访问权限控制机制

多个团队成员通常会协同构建代理。使用角色,您可以控制授予团队成员的访问权限和权限。

您可以使用 Dialogflow CX 控制台(查看文档打开控制台)或使用 Google Cloud 控制台(访问文档打开控制台)和 Identity and Access Management (IAM) 来配置访问权限。控制台用于向主帐号授予 IAM 角色,而 Dialogflow 控制台用于向主帐号授予 Dialogflow 代理角色。Dialogflow 代理角色是 Dialogflow 定义的便捷预定义角色,用于限制对某个代理或特定代理的子资源的访问权限。

在某些情况下,您必须使用 Google Cloud 控制台:

  • 系统默认已将 IAM Project Owner 角色授予创建拥有代理的项目的用户。此所有者拥有项目中所有代理的完全访问权限。如果要更改项目所有者,您需要使用控制台。
  • 通过 Dialogflow CX 控制台只能配置代理级别的访问权限。如果要配置项目级访问权限,您需要使用控制台。
  • 部分 IAM 角色具有相应的 Dialogflow 代理角色。如果要授予 Dialogflow CX 控制台上不存在的项目级或代理级角色,您需要使用该控制台。

如果您使用的是 API,则您可能还有一个或多个向代理发送请求的应用。在这种情况下,您可以使用服务帐号来控制访问权限。

通过 Dialogflow CX 控制台控制访问权限

利用 Dialogflow CX 控制台,您可以应用为代理级层共享配置的便捷代理角色。这些角色与具有 IAM 条件的 IAM 角色相关联,而 IAM 条件用于限制特定代理或代理的一部分子资源的访问权限。

要从 Dialogflow CX 控制台访问代理角色配置,您必须具有关联项目的 Project IAM Admin 角色。此角色通过 Google Cloud 控制台授予。

Dialogflow 代理角色 总结 IAM 角色
Admin 提供通过控制台或 API 创建、更新、查询、检测意图以及删除代理的完整访问权限。 Dialogflow > Dialogflow API Admin
Reader 提供从控制台或 API 查询代理(不检测意图)的读取权限。 Dialogflow > Dialogflow API Reader
Client 提供通过控制台或 API 检测意图的权限。 Dialogflow > Dialogflow API Client
Intent Admin 提供通过控制台或 API 创建、更新、删除或查询代理意图的权限。 Dialogflow > Dialogflow Intent Admin
Entity Type Admin 提供通过控制台或 API 创建、更新、删除或查询代理的实体类型的权限。 Dialogflow > Dialogflow Entity Type Admin
Webhook Admin 提供通过控制台或 API 创建、更新、删除或查询代理的网络钩子的权限。 Dialogflow > Dialogflow Webhook Admin
Test Case Admin 提供通过控制台或 API 创建、更新、删除或查询代理的测试用例的权限。 Dialogflow > Dialogflow Test Case Admin
Flow editor 提供通过控制台或 API 更新、查询特定流以及创建、更新、删除或查询流资源(页面、路由组和版本)的权限。 Dialogflow > Dialogflow Flow editor
Environment editor 提供通过控制台或 API 更新、查询特定环境以及创建、更新、删除或查询环境资源(实验)的权限。 Dialogflow > Dialogflow Environment editor

共享选项位于代理的设置中。 要打开代理共享设置,请执行以下操作:

  1. 打开 Dialogflow CX 控制台
  2. 选择 GCP 项目。
  3. 选择您的代理。
  4. 点击代理设置
  5. 点击共享标签页。

添加主帐号

  1. 点击添加
  2. 输入用户、群组或服务帐号的电子邮件地址。
  3. 对于电子邮件类型,选择用户群组服务帐号
  4. 系统默认会添加 Dialogflow Reader 角色,用户需要该角色才能访问该 Dialogflow CX 控制台。
  5. 点击分配角色下的添加角色
  6. 类型下选择角色类型。
  7. 对于 Flow EditorEnvironment Editor 角色,选择特定流或环境或保留默认的全部选项。
  8. (可选)设置角色的失效日期。
  9. 点击保存

更改主帐号角色

  1. 在列表中点击主帐号。
  2. 在弹出式窗口中更新此主账号的角色。
  3. 点击保存

移除主帐号

  1. 在列表中找到主帐号。
  2. 点击该主账号对应的删除 按钮。
  3. 点击确定

使用控制台控制访问权限

您可以使用 IAM 设置来控制访问权限。如需详细了解添加、修改和移除权限的说明,请参阅 IAM 快速入门

如需访问以下设置,请打开控制台中的 IAM 页面。

将用户或服务帐号添加到项目中

您可以通过向用户或服务帐号授予 Cloud 项目的角色来向其提供权限。添加用户的方法是提供该用户的电子邮件地址。 同样,添加服务帐号的方法是提供与该服务帐号关联的电子邮件地址。 如果要针对多个项目使用一个服务帐号,则需要添加服务帐号。如需查找与您的服务帐号关联的电子邮件地址,请参阅控制台中的 IAM 服务帐号页面。

要添加主帐号,请执行以下操作:

  1. 点击页面顶部的添加 按钮。
  2. 输入主帐号的电子邮件地址。
  3. 选择角色。
  4. 点击保存

更改权限

  1. 点击该主账号对应的修改 按钮。
  2. 选择其他角色。
  3. 点击保存

移除主帐号

  1. 点击该主账号对应的删除 按钮。

添加条件以限制对一个代理的访问

添加或修改主账号时,您可以创建一个 IAM 条件来限制对一个代理的访问。

例如:

