Control de acceso

Es común que varios miembros del equipo colaboren en la compilación de un agente y que los servicios accedan a él. Mediante el uso de roles, puedes controlar el acceso y los permisos otorgados a los principales.

Si estás utilizando la API, es posible que una o más aplicaciones también envíen solicitudes a un agente. En este caso, puedes controlar el acceso con las cuentas de servicio.

Puedes controlar el acceso mediante la administración de identidades y accesos (IAM) o la consola de Dialogflow.

La consola de Dialogflow proporciona el rol de administrador de agentes al usuario que creó el agente. Este usuario obtiene automáticamente el rol de propietario del proyecto de IAM en el proyecto asociado con el agente.

Los administradores de agentes pueden agregar desarrolladores y revisores al agente en la consola de Dialogflow. Cuando se otorga el rol de desarrollador o revisor en la consola de Dialogflow, el usuario obtiene el rol de editor de proyectos de IAM o el rol de visor de proyectos de IAM, respectivamente. Una forma alternativa de agregar desarrolladores y revisores al agente es otorgarles a los usuarios los roles de editor o visualizador de proyectos de IAM correspondientes en la consola de Google Cloud.

Hay algunas situaciones en las que debes usar la consola de Google Cloud:

  • Si deseas cambiar el Administrador, agregar varios Administradores a un agente o quitar Administradores de un agente, debes usar la consola de Google Cloud.
  • Si tienes integraciones con otros recursos de Google Cloud, como Cloud Functions, y no deseas otorgar acceso completo al proyecto a una aplicación, debes asignar los roles de la API de Dialogflow (Administrador, Cliente o Lector) en la consola de Google Cloud para IAM.
  • Un subconjunto de funciones de IAM tiene las funciones de la consola de Dialogflow correspondientes. Si deseas otorgar una función que no existe en la consola de Dialogflow, debes usar la consola de Google Cloud.

Funciones

En la siguiente tabla, se enumeran los roles comunes relevantes para Dialogflow, la correlación entre los roles de la consola de Dialogflow y los de IAM, y los detalles sobre los permisos.

En los resúmenes de permisos de la tabla, se usan los siguientes términos:

