Zugriffssteuerung

Häufig müssen mehrere Teammitglieder zusammenarbeiten, um einen Agent zu erstellen. Mithilfe von Rollen können Sie steuern, welchen Zugriff und welche Berechtigungen einzelne Teammitglieder haben sollen.

Sie können den Zugriff über die Dialogflow CX-Konsole (Informationen in der Dokumentation, Konsole öffnen) oder über die Google Cloud Console (Informationen in der Dokumentation, Console öffnen) mit Identity and Access Management (IAM) konfigurieren. Mit der Cloud Console werden Hauptkonten IAM-Rollen zugewiesen, während die Dialogflow-Konsole den Hauptrollen Dialogflow-Agent zugewiesen wird. Dialogflow-Agent-Rollen sind praktische vordefinierte Rollen, die von Dialogflow definiert sind und den Zugriff auf einen Agent oder die untergeordneten Ressourcen eines bestimmten Agents einschränken.

In folgenden Situationen müssen Sie die Google Cloud Console verwenden:

  • Die IAM-Rolle "Projektinhaber" wird standardmäßig dem Nutzer zugewiesen, der das Projekt erstellt hat, zu dem der Agent gehört. Dieser Inhaber hat uneingeschränkten Zugriff auf alle Agents im Projekt. Wenn Sie den Projektinhaber ändern möchten, müssen Sie die Cloud Console verwenden.
  • Über die Dialogflow CX Console kann nur der Zugriff auf Agent-Ebene konfiguriert werden. Wenn Sie den Zugriff auf Projektebene konfigurieren möchten, müssen Sie die Cloud Console verwenden.
  • Eine Teilmenge von IAM-Rollen verfügt über entsprechende Dialogflow-Agent-Rollen. Wenn Sie eine Rolle auf Projekt- oder Agent-Ebene zuweisen möchten, die in der Dialogflow CX_Konsole nicht vorhanden ist, müssen Sie die Cloud Console verwenden.

Wenn Sie die API verwenden, werden an einen Agent möglicherweise auch Anfragen von einer oder mehreren Anwendungen gesendet. In diesem Fall können Sie den Zugriff mithilfe von Dienstkonten steuern.

Zugriff mit der Dialogflow CX-Konsole steuern

Mit der Dialogflow CX-Konsole können Sie einfache Agent-Rollen anwenden, die für die Freigabe auf Agent-Ebene konfiguriert sind. Diese Rollen entsprechen IAM-Rollen mit IAM-Bedingungen, die den Zugriff auf den bestimmten Agent oder eine Teilmenge der untergeordneten Ressourcen des Agents einschränken.

Für den Zugriff auf die Konfiguration von Agent-Rollen über die Dialogflow CX-Konsole benötigen Sie die Rolle "Projekt-IAM-Administrator" für das verknüpfte Projekt. Diese Rolle wird über die Google Cloud Console gewährt.

Dialogflow-Agent-Rolle Fazit IAM-Rolle
Admin Ermöglicht vollständigen Zugriff zum Erstellen, Aktualisieren, Abfragen, Erkennen von Intents und Löschen des Agents über die Konsole oder die API Dialogflow > Dialogflow API Admin
Leser Lesezugriff auf die Abfrage (Intent nicht erkennen) über die Konsole oder die API Dialogflow > Dialogflow API Reader
Client Berechtigung zum Erkennen des Intents über die Console oder API Dialogflow > Dialogflow API Client
Intent-Administrator Berechtigung zum Erstellen, Aktualisieren, Löschen oder Abfragen der Intents eines Agents über die Console oder die API Dialogflow > Dialogflow Intent-Administrator
Entitätstyp-Administrator Berechtigung zum Erstellen, Aktualisieren, Löschen oder Abfragen der Entitätstypen eines Agents über die Console oder die API Dialogflow > Administrator für Dialogflow-Entitätstypen
Webhook-Administrator Berechtigung zum Erstellen, Aktualisieren, Löschen oder Abfragen der Webhooks eines Agents über die Console oder die API Dialogflow > Dialogflow-Webhook-Administrator
Testfalladministrator Berechtigung zum Erstellen, Aktualisieren, Löschen oder Abfragen der Testfälle eines Agents über die Console oder die API Dialogflow > Dialogflow Test Case-Administrator
Ablauf-Editor Bietet Zugriff zum Aktualisieren, Abfragen eines bestimmten Ablaufs und Erstellen, Aktualisieren, Löschen oder Abfragen der Ablaufressourcen (Seiten, Routengruppen und Versionen) über die Console oder API. Dialogflow > Dialogflow-Ablaufeditor
Umgebungsbearbeiter Berechtigung zum Aktualisieren, Abfragen einer bestimmten Umgebung und zum Erstellen, Aktualisieren, Löschen oder Abfragen der Umgebungsressourcen (Tests) über die Console oder API Dialogflow > Dialogflow-Umgebungsbearbeiter

Die Freigabeoptionen finden Sie in den Einstellungen des Agents. So öffnen Sie die Freigabeeinstellungen des Agents:

  1. Öffnen Sie die Dialogflow CX Console.
  2. Wählen Sie Ihr GCP-Projekt aus.
  3. Wählen Sie den Agent aus.
  4. Klicken Sie auf Agent-Einstellungen.
  5. Klicken Sie auf den Tab Share (Freigeben).

