioni dettagliate su come aggiungere, modificare e rimuovere le autorizzazioni.
Per accedere alle impostazioni riportate di seguito, apri la pagina IAM nella console Google Cloud.
Aggiungere un utente o un account di servizio al progetto
Puoi fornire le autorizzazioni a utenti o account di servizio assegnando loro dei ruoli nel tuo progetto Google Cloud. Gli utenti vengono aggiunti fornendo il loro indirizzo email. Gli account di servizio vengono aggiunti anche fornendo il relativo indirizzo email associato. Devi aggiungere account di servizio se vuoi utilizzare un solo account di servizio per più progetti. Per trovare l'indirizzo email associato al tuo account di servizio, consulta la IAM Account di servizio nella console Google Cloud.
Per aggiungere un principale:
- Fai clic sul pulsante Aggiungi nella parte superiore della pagina.
- Inserisci l'indirizzo email del preside.
- Seleziona un ruolo.
- Fai clic su Salva.
Cambia autorizzazioni
- Fai clic sul pulsante Modifica per l'entità.
- Seleziona un altro ruolo.
- Fai clic su Salva.
Rimuovi un'entità
- Fai clic sul pulsante di eliminazione per l'entità.
Aggiungere una condizione per limitare l'accesso a un agente
Quando aggiungi o modifichi un'entità, puoi creare Condizione IAM che limita l'accesso a un solo agente.
Ad esempio:
{
"expression": "resource.name.startsWith(\"projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID\")",
"title": "For Conversational Agents (Dialogflow CX) Agent AGENT_ID"
}
Questa condizione ti fornisce l'accesso di base a un agente specifico. Ad esempio, un account di servizio con questa condizione può chiamare solo gli agenti conversazionali (Dialogflow CX) API per accedere all'agente specificato nella condizione per il progetto, ma non con altri agenti nel progetto.
Per aggiungere questa condizione a un ruolo concesso a un'entità:
- Seleziona un'entità.
- Fai clic sul pulsante di modifica per il principale.
- Fai clic su Aggiungi condizione.
- Nel campo Titolo,
inserisci
For Conversational Agents (Dialogflow CX) Agent AGENT_IDe sostituisci AGENT_ID con il tuo ID agente. - Puoi aggiungere una descrizione qualsiasi.
- Seleziona l'editor delle condizioni per creare la condizione.
- Aggiungi l'espressione
resource.name.startsWith("projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID"), sostituendo AGENT_ID con il tuo ID agente e PROJECT_ID con il tuo ID progetto. - Fai clic su Salva.
Ruoli IAM
La tabella seguente elenca i ruoli IAM comuni rilevanti per gli agenti conversazionali (Dialogflow CX). I riepiloghi delle autorizzazioni nella tabella utilizzano i seguenti termini:
- Accesso completo: autorizzazione per modificare l'accesso, creare, eliminare, modificare e leggere qualsiasi risorsa.
- Accesso in modifica: Autorizzazione per creare, eliminare, modificare e leggere qualsiasi risorsa.
- Accesso alla sessione: autorizzazione a chiamare metodi per risorse solo di runtime durante una conversazione, come il rilevamento dell'intento, l'aggiornamento del contesto, l'aggiornamento delle entità sessione o le interazioni con le conversazioni di Agent Assist.
- Accesso in lettura: autorizzazione a leggere qualsiasi risorsa.
| Ruolo IAM | Riepilogo autorizzazioni | Dettagli autorizzazione |
|---|---|---|
| Progetto > Proprietario |
Concedi ai proprietari del progetto
che richiedono l'accesso completo a tutte le risorse di Google Cloud e degli agenti conversazionali (Dialogflow CX):
|
Consulta le definizioni dei ruoli IAM di base. |
| Progetto > Editor |
Concedi agli editor del progetto
che hanno bisogno di accesso in modifica a tutte le risorse di Google Cloud e degli agenti conversazionali (Dialogflow CX):
|
Consulta: Definizioni dei ruoli di base IAM. |
| Progetto > Visualizzatore |
Concedi ai visualizzatori del progetto
che hanno bisogno di accesso in lettura a tutte le risorse di Google Cloud e degli agenti conversazionali (Dialogflow CX):
|
Consulta: Definizioni dei ruoli di base IAM. |
| Progetto > Amministratore IAM |
Concedi agli amministratori IAM del progetto che hanno bisogno di accedere in modifica alla configurazione dei ruoli degli agenti di Conversational Agents (Dialogflow CX). | Consulta Definizioni dei ruoli di gestore delle risorse IAM. |
| Progetto > Browser |
Concedi ai browser del progetto
che necessitano dell'accesso in lettura per esplorare la gerarchia di un progetto,
inclusi cartella, organizzazione e criterio IAM:
|
Consulta Definizioni dei ruoli del progetto IAM. |
| Dialogflow > Amministratore API Dialogflow |
Concedi agli amministratori dell'API Agenti conversazionali (Dialogflow CX)
che hanno bisogno dell'accesso completo alle risorse specifiche di Agenti conversazionali (Dialogflow CX):
|
Consulta: Definizioni dei ruoli IAM Dialogflow. |
| Dialogflow > Client API Dialogflow |
Concessione ai client API degli agenti conversazionali (Dialogflow CX)
che eseguono chiamate di rilevamento dell'intento utilizzando l'API:
|
Consulta: Definizioni dei ruoli IAM Dialogflow. |
| Dialogflow > Editor agente console Dialogflow CX |
Concedi agli editor della console Dialogflow CX
che modificano gli agenti esistenti:
|
Consulta: Definizioni dei ruoli IAM Dialogflow. |
| Dialogflow > Lettore API Dialogflow |
Concedi ai client dell'API Dialogflow
che eseguono chiamate di sola lettura specifiche per agenti conversazionali (Dialogflow CX).
usando l'API:
|
Consulta: Definizioni dei ruoli IAM Dialogflow. |
| Discovery Engine Admin | Concedi agli utenti che creano agenti datastore con l'interfaccia utente di Vertex AI Agents. | Consulta: Altre definizioni dei ruoli. |
OAuth
Se utilizzi le librerie client di Google per accedere agli agenti conversazionali (Dialogflow CX), non c'è bisogno di usare OAuth perché queste librerie gestiscono l'implementazione per conto tuo. Tuttavia, se implementi il tuo cliente, potresti dover implementare il tuo flusso OAuth. L'accesso all'API Conversational Agents (Dialogflow CX) richiede uno dei seguenti ambiti OAuth:
https://www.googleapis.com/auth/cloud-platform(accesso a tutte le risorse del progetto)https://www.googleapis.com/auth/dialogflow(accesso alle risorse degli agenti conversazionali (Dialogflow CX))
Richieste che richiedono l'accesso a Cloud Storage
Alcuni agenti conversazionali (Dialogflow CX) richiedono oggetti di accesso in Cloud Storage per leggere o scrivere dati. Quando chiami una di queste richieste, agenti di conversazione (Dialogflow CX) accede ai dati di Cloud Storage per conto dell'utente che effettua la chiamata. Ciò significa che l'autenticazione della richiesta deve disporre delle autorizzazioni per accedere agli agenti conversazionali (Dialogflow CX), nonché agli oggetti Cloud Storage.
Quando utilizzi una libreria client di Google e i ruoli IAM, vedi il Guida al controllo dell'accesso di Cloud Storage per informazioni sui ruoli di Cloud Storage.
Quando implementi il tuo client e utilizzi OAuth, devi utilizzare il seguente ambito OAuth:
https://www.googleapis.com/auth/cloud-platform(accesso a tutte le risorse del progetto)