Häufig müssen mehrere Teammitglieder zusammenarbeiten, um einen Agenten zu erstellen, und Dienste müssen auf den Agenten zugreifen. Mithilfe von Rollen können Sie steuern, welchen Zugriff und welche Berechtigungen einzelnen Hauptkonten gewährt werden sollen.
Sie können den Zugriff über die Dialogflow CX-Konsole (Informationen in der Dokumentation, Konsole öffnen) oder über die Google Cloud Console (Informationen in der Dokumentation, Console öffnen) mit Identity and Access Management (IAM) konfigurieren. Mit der Google Cloud Console werden Hauptkonten IAM-Rollen zugewiesen, mit der Dialogflow CX Console Agent-Rollen für Conversational Agents (Dialogflow CX). Die Rollen von Conversational Agents (Dialogflow CX) sind praktische vordefinierte Rollen, die von Conversational Agents (Dialogflow CX) definiert werden und den Zugriff auf einen Agent oder die untergeordneten Ressourcen eines bestimmten Agents einschränken.
In folgenden Situationen müssen Sie die Google Cloud Console verwenden:
- Die IAM-Projektinhaberrolle wird standardmäßig dem Nutzer zugewiesen, der das Projekt erstellt hat, dem der Agent gehört. Dieser Inhaber hat uneingeschränkten Zugriff auf alle Agents im Projekt. Wenn Sie den Projektinhaber ändern möchten, müssen Sie die Google Cloud Console verwenden.
- Der Zugriff auf Agent-Ebene kann nur über die Dialogflow CX-Konsole konfiguriert werden. Wenn Sie den Zugriff auf Projektebene konfigurieren möchten, müssen Sie die Google Cloud Console verwenden.
- Eine Teilmenge von IAM-Rollen verfügt über entsprechende Rollen für Conversational Agents (Dialogflow CX). Wenn Sie eine Rolle auf Projekt- oder Agent-Ebene zuweisen möchten, die in der Dialogflow CX-Konsole nicht vorhanden ist, müssen Sie die Google Cloud Console verwenden.
- Wenn Sie einen Datenspeicher-Agenten mit der Vertex AI Conversation-Benutzeroberfläche erstellen, müssen Sie die Google Cloud Console verwenden.
Wenn Sie die API verwenden, werden an einen Agent möglicherweise auch Anfragen von einer oder mehreren Anwendungen gesendet. In diesem Fall können Sie den Zugriff mithilfe von Dienstkonten steuern.
Zugriff mit der Dialogflow CX-Konsole steuern
Mit der Dialogflow CX-Konsole können Sie praktische Agentrollen anwenden, die für die Freigabe auf Agent-Ebene konfiguriert sind. Diese Rollen beziehen sich auf IAM-Rollen mit IAM-Bedingungen, die den Zugriff auf den jeweiligen Agent oder eine Teilmenge von untergeordneten Ressourcen des Agents einschränken.
Damit Sie über die Dialogflow CX-Konsole auf die Konfiguration von Agent-Rollen zugreifen können, benötigen Sie die Rolle IAM-Administrator des Projekts für das zugehörige Projekt. Diese Rolle wird über die Google Cloud Console gewährt.
