Zugriffssteuerung

Häufig müssen mehrere Teammitglieder zusammenarbeiten, um einen Agent zu erstellen. Mithilfe von Rollen können Sie steuern, welchen Zugriff und welche Berechtigungen einzelne Teammitglieder haben sollen.

Sie können den Zugriff über die Dialogflow CX-Konsole (Informationen in der Dokumentation, Konsole öffnen) oder über die Google Cloud Console (Informationen in der Dokumentation, Console öffnen) mit Identity and Access Management (IAM) konfigurieren. Die Cloud Console wird verwendet, um Mitglieder mit IAM-Rollen hinzuzufügen, während die Dialogflow-Konsole Mitglieder mit Dialogflow-Agent-Rollen enthält. Dialogflow-Agent-Rollen sind praktische Rollen, die auf IAM-Rollen basieren, mit denen der Zugriff auf einen Agent eingeschränkt wird.

In folgenden Situationen müssen Sie die Google Cloud Console verwenden:

  • Die Dialogflow CX-Konsole stellt dem Nutzer, der das Projekt erstellt hat, die Rolle des IAM-Projekteigentümers zur Verfügung, dem der Agent gehört. Dieser Inhaber hat uneingeschränkten Zugriff auf alle Agents im Projekt. Wenn Sie den Projektinhaber ändern möchten, müssen Sie die Cloud Console verwenden.
  • Die Dialogflow-Agent-Rollen werden nur für den Zugriff auf Agent-Ebene verwendet. Wenn Sie den Zugriff auf Projektebene konfigurieren möchten, müssen Sie die Cloud Console verwenden.
  • Eine Teilmenge von IAM-Rollen verfügt über entsprechende Dialogflow-Agent-Rollen. Wenn Sie eine Rolle auf Projekt- oder Agent-Ebene zuweisen möchten, die in der Dialogflow CX_Konsole nicht vorhanden ist, müssen Sie die Cloud Console verwenden.

Wenn Sie die API verwenden, werden an einen Agent möglicherweise auch Anfragen von einer oder mehreren Anwendungen gesendet. In diesem Fall können Sie den Zugriff mithilfe von Dienstkonten steuern.

Zugriff mit der Dialogflow CX-Konsole steuern

Mit der Dialogflow CX-Konsole können Sie einfache Agent-Rollen anwenden, die für die Freigabe auf Agent-Ebene konfiguriert sind. Diese Rollen beziehen sich auf IAM-Rollen mit IAM-Bedingungen, die den Zugriff auf den jeweiligen Agent beschränken.

Dialogflow-Agent-Rolle Fazit IAM-Rolle
Admin Ermöglicht vollständigen Zugriff zum Erstellen, Aktualisieren, Abfragen, Erkennen von Intents und Löschen des Agents über die Konsole oder die API Dialogflow > Dialogflow API Admin
Leser Lesezugriff auf die Abfrage (Intent nicht erkennen) über die Konsole oder die API Dialogflow > Dialogflow API Reader

Die Freigabeoptionen finden Sie in den Einstellungen des Agents. So öffnen Sie die Freigabeeinstellungen des Agents:

  1. Öffnen Sie die Dialogflow CX Console.
  2. Wählen Sie Ihr GCP-Projekt aus.
  3. Wählen Sie den Agent aus.
  4. Klicken Sie auf Agent-Einstellungen.
  5. Klicken Sie auf den Tab Share (Freigeben).

Mitglied hinzufügen

  1. Geben Sie unter Neue Personen einladen die E-Mail-Adresse des Nutzers oder der Gruppe ein.
  2. Wählen Sie als E-Mail-Typ Nutzer oder Gruppe aus.
  3. Wählen Sie eine Rolle aus.
  4. Klicken Sie auf Add (Hinzufügen).
  5. Klicken Sie auf Speichern.

