Controle de acesso

É comum que vários membros da equipe colaborem na criação de um agente. Com os papéis, é possível controlar o acesso e as permissões concedidas aos membros da equipe.

É possível configurar o acesso usando o Console do Dialogflow CX (acessar a documentação, abrir o console) ou usando o Console do Google Cloud (acessar a documentação, abrir o console) com o gerenciamento de identidade e acesso (IAM). O Console do Cloud é usado para adicionar membros com papéis do IAM, enquanto o Console do Dialogflow é usado para adicionar membros com papéis do agente do Dialogflow. Os papéis do agente do Dialogflow são convenientes com base nos papéis do IAM que restringem o acesso a um agente.

Há algumas situações em que é necessário usar o Console do Google Cloud:

  • O Console do Dialogflow CX fornece o papel de proprietário do projeto do IAM ao usuário que criou o projeto proprietário do agente. Esse proprietário tem acesso total a todos os agentes no projeto. Se você quiser alterar o proprietário do projeto, use o Console do Cloud.
  • Os papéis do agente do Dialogflow são usados apenas para acesso no nível do agente. Se você quiser configurar o acesso para envolvidos no projeto, será necessário usar o Console do Cloud.
  • Um subconjunto de papéis do IAM tem papéis correspondentes ao agente do Dialogflow. Se você quiser conceder um papel para envolvidos no projeto ou no nível do agente que não existe no Console do Dialogflow CX, use o Console do Cloud.

Se você estiver usando a API, também será possível ter um ou mais aplicativos que enviam solicitações a um agente. Nesse caso, controle o acesso com as contas de serviço.

Controlar o acesso com o Console do Dialogflow CX

Com o Console do Dialogflow CX, é possível aplicar papéis convenientes configurados para o compartilhamento no nível do agente. Esses papéis estão relacionados aos papéis do IAM com as condições do IAM que limitam o acesso ao agente específico.

Papel do agente do Dialogflow Resumo Papel de IAM
Admin Concede acesso total para criar, atualizar, consultar, detectar intents e excluir o agente do console ou da API. Dialogflow > Administrador da API Dialogflow
Leitor Concede acesso de leitura para consultar (não detectar o intent) o agente do console ou da API. Dialogflow > Leitor da API Dialogflow

Opções de compartilhamento são encontradas nas configurações do agente. Para abrir as configurações de compartilhamento do agente:

  1. Abra o Console do Dialogflow CX.
  2. Escolha seu projeto do GCP.
  3. Selecione seu agente.
  4. Clique em Configurações do agente.
  5. Clique na guia Compartilhar.

Adicionar um membro

  1. Digite o endereço de e-mail do usuário ou grupo em Convidar novas pessoas.
  2. Selecione Usuário ou Grupo no tipo de e-mail.
  3. Selecione um papel.
  4. Clique em Adicionar.
  5. Clique em Save.

Alterar funções de membros

  1. Encontre o membro na lista.
  2. Selecione um papel diferente.
  3. Clique em Salvar.

Remover um membro

  1. Encontre o membro na lista.
  2. Clique no botão de exclusão do membro.
  3. Clique em Save.

Controlar o acesso com o Console do Cloud

É possível controlar o acesso com as configurações do IAM. Consulte o guia de início rápido do IAM para ver as instruções detalhadas sobre como adicionar, editar e remover permissões.

Para acessar as configurações abaixo, abra a página "IAM" no Console do Cloud.

Adicionar um usuário ou membro da conta de serviço ao projeto

É possível aplicar papéis a usuários ou contas de serviço adicionando-os como membros do projeto do Cloud. Os usuários são adicionados fornecendo os respectivos endereços de e-mail. As contas de serviço também são adicionadas fornecendo o endereço de e-mail associado a elas. Você precisa adicionar membros da conta de serviço quando quiser usar uma conta de serviço para vários projetos. Para encontrar o endereço de e-mail associado à sua conta de serviço, consulte a página Contas de serviço do IAM no Console do Cloud.

Para adicionar um membro:

  1. Clique no botão de adição na parte superior da página.
  2. Digite o endereço de e-mail do membro.
  3. Selecione um papel.
  4. Clique em Salvar.

Alterar permissões

  1. Clique no botão de edição no membro.
  2. Selecione um papel diferente.
  3. Clique em Salvar.

Remover um membro

  1. Clique no botão de exclusão no membro.

Adicionar uma condição para restringir o acesso a um agente

Ao adicionar ou editar um membro, é possível criar uma condição do IAM que restrinja o acesso a um agente.

