Controle de acesso

É comum que vários membros da equipe colaborem na criação de um agente. Com os papéis, é possível controlar o acesso e as permissões concedidas aos membros da equipe.

É possível configurar o acesso usando o Console do Dialogflow CX (acessar a documentação, abrir o console) ou usando o Console do Google Cloud (acessar a documentação, abrir o console) com o gerenciamento de identidade e acesso (IAM). O Console do Cloud é usado para conceder papéis do IAM aos principais, enquanto o Console do Dialogflow é usado para conceder papéis do agente do Dialogflow aos principais. Os papéis do agente do Dialogflow são papéis predefinidos convenientes definidos pelo Dialogflow que restringem o acesso a um agente ou aos recursos filhos de um agente específico.

Há algumas situações em que é necessário usar o Console do Google Cloud:

  • O papel de proprietário do projeto do IAM é concedido por padrão ao usuário que criou o projeto proprietário do agente. Esse proprietário tem acesso total a todos os agentes no projeto. Se você quiser alterar o proprietário do projeto, use o Console do Cloud.
  • Somente o acesso no nível do agente pode ser configurado por meio do Console do Dialogflow CX. Se você quiser configurar o acesso para envolvidos no projeto, será necessário usar o Console do Cloud.
  • Um subconjunto de papéis do IAM tem papéis correspondentes ao agente do Dialogflow. Se você quiser conceder um papel para envolvidos no projeto ou no nível do agente que não existe no Console do Dialogflow CX, use o Console do Cloud.

Se você estiver usando a API, também será possível ter um ou mais aplicativos que enviam solicitações a um agente. Nesse caso, controle o acesso com as contas de serviço.

Controlar o acesso com o Console do Dialogflow CX

Com o Console do Dialogflow CX, é possível aplicar papéis convenientes configurados para o compartilhamento no nível do agente. Esses papéis se relacionam aos papéis do IAM com condições do IAM que limitam o acesso ao agente específico ou a um subconjunto de recursos filhos do agente.

Para acessar a configuração de papéis do agente no Console do Dialogflow CX, você precisa receber o papel de administrador do IAM do projeto para o projeto associado. Este papel é concedido no Console do Google Cloud.

Papel do agente do Dialogflow Resumo Papel de IAM
Admin Concede acesso total para criar, atualizar, consultar, detectar intents e excluir o agente do console ou da API. Dialogflow > Administrador da API Dialogflow
Leitor Concede acesso de leitura para consultar (não detectar o intent) o agente do console ou da API. Dialogflow > Leitor da API Dialogflow
Cliente Concede acesso para detectar intents no console ou na API. Dialogflow > Cliente da API Dialogflow
Administrador de intents Concede acesso para criar, atualizar, excluir ou consultar as intents de um agente no console ou na API. Dialogflow > Administrador de intents do Dialogflow
Administrador do tipo de entidade Concede acesso para criar, atualizar, excluir ou consultar os tipos de entidade de um agente no console ou na API. Dialogflow > Administrador do tipo de entidade do Dialogflow
Administrador do webhook Concede acesso para criar, atualizar, excluir ou consultar os webhooks de um agente no console ou na API. Dialogflow > Administrador de webhook do Dialogflow
Administrador do caso de teste Concede acesso para criar, atualizar, excluir ou consultar os casos de teste de um agente no console ou na API. Dialogflow > Administrador de casos de teste do Dialogflow
Editor de fluxo Concede acesso para atualizar, consultar um fluxo específico e criar, atualizar, excluir ou consultar os recursos de fluxo (páginas, grupos de rotas e versões) no console ou na API. Dialogflow > Editor de fluxo do Dialogflow
Editor de ambiente Concede acesso para atualizar, consultar um ambiente específico e criar, atualizar, excluir ou consultar os recursos do ambiente (experimentos) no console ou na API. Dialogflow > Editor do ambiente do Dialogflow

Opções de compartilhamento são encontradas nas configurações do agente. Para abrir as configurações de compartilhamento do agente:

  1. Abra o Console do Dialogflow CX.
  2. Escolha seu projeto do GCP.
  3. Selecione seu agente.
  4. Clique em Configurações do agente.
  5. Clique na guia Compartilhar.

Adicionar um principal

  1. Clique em Add.
  2. Digite o endereço de e-mail do usuário, grupo ou conta de serviço.
  3. Selecione Usuário, Grupo ou Conta de serviço como o tipo de e-mail.
  4. O papel Dialogflow Reader é adicionado por padrão, o que é exigido para que os usuários acessem o Console do Dialogflow CX.
  5. Clique em Adicionar função em Atribuir funções.
  6. Selecione um tipo de papel em Tipo.
  7. Para os papéis Editor de fluxo e Editor de ambiente, selecione fluxos ou ambientes específicos ou mantenha a opção padrão Todos.
  8. Como alternativa, defina a data de validade do papel.
  9. Clique em Save.

Alterar funções principais

  1. Clique no principal na lista.
  2. Atualize os papéis para esse principal no pop-up.
  3. Clique em Save.

Remover uma conta principal

  1. Encontre o principal na lista.
  2. Clique no botão de exclusão no principal.
  3. Clique em OK.

Controlar o acesso com o Console do Cloud

É possível controlar o acesso com as configurações do IAM. Consulte o guia de início rápido do IAM para ver as instruções detalhadas sobre como adicionar, editar e remover permissões.

Para acessar as configurações abaixo, abra a página "IAM" no Console do Cloud.

Adicionar um usuário ou uma da conta de serviço ao projeto

É possível conceder permissões a usuários ou contas de serviço concedendo a eles papéis no seu projeto do Cloud. Os usuários são adicionados fornecendo os respectivos endereços de e-mail. As contas de serviço também são adicionadas fornecendo o endereço de e-mail associado a elas. É necessário adicionar contas de serviço quando você quiser usar uma conta de serviço para vários projetos. Para encontrar o endereço de e-mail associado à sua conta de serviço, consulte a página Contas de serviço do IAM no Console do Cloud.