Hauptkonto hinzufügen

  1. Klicken Sie auf Add.
  2. Geben Sie die E-Mail-Adresse des Nutzers, der Gruppe oder des Dienstkontos ein.
  3. Wählen Sie als E-Mail-Typ Nutzer, Gruppe oder Dienstkonto aus.
  4. Die Rolle Dialogflow-Leser wird standardmäßig hinzugefügt. Sie ist erforderlich, damit Nutzer auf die Dialogflow CX-Konsole zugreifen können.
  5. Klicken Sie unter Rollen zuweisen auf Rolle hinzufügen.
  6. Wählen Sie unter Typ einen Rollentyp aus.
  7. Wählen Sie für die Rollen Ablauf-Editor und Umgebungsbearbeiter bestimmte Abläufe oder Umgebungen aus oder behalten Sie die Standardoption Alle bei.
  8. Optional können Sie auch ein Ablaufdatum für die Rolle festlegen.
  9. Klicken Sie auf Speichern.

Hauptrollen ändern

  1. Klicken Sie in der Liste auf das Hauptkonto.
  2. Aktualisieren Sie die Rollen für dieses Hauptkonto im Pop-up-Fenster.
  3. Klicken Sie auf Speichern.

Hauptkonto entfernen

  1. Suchen Sie das Hauptkonto in der Liste.
  2. Klicken Sie für das Hauptkonto auf die Schaltfläche löschen.
  3. Klicken Sie auf OK.
.

Zugriff mit der Cloud Console steuern

Sie können den Zugriff über die IAM-Einstellungen steuern. Ausführliche Informationen zum Hinzufügen, Bearbeiten und Entfernen von Berechtigungen finden Sie in der Kurzanleitung für IAM.

Öffnen Sie in der Cloud Console die IAM-Seite, um auf die Einstellungen zuzugreifen.

Nutzer oder Dienstkonto zum Projekt hinzufügen

Sie können Nutzern oder Dienstkonten Berechtigungen erteilen, indem Sie ihnen in Ihrem Cloud-Projekt Rollen zuweisen. Nutzer werden durch Angabe ihrer E-Mail-Adresse hinzugefügt. Auch Dienstkonten können durch die Angabe der zugehörigen E-Mail-Adresse hinzugefügt werden. Sie müssen Dienstkonten hinzufügen, wenn Sie ein Dienstkonto für mehrere Projekte verwenden möchten. Die E-Mail-Adresse Ihres Dienstkontos finden Sie auf der IAM-Seite Dienstkonten in der Cloud Console.

So fügen Sie ein Hauptkonto hinzu:

  1. Klicken Sie oben auf der Seite auf die Schaltfläche zum Hinzufügen eines Mitglieds.
  2. Geben Sie die E-Mail-Adresse des Hauptkontos ein.
  3. Wählen Sie eine Rolle aus.
  4. Klicken Sie auf Speichern.

Berechtigungen ändern

  1. Klicken Sie auf die Schaltfläche für das Hauptkonto bearbeiten.
  2. Wählen Sie eine andere Rolle aus.
  3. Klicken Sie auf Speichern.

Hauptkonto entfernen

  1. Klicken Sie für das Hauptkonto auf die Schaltfläche löschen.

Bedingung hinzufügen, um den Zugriff auf einen Agent einzuschränken

Wenn Sie ein Hauptkonto hinzufügen oder bearbeiten, können Sie eine IAM-Bedingung erstellen, die den Zugriff auf einen Agent einschränkt.

Beispiel:

{
    "expression": "resource.name.startsWith(\"projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID\")",
    "title": "For Dialogflow Agent AGENT_ID"
}

Mit dieser Bedingung erhalten Sie grundlegenden Zugriff auf einen bestimmten Agent. Zum Beispiel kann ein Dienstkonto mit dieser Bedingung nur die Dialogflow API aufrufen, um auf den Agent zuzugreifen, der in der Bedingung für das Projekt angegeben ist, jedoch nicht für andere Agents im Projekt.

