È normale che più membri di un team collaborare alla creazione di un agente e per consentire ai servizi di accedere all'agente. Utilizzando i ruoli, puoi controllare l'accesso e le autorizzazioni concesse entità.
Puoi configurare l'accesso utilizzando la console Dialogflow CX (visita la documentazione, apri la console) o utilizzando Console Google Cloud (consulta la documentazione e apri la console) con Identity and Access Management (IAM). La console Google Cloud viene utilizzata per concedere i ruoli IAM alle entità, mentre la console Dialogflow viene utilizzata per concedere ruoli agente Dialogflow alle entità. I ruoli di agente Dialogflow sono pratici ruoli predefiniti definiti da Dialogflow che limitano l'accesso a un agente o alle risorse figlio di un agente specifico.
In alcune situazioni devi utilizzare la console Google Cloud:
- Il ruolo di Proprietario progetto IAM è concesso per impostazione predefinita all'utente che ha creato il progetto proprietario dell'agente. Questo proprietario ha accesso completo a tutti gli agenti nel progetto. Se vuoi cambiare il proprietario del progetto, devi utilizzare la console Google Cloud.
- La console di Dialogflow CX può essere configurata solo per l'accesso a livello di agente. Se vuoi configurare l'accesso a livello di progetto, devi utilizzare la console Google Cloud.
- Un sottoinsieme di ruoli IAM con ruoli di agente Dialogflow corrispondenti. Se vuoi concedere un ruolo a livello di progetto o di agente non esistente nella console Dialogflow CX, devi utilizzare la console Google Cloud.
- Se crei un agente del datastore con Interfaccia utente di Vertex AI Conversation, devi utilizzare la console Google Cloud.
Se utilizzi l'API, potresti anche avere una o più applicazioni che inviano richieste a un agente. In questo caso, puoi controllare l'accesso account di servizio.
Controlla l'accesso con la console Dialogflow CX
La console Dialogflow CX ti consente di applicare pratici ruoli di agente configurate per la condivisione a livello di agente. Questi ruoli sono correlati ai ruoli IAM Condizioni IAM che limitano l'accesso all'agente specifico o a un sottoinsieme di risorse figlio un agente.
Per accedere alla configurazione dei ruoli di agente dalla console Dialogflow CX: devi disporre del ruolo Amministratore IAM progetto per i progetto. Questo ruolo viene concesso dalla console Google Cloud.
Ruolo di agente Dialogflow | Riepilogo | Ruolo IAM |
---|---|---|
Amministratore | Fornisce l'accesso completo per creare, aggiornare, eseguire query, rilevare l'intento ed eliminare l'agente dalla console o dall'API. | Dialogflow > Amministratore API Dialogflow |
Reader | Fornisce l'accesso in lettura alla query (non al rilevamento dell'intento) dell'agente dalla console o dall'API. | Dialogflow > Lettore API Dialogflow |
Client | Fornisce l'accesso per rilevare l'intento dalla console o dall'API. | Dialogflow > Client API Dialogflow |
Amministratore intent | Fornisce l'accesso per creare, aggiornare, eliminare o eseguire query sugli intent di un agente dalla console o dall'API. | Dialogflow > Amministratore intent Dialogflow |
Amministratore tipi di entità | Fornisce l'accesso per creare, aggiornare, eliminare o eseguire query sui tipi di entità di un agente dalla console o dall'API. | Dialogflow > Amministratore tipi di entità Dialogflow |
Amministratore webhook | Fornisce l'accesso per creare, aggiornare, eliminare o eseguire query sui webhook di un agente dalla console o dall'API. | Dialogflow > Amministratore webhook Dialogflow |
Amministratore scenario di test | Fornisce l'accesso per creare, aggiornare, eliminare o eseguire query sugli scenari di test di un agente dalla console o dall'API. | Dialogflow > Amministratore scenari di test Dialogflow |
Editor dei flussi | Fornisce l'accesso per aggiornare, eseguire query su un flusso specifico e creare, aggiornare, eliminare o eseguire query sulle risorse di flusso (pagine, gruppi di route e versioni) dalla console o dall'API. | Dialogflow > Editor flusso Dialogflow |
Editor dell'ambiente | Fornisce l'accesso per aggiornare, eseguire query su un ambiente specifico e creare, aggiornare, eliminare o eseguire query sulle risorse dell'ambiente (esperimenti) dalla console o dall'API. | Dialogflow > Editor ambiente Dialogflow |
Le opzioni di condivisione si trovano nelle impostazioni dell'agente. Per aprire le impostazioni di condivisione dell'agente:
- Apri la console Dialogflow CX.