Mitgliederrollen ändern

  1. Suchen Sie das Mitglied in der Liste.
  2. Wählen Sie eine andere Rolle aus.
  3. Klicken Sie auf Speichern.

Mitglied entfernen

  1. Suchen Sie das Mitglied in der Liste.
  2. Klicken Sie auf die Schaltfläche zum Löschen des jeweiligen Mitglieds.
  3. Klicken Sie auf Speichern.

Zugriff mit der Cloud Console steuern

Sie können den Zugriff über die IAM-Einstellungen steuern. Ausführliche Informationen zum Hinzufügen, Bearbeiten und Entfernen von Berechtigungen finden Sie in der Kurzanleitung für IAM.

Öffnen Sie in der Cloud Console die IAM-Seite, um auf die Einstellungen zuzugreifen.

Nutzer oder Dienstkonto-Mitglieder zum Projekt hinzufügen

Sie können Rollen auf Nutzer oder Dienstkonten anwenden, indem Sie diese als Mitglieder Ihres Cloud-Projekts hinzufügen. Nutzer werden durch Angabe ihrer E-Mail-Adresse hinzugefügt. Auch Dienstkonten können durch die Angabe der zugehörigen E-Mail-Adresse hinzugefügt werden. Das Hinzufügen von Dienstkonto-Mitgliedern ist erforderlich, wenn Sie ein Dienstkonto für mehrere Projekte verwenden möchten. Die E-Mail-Adresse Ihres Dienstkontos finden Sie auf der IAM-Seite Dienstkonten in der Cloud Console.

So fügen Sie ein Mitglied hinzu:

  1. Klicken Sie oben auf der Seite auf die Schaltfläche zum Hinzufügen eines Mitglieds.
  2. Geben Sie die E-Mail-Adresse des Mitglieds ein.
  3. Wählen Sie eine Rolle aus.
  4. Klicken Sie auf Speichern.

Berechtigungen ändern

  1. Klicken Sie auf die Schaltfläche zum Bearbeiten des jeweiligen Mitglieds.
  2. Wählen Sie eine andere Rolle aus.
  3. Klicken Sie auf Speichern.

Mitglied entfernen

  1. Klicken Sie auf die Schaltfläche zum Löschen des jeweiligen Mitglieds.

Bedingung hinzufügen, um den Zugriff auf einen Agent einzuschränken

Wenn Sie ein Mitglied hinzufügen oder bearbeiten, können Sie eine IAM-Bedingung erstellen, die den Zugriff auf einen Agent einschränkt.

Beispiel:

{
    "expression": "resource.name.startsWith(\"projects/PROJECT_ID/locations/global/agents/AGENT_ID\")",
    "title": "For Dialogflow Agent AGENT_ID"
}

Mit dieser Bedingung erhalten Sie grundlegenden Zugriff auf einen bestimmten Agent. Zum Beispiel kann ein Dienstkonto mit dieser Bedingung nur die Dialogflow API aufrufen, um auf den Agent zuzugreifen, der in der Bedingung für das Projekt angegeben ist, jedoch nicht für andere Agents im Projekt.

So fügen Sie diese Bedingung einem Mitglied hinzu:

  1. Wählen Sie ein Mitglied aus.
  2. Klicken Sie auf die Schaltfläche zum Bearbeiten des jeweiligen Mitglieds.
  3. Klicken Sie auf Bedingung hinzufügen.
  4. Geben Sie im Feld Titel For Dialogflow Agent AGENT_ID ein und ersetzen Sie "AGENT_ID" durch Ihre Agent-ID.
  5. Sie können auch eine beliebige Beschreibung hinzufügen.
  6. Wählen Sie den Bedingungseditor aus, um die Bedingung zu erstellen.
  7. Fügen Sie den Ausdruck resource.name.startsWith("projects/PROJECT_ID/locations/global/agents/AGENT_ID") hinzu und ersetzen Sie AGENT_ID durch Ihre Agent-ID und PROJECT_ID durch Ihre Projekt-ID.
  8. Klicken Sie auf Speichern.

IAM-Rollen

In der folgenden Tabelle sind alle IAM-Rollen aufgeführt, die für Dialogflow CX relevant sind.