So fügen Sie diese Bedingung einer Rolle hinzu, die einem Hauptkonto zugewiesen ist:

  1. Wählen Sie ein Hauptkonto aus.
  2. Klicken Sie auf die Schaltfläche für das Hauptkonto bearbeiten.
  3. Klicken Sie auf Bedingung hinzufügen.
  4. Geben Sie im Feld Titel For Dialogflow Agent AGENT_ID ein und ersetzen Sie "AGENT_ID" durch Ihre Agent-ID.
  5. Sie können auch eine beliebige Beschreibung hinzufügen.
  6. Wählen Sie den Bedingungseditor aus, um die Bedingung zu erstellen.
  7. Fügen Sie den Ausdruck resource.name.startsWith("projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID") hinzu und ersetzen Sie AGENT_ID durch Ihre Agent-ID und PROJECT_ID durch Ihre Projekt-ID.
  8. Klicken Sie auf Speichern.

IAM-Rollen

In der folgenden Tabelle sind alle IAM-Rollen aufgeführt, die für Dialogflow CX relevant sind. In der Tabellenzusammenfassung für Berechtigungen werden die folgenden Begriffe verwendet:

  • Vollständiger Zugriff: Berechtigung zum Ändern von Zugriff, Erstellen, Löschen, Bearbeiten und Lesen einer Ressource.
  • Bearbeitungszugriff: Berechtigung zum Erstellen, Löschen, Bearbeiten und Lesen einer Ressource.
  • Lesezugriff: Berechtigung zum Lesen einer Ressource.
IAM-Rolle Zusammenfassung der Berechtigungen Berechtigungsdetails
Projekt >
Inhaber
Für Projektinhaber, die vollständigen Zugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
  • Uneingeschränkter Zugriff auf alle Google Cloud-Projektressourcen über die Cloud Console oder APIs
  • Vollständiger Zugriff auf Agents über die Dialogflow-Konsole.
  • Intent-Erkennung mithilfe der API
Siehe Definitionen von einfachen IAM-Rollen.
Projekt >
Editor
Für Projektbearbeiter, die Bearbeitungszugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
  • Bearbeitungszugriff auf alle Cloud-Projektressourcen über die Cloud Console oder APIs
  • Bearbeitungszugriff auf Agents über die Dialogflow-Konsole.
  • Intent-Erkennung mithilfe der API
Siehe Definitionen von einfachen IAM-Rollen.
Projekt >
Betrachter
Für Projektbetrachter, die Lesezugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
  • Lesezugriff auf alle Cloud-Projektressourcen über die Cloud Console oder APIs
  • Lesezugriff auf Agents über die Dialogflow-Konsole.
  • Keine Intent-Erkennung mithilfe der API
Siehe Definitionen von einfachen IAM-Rollen.
Projekt >
IAM-Administrator
Erteilen Sie Projekt-IAM-Administratoren, die Bearbeitungszugriff auf die Konfiguration von Dialogflow-Agent-Rollen benötigen. Siehe Definitionen der IAM-Ressourcenmanager-Rollen.
Projekt >
Browser
Für Projektbrowser, die Lesezugriff zum Einsehen der Hierarchie eines Projekts benötigen, einschließlich Ordner, Organisation und IAM-Richtlinie:
  • Lesezugriff auf die Cloud-Projekthierarchie
  • Kein Zugriff auf Agents über die Dialogflow-Konsole.
  • Keine Intent-Erkennung mithilfe der API
Siehe Definitionen von IAM-Projektrollen.
Dialogflow >
Dialogflow API-Administrator
Für Dialogflow API-Administratoren, die uneingeschränkt Zugriff auf Dialogflow-spezifische Ressourcen benötigen:
  • Uneingeschränkter Zugriff auf alle Dialogflow-Ressourcen über die Cloud Console oder APIs
  • Vollständiger Zugriff auf Agents über die Dialogflow-Konsole.
  • Intent-Erkennung mithilfe der API
Siehe IAM-Rollendefinitionen für Dialogflow
Dialogflow >
Dialogflow API-Client
Für Dialogflow API-Clients, die Dialogflow-spezifische Änderungen vornehmen und Intent-Aufrufe mit der API erkennen:
  • Kein Zugriff auf Dialogflow CX-Konsole.
  • Intent-Erkennung mithilfe der API
Siehe IAM-Rollendefinitionen für Dialogflow
Dialogflow >
Agent-Bearbeiter in Dialogflow-Konsole
Für Bearbeiter der Dialogflow CX-Konsole, die vorhandene Agents bearbeiten:
  • Uneingeschränkter Zugriff auf alle Dialogflow-Ressourcen über die Cloud Console.
  • Bearbeiten Sie über die Dialogflow-Konsole den Zugriff auf die meisten Agent-Daten.
  • Intent-Erkennung mithilfe der API
Siehe IAM-Rollendefinitionen für Dialogflow
Dialogflow >
Dialogflow API-Leser
Für Dialogflow API-Clients, die Dialogflow-spezifische schreibgeschützte Aufrufe über die API ausführen:
  • Lesezugriff auf alle Dialogflow-Ressourcen mit der Cloud Console oder APIs.
  • Lesezugriff auf Agents über die Dialogflow-Konsole.
  • Keine Intent-Erkennung mithilfe der API
Siehe IAM-Rollendefinitionen für Dialogflow