- Scegli il progetto Google Cloud.
- Seleziona l'agente.
- Fai clic su Agent Settings (Impostazioni agente).
- Fai clic sulla scheda Condividi.
Aggiungi un'entità
- Fai clic su Aggiungi.
- Inserisci l'indirizzo email dell'account utente, gruppo o di servizio.
- Seleziona Utente, Gruppo o Account di servizio come tipo di email.
- Per impostazione predefinita, viene aggiunto il ruolo Lettore Dialogflow, che è necessario agli utenti per accedere alla console Dialogflow CX.
- Fai clic su Aggiungi ruolo nella sezione Assegna ruoli.
- Seleziona un tipo di ruolo in Tipo.
- Per i ruoli Editor flussi ed Editor ambiente, seleziona flussi o ambienti specifici oppure lascia l'opzione predefinita Tutti.
- (Facoltativo) Imposta la data di scadenza del ruolo.
- Fai clic su Salva.
Modifica ruoli dell'entità
- Fai clic sull'entità nell'elenco.
- Aggiorna i ruoli per questa entità nel popup.
- Fai clic su Salva.
Rimuovi un'entità
- Trova l'entità nell'elenco.
- Fai clic sul pulsante Elimina delete per l'entità.
- Fai clic su Ok.
Controlla l'accesso con la console Google Cloud
Puoi controllare l'accesso con le impostazioni IAM. Consulta la guida rapida di IAM per istruzioni dettagliate su come aggiungere, modificare e rimuovere le autorizzazioni.
Per accedere alle impostazioni seguenti, apri l'app IAM nella console Google Cloud.
Aggiungi un account utente o di servizio al progetto
Puoi fornire le autorizzazioni a utenti o account di servizio assegnando loro dei ruoli nel tuo progetto Google Cloud. Gli utenti vengono aggiunti fornendo il proprio indirizzo email. Vengono aggiunti anche gli account di servizio fornendo il relativo indirizzo email associato. Devi aggiungere account di servizio se vuoi utilizzare un solo account di servizio per più progetti. Per trovare l'indirizzo email associato al tuo account di servizio, consulta la IAM Account di servizio nella console Google Cloud.
Per aggiungere un'entità:
- Fai clic sul pulsante Aggiungi nella parte superiore della pagina.
- Inserisci l'indirizzo email dell'entità.
- Seleziona un ruolo.
- Fai clic su Salva.
Cambia autorizzazioni
- Fai clic sul pulsante Modifica per l'entità.
- Seleziona un altro ruolo.
- Fai clic su Salva.
Rimuovi un'entità
- Fai clic su Elimina pulsante per l'entità.
Aggiungi una condizione per limitare l'accesso a un agente
Quando aggiungi o modifichi un'entità, puoi creare Condizione IAM che limita l'accesso a un solo agente.
Ad esempio:
{
"expression": "resource.name.startsWith(\"projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID\")",
"title": "For Dialogflow Agent AGENT_ID"
}
Questa condizione ti fornisce l'accesso di base a un agente specifico. Ad esempio, un account di servizio con questa condizione può chiamare solo Dialogflow API per accedere all'agente specificato nella condizione per il progetto, ma non con altri agenti nel progetto.
Per aggiungere questa condizione a un ruolo concesso a un'entità:
- Seleziona un'entità.
- Fai clic sul pulsante Modifica per l'entità.
- Fai clic su Aggiungi condizione.
- Nel campo Titolo,
inserisci
For Dialogflow Agent AGENT_ID
e sostituisci AGENT_ID con il tuo ID agente. - Puoi aggiungere una descrizione qualsiasi.
- Seleziona l'Editor condizioni per creare la condizione.
- Aggiungi l'espressione
resource.name.startsWith("projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID")
, sostituendo AGENT_ID con il tuo ID agente e PROJECT_ID con l'ID progetto. - Fai clic su Salva.
Ruoli IAM
La tabella seguente elenca i ruoli IAM comuni pertinenti per Dialogflow CX. I riepiloghi delle autorizzazioni nella tabella utilizzano i seguenti termini:
- Accesso completo: Autorizzazione per modificare l'accesso, creare, eliminare, modificare e leggere qualsiasi risorsa.