  • Acceso completo: permiso para modificar el acceso, crear, borrar, editar y leer cualquier recurso
  • Acceso de edición: permiso para crear, borrar, editar y leer cualquier recurso
  • Acceso a la sesión: Permite llamar a métodos para recursos solo de tiempo de ejecución durante una conversación, como detectar intents, actualizar el contexto, actualizar entidades de sesión o interactuar con conversaciones de Agent Assist. Este acceso proporciona un subconjunto de permisos que se encuentran en el acceso completo y de edición.
  • Acceso de lectura: permiso para leer cualquier recurso
Función de la consola de Dialogflow Función de IAM Resumen de los permisos Detalles de los permisos
Administrador Proyecto >
Propietario
Otorga a los propietarios de proyectos que necesitan acceso completo a todos los recursos de Google Cloud y Dialogflow:
  • Acceso completo a todos los recursos de proyectos de Google Cloud con la consola de Google Cloud o las APIs.
  • Acceso completo a los agentes mediante la consola de Dialogflow.
  • Permite detectar el intent mediante la API.
  • Puede cambiar la edición del agente en la consola de Dialogflow o mediante la API.
Consulta las definiciones de funciones básicas de IAM.
Programador Proyecto >
Editor
Otorga acceso a los editores del proyecto que necesitan acceso de edición a todos los recursos de Google Cloud y Dialogflow:
  • Acceso de edición a todos los recursos del proyecto de Google Cloud mediante la consola de Google Cloud o las APIs.
  • Acceso de edición a los agentes mediante la consola de Dialogflow.
  • Permite detectar el intent mediante la API.
Consulta las definiciones de funciones básicas de IAM.
Revisor Proyecto >
Visualizador
Otorga acceso a los visualizadores del proyecto que necesitan acceso de lectura a todos los recursos de Google Cloud y Dialogflow:
  • Acceso de lectura a todos los recursos del proyecto de Google Cloud mediante la consola de Google Cloud o las APIs.
  • Acceso de lectura a los agentes mediante la consola de Dialogflow o la API. No se puede usar el simulador.
  • No permite detectar el intent mediante la API.
Consulta las definiciones de funciones básicas de IAM.
N/A Proyecto >
Navegador
Se otorga a los navegadores de proyectos que necesitan acceso de lectura para explorar la jerarquía de un proyecto, incluida la carpeta, la organización y la política de IAM:
  • Acceso de lectura a la jerarquía de proyectos de Google Cloud.
  • No permite el acceso a los agentes mediante la consola de Dialogflow.
  • No permite detectar el intent mediante la API.
Consulta las definiciones de funciones de los proyectos de IAM.
N/A Dialogflow >
Administrador de la API de Dialogflow
Se otorga a los administradores de la API de Dialogflow que necesitan acceso completo a los recursos específicos de Dialogflow:
  • Acceso completo a todos los recursos de Dialogflow con la consola de Google Cloud o las APIs.
  • Acceso de lectura a los agentes mediante la consola de Dialogflow.
  • Permite detectar el intent mediante la API.
Consulta las definiciones de las funciones de Dialogflow de IAM.
N/A Dialogflow >
Cliente de la API de Dialogflow
Se otorga a los clientes de la API de Dialogflow que realizan llamadas de detección de intents mediante la API:
  • Acceso de sesión a los recursos de Dialogflow de tiempo de ejecución mediante el simulador o la API de Dialogflow
  • Acceso limitado a los agentes mediante la consola de Dialogflow.
  • Permite detectar el intent mediante la API.
Consulta las definiciones de las funciones de Dialogflow de IAM.
N/A Dialogflow >
Editor del agente de la consola de Dialogflow
Se otorga a los editores de la consola de Dialogflow que editan los agentes existentes:
  • Acceso completo a todos los recursos de Dialogflow con la consola de Google Cloud.
  • Acceso de edición a la mayoría de los datos de agentes mediante la consola de Dialogflow. No permite acceder al editor intercalado para la integración de Cloud Functions o Asistente de Google.
  • Permite detectar el intent mediante la API.
Consulta las definiciones de las funciones de Dialogflow de IAM.
N/A Dialogflow >
Lector de la API de Dialogflow
Se otorga a los clientes de la API de Dialogflow que realizan llamadas de solo lectura específicas de Dialogflow mediante la API:
  • Acceso de lectura a todos los recursos de Dialogflow mediante la consola de Google Cloud o las APIs.
  • Acceso de lectura a los agentes mediante la consola de Dialogflow. No se puede usar el simulador.
  • No permite detectar el intent mediante la API.
Consulta las definiciones de las funciones de Dialogflow de IAM.

Controla el acceso con la consola de Google Cloud

Puedes controlar el acceso con la configuración de IAM. Consulta la guía de inicio rápido de IAM para obtener instrucciones detalladas sobre cómo agregar, editar y quitar permisos.

Para acceder a la configuración a continuación, abre la página IAM en la consola de Google Cloud.

Agrega un usuario o miembro de cuenta de servicio al proyecto

Para otorgar permisos a usuarios o cuentas de servicio, otórgales roles en tu proyecto de Google Cloud. Los usuarios se agregan mediante el ingreso de la dirección de correo electrónico. Las cuentas de servicio también se agregan mediante el ingreso de la dirección de correo electrónico asociada. Los miembros de la cuenta de servicio se deben agregar cuando deseas usar una cuenta de servicio para múltiples proyectos y agentes. Para encontrar la dirección de correo electrónico asociada con tu cuenta de servicio, consulta la página Cuentas de servicio de IAM en la consola de Google Cloud.

Para agregar un miembro, sigue estos pasos:

  1. Haz clic en el botón Agregar  en la parte superior de la página.
  2. Ingresa la dirección de correo electrónico del miembro.
  3. Selecciona una función.
  4. Haz clic en Guardar.

Cambia permisos

  1. Haz clic en el botón Editar  del miembro.
  2. Selecciona una función diferente.
  3. Haz clic en Guardar.

Quita un miembro

  1. Haz clic en el botón Borrar  del miembro.

Controla el acceso con la consola de Dialogflow

Las opciones para compartir se encuentran en la configuración del agente. Para abrir la configuración de uso compartido del agente, sigue estos pasos:

  1. Ve a la consola de Dialogflow ES.
  2. Selecciona tu agente cerca de la parte superior del menú de la barra lateral izquierda.
  3. Haz clic en el botón de configuración junto al nombre del agente.
  4. Haz clic en la pestaña Compartir. Si no ves la pestaña Compartir, es porque no tienes el rol de administrador de agentes requerido.