Exemplo:

{
    "expression": "resource.name.startsWith(\"projects/PROJECT_ID/locations/global/agents/AGENT_ID\")",
    "title": "For Dialogflow Agent AGENT_ID"
}

Essa condição fornece acesso básico a um agente específico. Por exemplo, uma conta de serviço com essa condição só pode chamar a API Dialogflow para acessar o agente especificado na condição no projeto, mas não para outros agentes do projeto.

Para adicionar essa condição a um membro:

  1. Selecione um membro.
  2. Clique no botão de edição no membro.
  3. Clique em Adicionar condição.
  4. No campo Título, digite For Dialogflow Agent AGENT_ID e substitua AGENT_ID pelo ID do agente.
  5. Você pode inserir qualquer descrição.
  6. Selecione o Editor de condições para criar sua condição.
  7. Adicione a expressão resource.name.startsWith("projects/PROJECT_ID/locations/global/agents/AGENT_ID"), substituindo AGENT_ID pelo ID do agente e PROJECT_ID pelo ID do projeto.
  8. Clique em Save.

Papéis IAM

A tabela a seguir lista todos os papéis do IAM relevantes para o Dialogflow CX.

Para modificar o acesso de um agente ou excluir um agente, é necessário ter o papel de proprietário do projeto do IAM, de editor de projeto do IAM ou de administrador do agente do Dialogflow que forneça "acesso total".

Papel do IAM Resumo da permissão Detalhes da permissão
Projeto >
Proprietário
Concede aos proprietários do projeto que precisam de acesso total a todos os recursos do Google Cloud e do Dialogflow:
  • Acesso total a todos os recursos do projeto do Google Cloud usando o Console ou as APIs do Cloud.
  • Acesso total ao Console do Dialogflow CX para criar, editar e excluir agentes.
  • Pode detectar intent usando a API.
Consulte Definições de papéis primários do IAM.
Projeto >
Editor
Concede aos editores do projeto que precisam de acesso para edição a todos os recursos do Google Cloud e do Dialogflow:
  • Acesso de edição a todos os recursos do projeto do Cloud usando o Console do Cloud ou as APIs.
  • Acesso de edição ao Console do Dialogflow CX para criar, editar e excluir agentes.
  • Pode detectar intent usando a API.
Consulte Definições de papéis primários do IAM.
Projeto >
Leitor
Concede aos leitores do projeto que precisam de acesso de leitura a todos os recursos do Google Cloud e do Dialogflow:
  • Acesso de leitura a todos os recursos do projeto do Cloud usando o Console do Cloud ou as APIs.
  • Acesso de leitura ao Console do Dialogflow CX.
  • Não é possível detectar intent usando a API.
Consulte Definições de papéis primários do IAM.
Projeto >
Navegador
Concede a navegadores do projeto que precisam de acesso de leitura para navegar na hierarquia de um projeto, incluindo a pasta, a organização e a política do Cloud IAM:
  • Acesso de leitura à hierarquia de projetos do Cloud.
  • Sem acesso ao Console do Dialogflow CX.
  • Não é possível detectar intent usando a API.
Consulte Definições de papéis do projeto do IAM.
Dialogflow >
Administrador da API Dialogflow
Conceda a administradores da API Dialogflow que precisam de acesso total a recursos específicos do Dialogflow:
  • Acesso total ao Dialogflow usando o Console do Cloud ou as APIs.
  • Acesso total ao Console do Dialogflow CX.
  • Pode detectar intent usando a API.
Consulte Definições de papéis do IAM do Dialogflow.
Dialogflow >
Cliente da API Dialogflow
Conceda a clientes da API Dialogflow que realizam edições específicas do Dialogflow e detectam chamadas de intent usando a API:
  • Acesso para editar no Dialogflow usando o Console do Cloud ou as APIs.
  • Sem acesso ao Console do Dialogflow CX.
  • Pode detectar intent usando a API.
Consulte Definições de papéis do IAM do Dialogflow.
Dialogflow >
Editor de agente do Console do Dialogflow
Conceda aos editores do Console do Dialogflow CX que editam agentes:
  • Acesso total ao Dialogflow usando o Console do Cloud.
  • Edita o acesso à maioria dos dados do agente usando o Console do Dialogflow CX.
  • Pode detectar intent usando a API.
Consulte Definições de papéis do IAM do Dialogflow.
Dialogflow >
Leitor da API Dialogflow
Conceda a clientes da API Dialogflow que realizam chamadas somente leitura específicas do Dialogflow usando a API:
  • Acesso de leitura ao Dialogflow usando o Console do Cloud ou as APIs.
  • Acesso de leitura ao Console do Dialogflow CX.
  • Não é possível detectar intent usando a API.
Consulte Definições de papéis do IAM do Dialogflow.