Zugriffssteuerung

Häufig müssen mehrere Teammitglieder zusammenarbeiten, um einen Agent zu erstellen. Mithilfe von Rollen können Sie steuern, welchen Zugriff und welche Berechtigungen einzelne Teammitglieder haben sollen.

Wenn Sie die API verwenden, werden an einen Agent möglicherweise auch Anfragen von einer oder mehreren Anwendungen gesendet. In diesem Fall können Sie den Zugriff mithilfe von Dienstkonten steuern.

Den Zugriff können Sie mit Identity and Access Management (IAM) oder der Dialogflow-Konsole steuern. In folgenden Situationen müssen Sie die Google Cloud Console verwenden:

  • Mithilfe der Dialogflow-Konsole können Sie dem Nutzer, der den Agent erstellt hat, die Administratorrolle zuweisen. Sie müssen die Cloud Console verwenden, wenn Sie den Inhaber/Administrator ändern, mehrere Inhaber/Administratoren für einen Agent hinzufügen oder Inhaber/Administratoren für einen Agent entfernen möchten.
  • Bei der Einbindung in andere Google Cloud-Ressourcen, z. B. in Cloud Functions, und wenn Sie einer Anwendung nur einen eingeschränkten Projektzugriff gewähren möchten, müssen Sie die Dialogflow API-Rollen (Administrator, Client, oder Leser) in der Cloud Console für IAM gewähren.
  • Eine Teilmenge der IAM-Rollen verfügt über entsprechende Rollen in der Dialogflow-Konsole. Wenn Sie eine Rolle zuweisen möchten, die in der Dialogflow-Konsole nicht vorhanden ist, müssen Sie die Cloud Console verwenden.

Rollen

In der folgenden Tabelle sind alle für Dialogflow relevanten Rollen aufgeführt.

Sie können die Zugriffsrechte für einen Agent nur dann ändern oder einen Agent löschen, wenn Sie eine Inhaber-/Administrator-Rolle haben, die uneingeschränkten Zugriff bietet.

Rolle in Dialogflow-Konsole IAM-Rolle Zusammenfassung der Berechtigungen Berechtigungsdetails
Admin Projekt >
Inhaber
Für Projektinhaber, die vollständigen Zugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
  • Uneingeschränkter Zugriff auf alle Google Cloud-Projektressourcen über die Cloud Console oder APIs
  • Uneingeschränkter Zugriff auf die Dialogflow-Konsole zum Erstellen und Bearbeiten von Agents
  • Intent-Erkennung mithilfe der API
Siehe Definitionen einfacher IAM-Rollen.
Developer Projekt >
Editor
Für Projektbearbeiter, die Bearbeitungszugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
  • Bearbeitungszugriff auf alle Cloud-Projektressourcen über die Cloud Console oder APIs
  • Bearbeitungszugriff auf die Dialogflow-Konsole zum Bearbeiten von Agents
  • Intent-Erkennung mithilfe der API
Siehe Definitionen einfacher IAM-Rollen.
Reviewer Projekt >
Betrachter
Für Projektbetrachter, die Lesezugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
  • Lesezugriff auf alle Cloud-Projektressourcen über die Cloud Console oder APIs
  • Lesezugriff auf die Dialogflow-Konsole
  • Keine Intent-Erkennung mithilfe der API
Siehe Definitionen einfacher IAM-Rollen.
Projekt >
Browser
Für Projektbrowser, die Lesezugriff zum Durchsuchen der Hierarchie eines Projekts benötigen, einschließlich Ordner, Organisation und IAM-Richtlinie:
  • Lesezugriff auf die Cloud-Projekthierarchie
  • Kein Zugriff auf die Dialogflow-Konsole
  • Keine Intent-Erkennung mithilfe der API
Siehe Definitionen von IAM-Projektrollen.
Dialogflow >
Dialogflow API-Administrator
Für Dialogflow API-Administratoren, die uneingeschränkt Zugriff auf Dialogflow-spezifische Ressourcen benötigen:
  • Uneingeschränkter Zugriff auf Dialogflow über die Cloud Console oder APIs
  • Lesezugriff auf die Dialogflow-Konsole
  • Intent-Erkennung mithilfe der API
Siehe IAM-Rollendefinitionen für Dialogflow
Dialogflow >
Dialogflow API-Client
Für Dialogflow API-Clients, die Dialogflow-spezifische Änderungen vornehmen und Intent-Aufrufe mit der API erkennen:
  • Bearbeitungszugriff auf Dialogflow über die Cloud Console oder APIs
  • Kein Zugriff auf die Dialogflow-Konsole
  • Intent-Erkennung mithilfe der API
Siehe IAM-Rollendefinitionen für Dialogflow
Dialogflow >
Agent-Bearbeiter in Dialogflow-Konsole
Für Bearbeiter der Dialogflow-Konsole, die vorhandene Agents bearbeiten:
  • Uneingeschränkter Zugriff auf Dialogflow über die GCP Console
  • Bearbeitungszugriff auf die meisten Agent-Daten über die Dialogflow-Konsole; kein Zugriff auf den Inline-Editor zur Cloud Functions- oder Google Assistant-Integration
  • Intent-Erkennung mithilfe der API
Siehe IAM-Rollendefinitionen für Dialogflow
Dialogflow >
Dialogflow API-Leser
Für Dialogflow API-Clients, die Dialogflow-spezifische schreibgeschützte Aufrufe über die API ausführen:
  • Lesezugriff auf Dialogflow über die Cloud Console oder APIs
  • Lesezugriff auf die Dialogflow-Konsole
  • Keine Intent-Erkennung mithilfe der API
Siehe IAM-Rollendefinitionen für Dialogflow

Zugriff mit der Cloud Console steuern

Sie können den Zugriff über die IAM-Einstellungen steuern. Ausführliche Informationen zum Hinzufügen, Bearbeiten und Entfernen von Berechtigungen finden Sie in der Kurzanleitung für IAM.