- Accesso in modifica: Autorizzazione per creare, eliminare, modificare e leggere qualsiasi risorsa.
- Accesso sessione: Autorizzazione a chiamare metodi per risorse solo di runtime durante una conversazione, ad esempio rilevare l'intento, aggiornare il contesto, aggiornare le entità di sessione o interazioni con Agent Assist.
- Accesso in lettura: Autorizzazione alla lettura di qualsiasi risorsa.
Ruolo IAM | Riepilogo autorizzazioni | Dettagli autorizzazione |
---|---|---|
Progetto > Proprietario |
Concedi ai proprietari del progetto
che necessitano dell'accesso completo a tutte le risorse Google Cloud e Dialogflow:
|
Consulta Definizioni dei ruoli di base IAM. |
Progetto > Editor |
Concedi agli editor del progetto
che richiedono l'accesso in modifica a tutte le risorse di Google Cloud e Dialogflow:
|
Consulta Definizioni dei ruoli di base IAM. |
Progetto > Visualizzatore |
Concedi ai visualizzatori del progetto
che richiedono l'accesso in lettura a tutte le risorse di Google Cloud e Dialogflow:
|
Consulta Definizioni dei ruoli di base IAM. |
Progetto > Amministratore IAM |
Concessione agli amministratori IAM del progetto che richiedono l'accesso in modifica alla configurazione dei ruoli dell'agente Dialogflow. | Consulta Definizioni dei ruoli di Resource Manager IAM. |
Progetto > Browser |
Concedi ai browser del progetto
che necessitano dell'accesso in lettura per esplorare la gerarchia di un progetto,
inclusi cartella, organizzazione e criterio IAM:
|
Consulta Definizioni dei ruoli di progetto IAM. |
Dialogflow > Amministratore API Dialogflow |
Concedi agli amministratori dell'API Dialogflow
che necessitano dell'accesso completo alle risorse specifiche di Dialogflow:
|
Consulta Definizioni dei ruoli IAM Dialogflow. |
Dialogflow > Client API Dialogflow |
Concedi ai client dell'API Dialogflow
che eseguono chiamate di rilevamento dell'intento utilizzando l'API:
|
Consulta Definizioni dei ruoli IAM Dialogflow. |
Dialogflow > Editor agente console Dialogflow |
Concedi agli editor della console Dialogflow CX
che modificano gli agenti esistenti:
|
Consulta Definizioni dei ruoli IAM Dialogflow. |
Dialogflow > Lettore API Dialogflow |
Concedi ai client dell'API Dialogflow
che eseguono chiamate di sola lettura specifiche per Dialogflow.
usando l'API:
|
Consulta Definizioni dei ruoli IAM Dialogflow. |
Amministratore di Discovery Engine | Concessione agli utenti che creano di datastore con dell'interfaccia utente di Vertex AI Agents. | Consulta Altre definizioni dei ruoli. |
OAuth
Se utilizzi librerie client di Google per accedere a Dialogflow, non c'è bisogno di usare OAuth perché queste librerie gestiscono l'implementazione per conto tuo. Tuttavia, se implementi il tuo cliente, potresti dover implementare il tuo flusso OAuth. L'accesso all'API Dialogflow richiede uno dei seguenti ambiti OAuth:
https://www.googleapis.com/auth/cloud-platform
(accesso a tutte le risorse del progetto)https://www.googleapis.com/auth/dialogflow
(accesso alle risorse Dialogflow)
Richieste che prevedono l'accesso a Cloud Storage
Alcune richieste Dialogflow di accesso agli oggetti Cloud Storage per leggere o scrivere dati. Quando chiami una di queste richieste, Dialogflow accede ai dati di Cloud Storage per conto del chiamante. Ciò significa che l'autenticazione della richiesta deve disporre delle autorizzazioni per accedere a Dialogflow e agli oggetti Cloud Storage.
Quando utilizzi una libreria client di Google e i ruoli IAM, vedi il Guida al controllo dell'accesso di Cloud Storage per informazioni sui ruoli di Cloud Storage.
Quando implementi il tuo client e utilizzi OAuth, devi utilizzare il seguente ambito OAuth:
https://www.googleapis.com/auth/cloud-platform
(accesso a tutte le risorse del progetto)