| Rolle des Conversational Agents (Dialogflow CX) | Fazit | IAM-Rolle |
|---|---|---|
| Admin | Ermöglicht vollständigen Zugriff zum Erstellen, Aktualisieren, Abfragen, Erkennen von Intents und Löschen des Agents über die Konsole oder die API | Dialogflow > Dialogflow API Admin |
| Leser | Lesezugriff auf die Abfrage (Intent nicht erkennen) über die Konsole oder die API | Dialogflow > Dialogflow API Reader |
| Client | Zugriff zur Intent-Erkennung über die Konsole oder die API. | Dialogflow > Dialogflow API Client |
| Intent-Administrator | Bietet Zugriff zum Erstellen, Aktualisieren, Löschen oder Abfragen der Intents eines Agents über die Konsole oder die API. | Dialogflow > Dialogflow Intent-Administrator |
| Administrator für Entitätstypen | Bietet Zugriff zum Erstellen, Aktualisieren, Löschen oder Abfragen der Entitätstypen eines Agents über die Konsole oder die API. | Dialogflow > Administrator von Dialogflow-Entitätstypen |
| Webhook-Administrator | Bietet Zugriff zum Erstellen, Aktualisieren, Löschen oder Abfragen der Webhooks eines Agents über die Konsole oder die API. | Dialogflow > Dialogflow-Webhook-Administrator |
| Testfalladministrator | Berechtigung zum Erstellen, Aktualisieren, Löschen oder Abfragen der Testfälle eines Agents über die Konsole oder die API. | Dialogflow > Dialogflow-Testfalladministrator |
| Ablaufeditor | Ermöglicht Zugriff auf das Aktualisieren, Abfragen eines bestimmten Ablaufs und Erstellen, Aktualisieren, Löschen oder Abfragen der Ablaufressourcen (Seiten, Routengruppen und -versionen) über die Konsole oder die API. | Dialogflow > Dialogflow-Ablaufeditor |
| Umgebungseditor | Berechtigung zum Aktualisieren, Abfragen einer bestimmten Umgebung und zum Erstellen, Aktualisieren, Löschen oder Abfragen der Umgebungsressourcen (Tests) über die Konsole oder die API. | Dialogflow > Bearbeiter der Dialogflow-Umgebung |
Die Freigabeoptionen finden Sie in den Einstellungen des Agents. So öffnen Sie die Freigabeeinstellungen des Agents:
- Öffnen Sie die Dialogflow CX Console.
- Wählen Sie Ihr Google Cloud-Projekt aus.
- Wählen Sie den Agent aus.
- Klicken Sie auf Agent-Einstellungen.
- Klicken Sie auf den Tab Share (Freigeben).
Hauptkonto hinzufügen
- Klicken Sie auf Add.
- Geben Sie die E-Mail-Adresse des Nutzers, der Gruppe oder des Dienstkontos ein.
- Wählen Sie als E-Mail-Typ Nutzer, Gruppe oder Dienstkonto aus.
- Die Rolle Dialogflow-Leser wird standardmäßig hinzugefügt. Diese ist erforderlich, damit die Nutzer auf die Dialogflow CX-Konsole zugreifen können.
- Klicken Sie unter Rollen zuweisen auf Rolle hinzufügen.
- Wählen Sie unter Typ einen Rollentyp aus.
- Wählen Sie für die Rollen Ablaufeditor und Umgebungseditor bestimmte Abläufe oder Umgebungen aus oder behalten Sie die Standardoption Alle bei.
- Legen Sie optional das Ablaufdatum für die Rolle fest.
- Klicken Sie auf Speichern.
Hauptkontorollen ändern
- Klicken Sie in der Liste auf das Hauptkonto.
- Aktualisieren Sie die Rollen für dieses Hauptkonto im Pop-up-Fenster.
- Klicken Sie auf Speichern.
Hauptkonto entfernen
- Suchen Sie in der Liste nach dem Hauptkonto.
- Klicken Sie auf die Schaltfläche delete zum Löschen des jeweiligen Hauptkontos.
- Klicken Sie auf OK.
Zugriff mit der Google Cloud Console steuern
Sie können den Zugriff über die IAM-Einstellungen steuern. Ausführliche Informationen zum Hinzufügen, Bearbeiten und Entfernen von Berechtigungen finden Sie in der Kurzanleitung für IAM.
Öffnen Sie in der Google Cloud Console die Seite IAM, um auf die Einstellungen zuzugreifen.
Nutzer oder Dienstkonto zum Projekt hinzufügen
Wenn Sie Nutzern oder Dienstkonten Berechtigungen zuweisen möchten, können Sie ihnen Rollen für Ihr Google Cloud-Projekt zuweisen. Nutzer werden durch Angabe ihrer E-Mail-Adresse hinzugefügt. Auch Dienstkonten können durch die Angabe der zugehörigen E-Mail-Adresse hinzugefügt werden. Das Hinzufügen von Dienstkonten ist erforderlich, wenn Sie ein Dienstkonto für mehrere Projekte verwenden möchten. Die E-Mail-Adresse Ihres Dienstkontos finden Sie auf der IAM-Seite Dienstkonten in der Google Cloud Console.
So fügen Sie ein Hauptkonto hinzu:
- Klicken Sie oben auf der Seite auf die Schaltfläche zum Hinzufügen eines Mitglieds.
- Geben Sie die E-Mail-Adresse Ihres Hauptkontos ein.