{
    "expression": "resource.name.startsWith(\"projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID\")",
    "title": "For Dialogflow Agent AGENT_ID"
}

此条件授予您对特定代理的基本访问权限。例如,具有此条件的服务帐号只能调用 Dialogflow API 来访问在项目条件中指定的代理,而不能访问项目中的其他代理。

要将此条件添加到授予主帐号的角色,请执行以下操作:

  1. 选择主帐号。
  2. 点击该主账号对应的修改 按钮。
  3. 点击添加条件
  4. 标题字段中,输入 For Dialogflow Agent AGENT_ID,并将 AGENT_ID 替换为您的代理 ID。
  5. 您可以添加任何说明。
  6. 选择条件编辑器以创建条件。
  7. 添加表达式 resource.name.startsWith("projects/PROJECT_ID/locations/REGION_ID/agents/AGENT_ID"),将 AGENT_ID 替换为您的代理 ID,并将 PROJECT_ID 替换为您的项目 ID。
  8. 点击保存

IAM 角色

下表列出了与 Dialogflow CX 相关的所有 IAM 角色。 表中的权限总结使用以下术语:

  • 完整访问权限:修改访问权限以及创建、删除、修改和读取资源的权限。
  • 修改权限:创建、删除、修改和读取资源的权限。
  • 读取权限:读取资源的权限。
IAM 角色 权限总结 权限详细信息
Project >
Owner		 向需要所有 Google Cloud 和 Dialogflow 资源的完整访问权限的项目所有者授予:
  • 使用控制台或 API 拥有对所有 Google Cloud 项目资源的完整访问权限。
  • 使用 Dialogflow 控制台完整访问代理的权限。
  • 使用 API 检测意图的权限。
 请参阅 IAM 基本角色定义
Project >
Editor		 向需要对所有 Google Cloud 和 Dialogflow 资源拥有修改权限的项目编辑者授予:
  • 可以使用控制台或 API 修改所有 Cloud 项目资源的权限。
  • 使用 Dialogflow 控制台修改代理的权限。
  • 使用 API 检测意图的权限。
 请参阅 IAM 基本角色定义
Project >
Viewer		 向需要所有 Google Cloud 和 Dialogflow 资源的读取权限的项目查看者授予:
  • 可以使用控制台或 API 读取所有 Cloud 项目资源。
  • 使用 Dialogflow 控制台读取代理的权限。
  • 无权使用 API 检测意图。
 请参阅 IAM 基本角色定义
Project >
IAM Admin		 向需要 Dialogflow 代理角色配置修改权限的项目 IAM 管理员授予。 请参阅 IAM 资源管理员角色定义
Project >
Browser		 向需要读取权限以浏览项目层次结构(包括文件夹、组织和 IAM 政策)的项目浏览器授予权限:
  • 读取 Cloud 项目层次结构的权限。
  • 无权使用 Dialogflow 控制台访问代理。
  • 无权使用 API 检测意图。
 请参阅 IAM 项目角色定义
Dialogflow >
Dialogflow API Admin		 向需要 Dialogflow 特定资源完整访问权限的 Dialogflow API 管理员授予:
  • 使用控制台或 API 拥有对所有 Dialogflow 资源的完整访问权限。
  • 使用 Dialogflow 控制台完整访问代理的权限。
  • 使用 API 检测意图的权限。
 请参阅 Dialogflow IAM 角色定义
Dialogflow >
Dialogflow API Client		 向执行 Dialogflow 特定修改并使用 API 检测意图调用的 Dialogflow API 客户端授予:
  • 无权访问 Dialogflow CX 控制台。
  • 使用 API 检测意图的权限。
 请参阅 Dialogflow IAM 角色定义
Dialogflow >
Dialogflow Console Agent Editor		 向修改现有代理的 Dialogflow 控制台编辑者授予:
  • 使用控制台拥有对所有 Dialogflow 资源的完整访问权限。
  • 使用 Dialogflow 控制台修改大部分代理数据的权限。
  • 使用 API 检测意图的权限。
 请参阅 Dialogflow IAM 角色定义
Dialogflow >
Dialogflow API Reader		 向使用 Dialogflow API 执行 Dialogflow 特定只读调用的 Dialogflow API 客户端授予:
  • 使用控制台或 API 读取所有 Dialogflow 资源。
  • 使用 Dialogflow 控制台读取代理的权限。
  • 无权使用 API 检测意图。
 请参阅 Dialogflow IAM 角色定义

OAuth

如果您使用 Google 客户端库访问 Dialogflow,则无需直接使用 OAuth,因为这些库会为您处理实现。但是,如果您要实现自己的客户端,则可能需要实现自己的 OAuth 流程。如需访问 Dialogflow API,需要以下 OAuth 范围之一:

  • https://www.googleapis.com/auth/cloud-platform (拥有对所有项目资源的访问权限)
  • https://www.googleapis.com/auth/dialogflow(有权访问 Dialogflow 资源)

涉及 Cloud Storage 访问权限的请求

某些 Dialogflow 请求访问 Cloud Storage 中的对象以读取或写入数据。当您调用其中一个请求时,Dialogflow 会代表调用方访问 Cloud Storage 数据。 这意味着您的请求身份验证必须有权访问 Dialogflow 以及 Cloud Storage 对象。

使用 Google 客户端库和 IAM 角色时,请参阅 Cloud Storage 访问权限控制指南,了解 Cloud Storage 角色。

在实现您自己的客户端和使用 OAuth 时,您必须使用以下 OAuth 范围:

  • https://www.googleapis.com/auth/cloud-platform (拥有对所有项目资源的访问权限)
上一页
分析
下一页
客户管理的加密密钥 (CMEK)