Wenn Sie den Zugriff für einen Agent ändern oder einen Agent löschen möchten, benötigen Sie eine IAM-Projektinhaber-, IAM-Projektbearbeiter- oder Dialogflow-Agent-Administratorrolle, die einen vollständigen Zugriff gewährt.

IAM-Rolle Zusammenfassung der Berechtigungen Berechtigungsdetails
Projekt >
Inhaber
Für Projektinhaber, die vollständigen Zugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
  • Uneingeschränkter Zugriff auf alle Google Cloud-Projektressourcen über die Cloud Console oder APIs
  • Vollständiger Zugriff auf Dialogflow CX Console zum Erstellen, Bearbeiten und Löschen von Agents.
  • Intent-Erkennung mithilfe der API
Siehe Definitionen einfacher IAM-Rollen.
Projekt >
Editor
Für Projektbearbeiter, die Bearbeitungszugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
  • Bearbeitungszugriff auf alle Cloud-Projektressourcen über die Cloud Console oder APIs
  • Bearbeitungszugriff auf die Dialogflow CX-Konsole zum Erstellen, Bearbeiten und Löschen von Agents.
  • Intent-Erkennung mithilfe der API
Siehe Definitionen einfacher IAM-Rollen.
Projekt >
Betrachter
Für Projektbetrachter, die Lesezugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
  • Lesezugriff auf alle Cloud-Projektressourcen über die Cloud Console oder APIs
  • Lesezugriff auf Dialogflow CX-Konsole.
  • Keine Intent-Erkennung mithilfe der API
Siehe Definitionen einfacher IAM-Rollen.
Projekt >
Browser
Für Projektbrowser, die Lesezugriff zum Durchsuchen der Hierarchie eines Projekts benötigen, einschließlich Ordner, Organisation und IAM-Richtlinie:
  • Lesezugriff auf die Cloud-Projekthierarchie
  • Kein Zugriff auf Dialogflow CX-Konsole.
  • Keine Intent-Erkennung mithilfe der API
Siehe Definitionen von IAM-Projektrollen.
Dialogflow >
Dialogflow API-Administrator
Für Dialogflow API-Administratoren, die uneingeschränkt Zugriff auf Dialogflow-spezifische Ressourcen benötigen:
  • Uneingeschränkter Zugriff auf Dialogflow über die Cloud Console oder APIs
  • Vollständiger Zugriff auf Dialogflow CX-Konsole.
  • Intent-Erkennung mithilfe der API
Siehe IAM-Rollendefinitionen für Dialogflow
Dialogflow >
Dialogflow API-Client
Für Dialogflow API-Clients, die Dialogflow-spezifische Änderungen vornehmen und Intent-Aufrufe mit der API erkennen:
  • Bearbeitungszugriff auf Dialogflow über die Cloud Console oder APIs
  • Kein Zugriff auf Dialogflow CX-Konsole.
  • Intent-Erkennung mithilfe der API
Siehe IAM-Rollendefinitionen für Dialogflow
Dialogflow >
Agent-Bearbeiter in Dialogflow-Konsole
Für Bearbeiter der Dialogflow CX-Konsole, die vorhandene Agents bearbeiten:
  • Uneingeschränkter Zugriff auf Dialogflow über die GCP Console
  • Bearbeitungszugriff auf die meisten Agent-Daten über die Dialogflow-Konsole.
  • Intent-Erkennung mithilfe der API
Siehe IAM-Rollendefinitionen für Dialogflow
Dialogflow >
Dialogflow API-Leser
Für Dialogflow API-Clients, die Dialogflow-spezifische schreibgeschützte Aufrufe über die API ausführen:
  • Lesezugriff auf Dialogflow über die Cloud Console oder APIs
  • Lesezugriff auf Dialogflow CX-Konsole.
  • Keine Intent-Erkennung mithilfe der API
Siehe IAM-Rollendefinitionen für Dialogflow