- Wählen Sie eine Rolle aus.
- Klicken Sie auf Speichern.
Berechtigungen ändern
- Klicken Sie auf die Schaltfläche zum Bearbeiten des jeweiligen Hauptkontos.
- Wählen Sie eine andere Rolle aus.
- Klicken Sie auf Speichern.
Hauptkonto entfernen
- Klicken Sie auf die Schaltfläche zum Löschen des jeweiligen Hauptkontos.
Bedingung hinzufügen, um den Zugriff auf einen Agent einzuschränken
Wenn Sie ein Hauptkonto hinzufügen oder bearbeiten, können Sie eine IAM-Bedingung erstellen, die den Zugriff auf einen Agent einschränkt.
Beispiel:
{
"expression": "resource.name.startsWith(\"projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID\")",
"title": "For Conversational Agents (Dialogflow CX) Agent AGENT_ID"
}
Mit dieser Bedingung erhalten Sie grundlegenden Zugriff auf einen bestimmten Agent. Zum Beispiel kann ein Dienstkonto mit dieser Bedingung nur die Conversational Agents (Dialogflow CX) API aufrufen, um auf den Agent zuzugreifen, der in der Bedingung für das Projekt angegeben ist, jedoch nicht für andere Agents im Projekt.
So fügen Sie diese Bedingung einer Rolle hinzu, die einem Hauptkonto zugewiesen ist:
- Wählen Sie ein Hauptkonto aus.
- Klicken Sie auf die Schaltfläche zum Bearbeiten des jeweiligen Hauptkontos.
- Klicken Sie auf Bedingung hinzufügen.
- Geben Sie im Feld Titel
For Conversational Agents (Dialogflow CX) Agent AGENT_IDein und ersetzen Sie "AGENT_ID" durch Ihre Agent-ID. - Sie können auch eine beliebige Beschreibung hinzufügen.
- Wählen Sie den Bedingungseditor aus, um die Bedingung zu erstellen.
- Fügen Sie den Ausdruck
resource.name.startsWith("projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID")hinzu und ersetzen Sie AGENT_ID durch Ihre Agent-ID und PROJECT_ID durch Ihre Projekt-ID. - Klicken Sie auf Speichern.
IAM-Rollen
In der folgenden Tabelle sind gängige IAM-Rollen aufgeführt, die für Konversations-Agenten (Dialogflow CX) relevant sind. In der Zusammenfassung der Berechtigungen in der Tabelle werden die folgenden Begriffe verwendet:
- Vollständiger Zugriff: Berechtigung zum Ändern des Zugriffs, zum Erstellen, Löschen, Bearbeiten und Lesen beliebiger Ressourcen.
- Bearbeitungszugriff: Berechtigung zum Erstellen, Löschen, Bearbeiten und Lesen beliebiger Ressourcen.
- Sitzungszugriff: Berechtigung zum Aufrufen von Methoden für nur zur Laufzeit verfügbare Ressourcen während einer Unterhaltung, z. B. zum Erkennen von Intents, Aktualisieren des Kontexts, Aktualisieren von Sitzungsentitäten oder Unterhaltungsinteraktionen mit Agent Assist.
- Lesezugriff: Berechtigung zum Lesen einer beliebigen Ressource.