Öffnen Sie in der Cloud Console die IAM-Seite, um auf die Einstellungen zuzugreifen.

Nutzer oder Dienstkonto-Mitglieder zum Projekt hinzufügen

Wenn Sie Nutzern oder Dienstkonten Berechtigungen zuweisen möchten, können Sie sie als Mitglieder Ihres Cloud-Projekts hinzufügen. Nutzer werden durch Angabe ihrer E-Mail-Adresse hinzugefügt. Auch Dienstkonten können durch die Angabe der zugehörigen E-Mail-Adresse hinzugefügt werden. Das Hinzufügen von Dienstkonto-Mitgliedern ist erforderlich, wenn Sie ein Dienstkonto für mehrere Projekte und Agents verwenden möchten. Die E-Mail-Adresse Ihres Dienstkontos finden Sie auf der IAM-Seite Dienstkonten in der Cloud Console.

So fügen Sie ein Mitglied hinzu:

  1. Klicken Sie oben auf der Seite auf die Schaltfläche zum Hinzufügen eines Mitglieds.
  2. Geben Sie die E-Mail-Adresse des Mitglieds ein.
  3. Wählen Sie eine Rolle aus.
  4. Klicken Sie auf Speichern.

Berechtigungen ändern

  1. Klicken Sie auf die Schaltfläche zum Bearbeiten des jeweiligen Mitglieds.
  2. Wählen Sie eine andere Rolle aus.
  3. Klicken Sie auf Speichern.

Mitglied entfernen

  1. Klicken Sie auf die Schaltfläche zum Löschen des jeweiligen Mitglieds.

Zugriffssteuerung mit der Dialogflow-Konsole

Die Freigabeoptionen finden Sie in den Einstellungen des Agents. So öffnen Sie die Freigabeeinstellungen des Agents:

  1. Öffnen Sie die Dialogflow-Konsole.
  2. Wählen Sie Ihren Agent im oberen Bereich der linken Seitenleiste aus.
  3. Klicken Sie neben dem Namen des Agents auf die Schaltfläche für die Einstellungen.
  4. Klicken Sie auf den Tab Share (Freigeben). Wenn der Tab Share nicht angezeigt wird, haben Sie nicht die erforderliche Inhaber-/Administrator-Rolle.

Der Tab

Nutzer hinzufügen

  1. Geben Sie unter Invite New People (Weitere Personen einladen) die E-Mail-Adresse des Nutzers ein.
  2. Wählen Sie eine Rolle aus.
  3. Klicken Sie auf Add (Hinzufügen).
  4. Klicken Sie auf Speichern.

Berechtigungen ändern

  1. Suchen Sie den Nutzer in der Liste.
  2. Wählen Sie eine andere Rolle aus.
  3. Klicken Sie auf Speichern.

Nutzer entfernen

  1. Suchen Sie den Nutzer in der Liste.
  2. Klicken Sie auf die Schaltfläche zum Löschen des jeweiligen Nutzers.
  3. Klicken Sie auf Speichern.

Automatisch erstellte Dienstkonten

Wenn Sie Ihren Agent erstellen und mit ihm arbeiten, erstellt Dialogflow verschiedene Dienstkonten automatisch. Besuchen Sie die IAM-Dienstkontoseite, um eine Liste der Dienstkonten für Ihr Projekt aufzurufen. Sie sollten für diese Dienstkonten Schlüssel weder löschen, bearbeiten noch herunterladen, und sollten diese Dienstkonten nie für direkte API-Aufrufe verwenden. Sie werden nur vom Dialogflow-Dienst verwendet, um eine Verbindung zu einer Reihe von Ihrem Agent verwendeten Google Cloud-Diensten herzustellen. Bei der Konfiguration bestimmter Dialogflow-Funktionen müssen Sie möglicherweise per E-Mail auf diese Dienstkonten verweisen. Folgende Tabelle beschreibt einige dieser Dienstkonten:

IAM-E-Mail-Formular Zweck
dialogflow-alphanum
@project-id.iam.gserviceaccount.com
Wird vom Dialogflow-Simulator verwendet, um Aufrufe an die Dialogflow API zu senden Dies ist das Dienstkonto, das auf der Seite "Allgemeine Einstellungen" des Agent in der Dialogflow-Konsole angezeigt wird.
service-project-num
@gcp-sa-dialogflow.iam.gserviceaccount.com
Wird verwendet, um den Agent mit den Diensten zu verbinden, die den Integrationstraffic verarbeiten.
firebase-adminsdk-alphanum
@project-id.iam.gserviceaccount.com
Wird verwendet, um den Agent mit den Diensten zu verbinden, die den Google Assistant-Integrationstraffic verarbeiten.
project-id
@appspot.gserviceaccount.com
Wird verwendet, um den Agent mit den Diensten zu verbinden, die den Google Assistant-Integrationstraffic verarbeiten.