Pestaña Compartir que muestra a los usuarios con sus niveles de acceso

Agregar un usuario

  1. Ingresa la dirección de correo electrónico del usuario en Invitar personas nuevas.
  2. Selecciona una función.
  3. Haz clic en Agregar.
  4. Haz clic en Guardar.

Cambia permisos

  1. Encuentra el usuario en la lista.
  2. Selecciona una función diferente.
  3. Haz clic en Guardar.

Quita un usuario

  1. Encuentra el usuario en la lista.

  2. Haz clic en el botón Borrar del usuario.

  3. Haz clic en Guardar.

Cuentas de servicio creadas de forma automática

Cuando creas y trabajas con tu agente, Dialogflow crea algunos agentes de servicio automáticamente.

Para ver los roles otorgados a estos agentes de servicio, habilita la opción Incluir asignaciones de roles proporcionadas por Google en la página de IAM.

No debes borrar, editar ni descargar claves para ninguno de estos agentes de servicio, ni debes usar estos agentes de servicio para realizar llamadas directas a la API. Solo el servicio de Dialogflow las usa para conectarse a una variedad de servicios de Google Cloud que usa tu agente. Es posible que debas consultar estos agentes de servicio por correo electrónico cuando configures ciertas funciones de Dialogflow.

En la siguiente tabla, se describen algunos de estos agentes de servicio:

Formulario de correo electrónico de IAM Objetivo
service-project-number
@gcp-sa-dialogflow.iam.gserviceaccount.com
Se usa para conectar a tu agente con los servicios que manejan el tráfico de integración.
firebase-adminsdk-alphanum
@project-id.iam.gserviceaccount.com
Se usa para conectar tu agente a los servicios que controlan el tráfico de la integración del Asistente de Google.
project-id
@appspot.gserviceaccount.com
Se usa para conectar tu agente a los servicios que controlan el tráfico de la integración del Asistente de Google.

Cómo transferir el rol de administrador

Para transferir el rol de administrador de un agente, el administrador existente debe seguir los pasos anteriores para agregar un administrador nuevo. Una vez que el administrador nuevo acepte el rol otorgado, es seguro quitar al administrador anterior.

Si el administrador existente ya no trabaja en tu organización y necesitas transferir el rol de administrador a otro empleado, tienes dos opciones:

  • Un administrador de la organización asociada con el proyecto del agente tiene permisos para modificar el administrador del agente.
  • Si tienes permisos de lectura para el agente, puedes exportarlo e importarlo a un agente en el que el empleado deseado sea administrador. Esto puede crear tiempo de inactividad para un agente de producción en vivo, mientras se migra el agente y se actualizan las integraciones.

OAuth

Si usas bibliotecas cliente de Google para acceder a Dialogflow, no es necesario que uses OAuth directamente, ya que estas bibliotecas controlan la implementación por ti. Sin embargo, si implementas tu propio cliente, es posible que debas implementar tu propio flujo de OAuth. El acceso a la API de Dialogflow requiere uno de los siguientes permisos de OAuth:

  • https://www.googleapis.com/auth/cloud-platform (acceso a todos los recursos del proyecto)
  • https://www.googleapis.com/auth/dialogflow (acceso a los recursos de Dialogflow)

Solicitudes que involucran el acceso a Cloud Storage

Algunas solicitudes de Dialogflow acceden a objetos en Cloud Storage para leer o escribir datos. Cuando llamas a una de estas solicitudes, Dialogflow accede a los datos de Cloud Storage en nombre del llamador. Esto significa que la autenticación de tu solicitud debe tener permisos para acceder a Dialogflow y a los objetos de Cloud Storage.

Cuando uses una biblioteca cliente de Google y roles de IAM, consulta la Guía de control de acceso de Cloud Storage para obtener información sobre los roles de Cloud Storage.

Cuando implementes tu propio cliente y uses OAuth, debes usar el siguiente alcance de OAuth:

  • https://www.googleapis.com/auth/cloud-platform (acceso a todos los recursos del proyecto)