| IAM-Rolle | Zusammenfassung der Berechtigungen | Berechtigungsdetails |
|---|---|---|
| Projekt > Inhaber |
Für Projektinhaber, die uneingeschränkten Zugriff auf alle Google Cloud- und Conversational Agents-Ressourcen (Dialogflow CX) benötigen:
|
Siehe Definitionen von einfachen IAM-Rollen. |
| Projekt > Editor |
Für Projektbearbeiter, die Bearbeitungszugriff auf alle Google Cloud- und Konversations-Agents-Ressourcen (Dialogflow CX) benötigen:
|
Siehe Definitionen von einfachen IAM-Rollen. |
| Projekt > Betrachter |
Für Projektbetrachter, die Lesezugriff auf alle Google Cloud- und Konversations-Agents-Ressourcen (Dialogflow CX) benötigen:
|
Siehe Definitionen von einfachen IAM-Rollen. |
| Projekt > IAM-Administrator |
Für Projekt-IAM-Administratoren, die Bearbeitungszugriff auf die Konfiguration von Agent-Rollen für Konversations-Agents (Dialogflow CX) benötigen. | Siehe Definitionen von IAM-Ressourcenmanager-Rollen. |
| Projekt > Browser |
Für Projektbrowser, die Lesezugriff zum Einsehen der Hierarchie eines Projekts benötigen, einschließlich Ordner, Organisation und IAM-Richtlinie:
|
Siehe Definitionen von IAM-Projektrollen. |
| Dialogflow > Dialogflow API-Administrator |
Für Conversational Agents (Dialogflow CX) API-Administratoren, die uneingeschränkt Zugriff auf Conversational Agents (Dialogflow CX)-spezifische Ressourcen benötigen:
|
Siehe IAM-Rollendefinitionen für Dialogflow |
| Dialogflow > Dialogflow API-Client |
Für Conversational Agents (Dialogflow CX) API-Clients, die Intent-Aufrufe mit der API erkennen:
|
Siehe IAM-Rollendefinitionen für Dialogflow |
| Dialogflow > Agent-Bearbeiter in Dialogflow CX-Konsole |
Für Bearbeiter der Dialogflow CX-Konsole, die vorhandene Agents bearbeiten:
|
Siehe IAM-Rollendefinitionen für Dialogflow |
| Dialogflow > Dialogflow API-Leser |
Für Dialogflow API-Clients, die schreibgeschützte Aufrufe für Conversational Agents (Dialogflow CX) über die API ausführen:
|
Siehe IAM-Rollendefinitionen für Dialogflow |
| Discovery Engine-Administrator | Nutzer, die Datenspeicher-Agents mit der Benutzeroberfläche von Vertex AI Agents erstellen, gewähren | Siehe Weitere Rollendefinitionen. |
OAuth
Wenn Sie Google-Clientbibliotheken zum Zugriff auf Conversational Agents (Dialogflow CX) verwenden, müssen Sie OAuth nicht direkt verwenden, da diese Bibliotheken die Implementierung für Sie übernehmen. Wenn Sie jedoch Ihren eigenen Client implementieren, müssen Sie möglicherweise auch Ihren eigenen OAuth-Vorgang implementieren. Für den Zugriff auf die API für Konversations-Agenten (Dialogflow CX) ist einer der folgenden OAuth-Bereiche erforderlich:
https://www.googleapis.com/auth/cloud-platform(Zugriff auf alle Projektressourcen)https://www.googleapis.com/auth/dialogflow(Zugriff auf Ressourcen für Conversational Agents (Dialogflow CX))
Anfragen, die den Zugriff auf Cloud Storage erfordern
Einige Conversational Agents (Dialogflow CX) fordern Zugriff auf Objekte in Cloud Storage an, um Daten zu lesen oder zu schreiben. Wenn Sie eine dieser Anfragen aufrufen, greift Conversational Agents (Dialogflow CX) im Namen des Anrufers auf die Cloud Storage-Daten zu. Das bedeutet, dass die Authentifizierung Ihrer Anfrage Berechtigungen für den Zugriff auf Conversational Agents (Dialogflow CX) sowie auf die Cloud Storage-Objekte haben muss.
Wenn Sie eine Google-Clientbibliothek und IAM-Rollen verwenden, finden Sie Informationen zu Cloud Storage-Rollen in der Anleitung zur Zugriffssteuerung für Cloud Storage.
Wenn Sie Ihren eigenen Client implementieren und OAuth verwenden, müssen Sie den folgenden OAuth-Gültigkeitsbereich verwenden:
https://www.googleapis.com/auth/cloud-platform(Zugriff auf alle Projektressourcen)
Zugriffssteuerung für die Agent Builder-Konsole
Weitere Informationen finden Sie im Leitfaden zur Zugriffssteuerung für Vertex AI Agent Builder und Discovery Engine.
Benutzerdefinierte Rollen für den Zugriff auf das Playbook-Tool
Mithilfe von Berechtigungen und benutzerdefinierten Rollen können Sie eine detaillierte Zugriffssteuerung für Playbook-Tools ermöglichen.
Sie können die verfügbaren Berechtigungen auflisten, indem Sie das Suchtool für Berechtigungen aufrufen und nach dialogflow.tools suchen.
Mit diesen Berechtigungen können Sie benutzerdefinierte Rollen erstellen.