Para adicionar um principal, faça o seguinte:

  1. Clique no botão de adição na parte superior da página.
  2. Digite o endereço de e-mail do principal.
  3. Selecione um papel.
  4. Clique em Salvar.

Alterar permissões

  1. Clique no botão de edição no principal.
  2. Selecione um papel diferente.
  3. Clique em Save.

Remover uma conta principal

  1. Clique no botão de exclusão no principal.

Adicionar uma condição para restringir o acesso a um agente

Ao adicionar ou editar um principal, é possível criar uma condição do IAM que restrinja o acesso a um agente.

Exemplo:

{
    "expression": "resource.name.startsWith(\"projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID\")",
    "title": "For Dialogflow Agent AGENT_ID"
}

Essa condição fornece acesso básico a um agente específico. Por exemplo, uma conta de serviço com essa condição só pode chamar a API Dialogflow para acessar o agente especificado na condição no projeto, mas não para outros agentes no projeto.

Para adicionar essa condição a um papel concedido a um principal, faça o seguinte:

  1. Selecione um principal.
  2. Clique no botão de edição no principal.
  3. Clique em Adicionar condição.
  4. No campo Título, digite For Dialogflow Agent AGENT_ID e substitua AGENT_ID pelo ID do agente.
  5. Você pode inserir qualquer descrição.
  6. Selecione o Editor de condições para criar sua condição.
  7. Adicione a expressão resource.name.startsWith("projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID"), substituindo AGENT_ID pelo ID do agente e PROJECT_ID pelo ID do projeto.
  8. Clique em Save.

Papéis IAM

A tabela a seguir lista todos os papéis do IAM relevantes para o Dialogflow CX. Os resumos de permissões na tabela usam os seguintes termos:

  • Acesso total: permissão para modificar, criar, excluir, editar e ler um recurso.
  • Acesso para edição: permissão para criar, excluir, editar e ler um recurso.
  • Acesso de leitura: permissão para ler um recurso.
Papel do IAM Resumo da permissão Detalhes da permissão
Projeto >
Proprietário
Concede aos proprietários do projeto que precisam de acesso total a todos os recursos do Google Cloud e do Dialogflow:
  • Acesso total a todos os recursos do projeto do Google Cloud usando o Console ou as APIs do Cloud.
  • Acesso total aos agentes com o Console do Dialogflow.
  • Pode detectar intent usando a API.
Consulte Definições dos papéis básicos do IAM.
Projeto >
Editor
Concede aos editores do projeto que precisam de acesso para edição a todos os recursos do Google Cloud e do Dialogflow:
  • Acesso de edição a todos os recursos do projeto do Cloud usando o Console do Cloud ou as APIs.
  • Acesso de edição aos agentes usando o Console do Dialogflow.
  • Pode detectar intent usando a API.
Consulte Definições dos papéis básicos do IAM.
Projeto >
Leitor
Concede aos leitores do projeto que precisam de acesso de leitura a todos os recursos do Google Cloud e do Dialogflow:
  • Acesso de leitura a todos os recursos do projeto do Cloud usando o Console do Cloud ou as APIs.
  • Acesso de leitura a agentes usando o Console do Dialogflow.
  • Não é possível detectar intent usando a API.
Consulte Definições dos papéis básicos do IAM.
Projeto >
Administrador do IAM
Conceda a administradores de IAM do projeto que precisam de acesso para editar a configuração dos papéis de agente do Dialogflow. Consulte Definições de papéis do gerenciador de recursos do IAM.
Projeto >
Navegador
Concede a navegadores do projeto que precisam de acesso de leitura para navegar na hierarquia de um projeto, incluindo a pasta, a organização e a política do Cloud IAM:
  • Acesso de leitura à hierarquia de projetos do Cloud.
  • Sem acesso aos agentes que usam o Console do Dialogflow.
  • Não é possível detectar intent usando a API.
Consulte Definições de papéis do projeto do IAM.
Dialogflow >
Administrador da API Dialogflow
Conceda a administradores da API Dialogflow que precisam de acesso total a recursos específicos do Dialogflow:
  • Acesso total a todos os recursos do Dialogflow usando o Console do Cloud ou APIs.
  • Acesso total aos agentes com o Console do Dialogflow.
  • Pode detectar intent usando a API.
Consulte Definições de papéis do IAM do Dialogflow.
Dialogflow >
Cliente da API Dialogflow
Conceda a clientes da API Dialogflow que realizam edições específicas do Dialogflow e detectam chamadas de intent usando a API:
  • Sem acesso ao Console do Dialogflow CX.
  • Pode detectar intent usando a API.
Consulte Definições de papéis do IAM do Dialogflow.
Dialogflow >
Editor de agente do Console do Dialogflow
Conceda aos editores do Console do Dialogflow CX que editam agentes:
  • Acesso total a todos os recursos do Dialogflow no Console do Cloud.
  • Edite o acesso à maioria dos dados do agente usando o Console do Dialogflow.
  • Pode detectar intent usando a API.
Consulte Definições de papéis do IAM do Dialogflow.
Dialogflow >
Leitor da API Dialogflow
Conceda a clientes da API Dialogflow que realizam chamadas somente leitura específicas do Dialogflow usando a API:
  • Acesso de leitura a todos os recursos do Dialogflow usando o Console do Cloud ou as APIs.
  • Acesso de leitura a agentes usando o Console do Dialogflow.
  • Não é possível detectar intent usando a API.
Consulte Definições de papéis do IAM do Dialogflow.