Häufig arbeiten mehrere Teammitglieder zusammen an der Entwicklung eines Agents und Dienste für den Zugriff auf den Agent. Mithilfe von Rollen können Sie den Zugriff und die Berechtigungen steuern, die folgenden Personen gewährt werden: Hauptkonten.
Wenn Sie die API verwenden, werden an einen Agent möglicherweise auch Anfragen von einer oder mehreren Anwendungen gesendet. In diesem Fall können Sie den Zugriff mithilfe von Dienstkonten steuern.
Den Zugriff können Sie mit Identity and Access Management (IAM) oder der Dialogflow-Konsole steuern. In einigen Situationen müssen Sie die Google Cloud Console verwenden:
- Die Dialogflow-Konsole bietet dem Agent Admin (IAM-Projektinhaber) Rolle für den Nutzer zu, der den Agent erstellt hat. Wenn Sie den Administrator ändern möchten, fügen Sie mehrere Administratoren für einen Agent hinzu, oder Administratoren für einen Agent entfernen, müssen Sie die Google Cloud Console verwenden.
- Wenn Sie Integrationen in andere Google Cloud-Ressourcen wie Cloud Functions haben, und Sie einer Anwendung keinen vollständigen Projektzugriff gewähren möchten, müssen Sie die Dialogflow API-Rollen (Administrator, Client oder Leser) in der Google Cloud Console für IAM.
- Eine Teilmenge von IAM-Rollen verfügt über entsprechende Dialogflow-Konsole-Rollen. Wenn Sie eine Rolle zuweisen möchten, die in der Dialogflow-Konsole nicht vorhanden ist, gehen Sie so vor: müssen Sie die Google Cloud Console verwenden.
Rollen
In der folgenden Tabelle sind gängige Rollen aufgeführt, die für Dialogflow relevant sind. In der Zusammenfassung der Berechtigungen in der Tabelle werden die folgenden Begriffe verwendet:
- Uneingeschränkter Zugriff: Berechtigung zum Ändern des Zugriffs sowie zum Erstellen, Löschen, Bearbeiten und Lesen von Ressourcen.
- Bearbeitungszugriff: Berechtigung zum Erstellen, Löschen, Bearbeiten und Lesen von Ressourcen.
- Sitzungszugriff: Berechtigung zum Aufrufen von Methoden für reine Laufzeitressourcen während einer Unterhaltung wie Intent erkennen, Kontext aktualisieren, Sitzungsentitäten aktualisieren oder Agent Assist-Unterhaltungen einbinden. Dieser Zugriff umfasst nur einen Teil der Berechtigungen des uneingeschränkten Zugriffs und des Bearbeitungszugriffs.
- Lesezugriff: Berechtigung zum Lesen von Ressourcen.
Rolle in Dialogflow-Konsole | IAM-Rolle | Zusammenfassung der Berechtigungen | Berechtigungsdetails |
---|---|---|---|
Admin | Projekt > Inhaber |
Für Projektinhaber, die vollständigen Zugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
|
Siehe Definitionen von einfachen IAM-Rollen. |
Entwickler | Projekt > Editor |
Für Projektbearbeiter, die Bearbeitungszugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
|
Siehe Definitionen von einfachen IAM-Rollen. |
Prüfer | Projekt > Betrachter |
Für Projektbetrachter, die Lesezugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
|
Siehe Definitionen von einfachen IAM-Rollen. |
– | Projekt > Browser |
Für Projektbrowser, die Lesezugriff zum Einsehen der Hierarchie eines Projekts benötigen, einschließlich Ordner, Organisation und IAM-Richtlinie:
|
Siehe Definitionen von IAM-Projektrollen. |
– | Dialogflow > Dialogflow API-Administrator |
Für Dialogflow API-Administratoren, die uneingeschränkt Zugriff auf Dialogflow-spezifische Ressourcen benötigen:
|
Siehe IAM-Rollendefinitionen für Dialogflow |
– | Dialogflow > Dialogflow API-Client |
Für Dialogflow API-Clients gewähren
die Intent-Erkennungen mit der API ausführen:
<ph type="x-smartling-placeholder">
|
Siehe IAM-Rollendefinitionen für Dialogflow |
– | Dialogflow > Agent-Bearbeiter in Dialogflow-Konsole |
Für Bearbeiter der Dialogflow-Konsole, die vorhandene Agents bearbeiten:
|
Siehe IAM-Rollendefinitionen für Dialogflow |
– | Dialogflow > Dialogflow API-Leser |
Für Dialogflow API-Clients, die Dialogflow-spezifische schreibgeschützte Aufrufe über die API ausführen:
|
Siehe IAM-Rollendefinitionen für Dialogflow |
Zugriff mit der Google Cloud Console steuern
Sie können den Zugriff über die IAM-Einstellungen steuern. Ausführliche Informationen zum Hinzufügen, Bearbeiten und Entfernen von Berechtigungen finden Sie in der Kurzanleitung für IAM.
Um auf die Einstellungen unten zuzugreifen, öffnen Sie das IAM in der Google Cloud Console.
Nutzer oder Dienstkonto zum Projekt hinzufügen
Sie können Berechtigungen für Nutzer oder Dienstkonten erteilen indem Sie ihnen Rollen in Ihrem Google Cloud-Projekt zuweisen. Nutzer werden durch Angabe ihrer E-Mail-Adresse hinzugefügt. Auch Dienstkonten können durch die Angabe der zugehörigen E-Mail-Adresse hinzugefügt werden. Das Hinzufügen von Dienstkonto-Mitgliedern ist erforderlich, wenn Sie ein Dienstkonto für mehrere Projekte und Agents verwenden möchten. Die mit Ihrem Dienstkonto verknüpfte E-Mail-Adresse finden Sie in der IAM- Seite Dienstkonten in der Google Cloud Console
So fügen Sie ein Mitglied hinzu:
- Klicken Sie oben auf der Seite auf die Schaltfläche zum Hinzufügen eines Mitglieds.
- Geben Sie die E-Mail-Adresse des Mitglieds ein.
- Wählen Sie eine Rolle aus.
- Klicken Sie auf Speichern.
Berechtigungen ändern
- Klicken Sie auf die Schaltfläche zum Bearbeiten des jeweiligen Mitglieds.
- Wählen Sie eine andere Rolle aus.
- Klicken Sie auf Speichern.
Mitglied entfernen
- Klicken Sie auf die Schaltfläche zum Löschen des jeweiligen Mitglieds.
Zugriffssteuerung mit der Dialogflow-Konsole
Die Freigabeoptionen finden Sie in den Einstellungen des Agents. So öffnen Sie die Freigabeeinstellungen des Agents:
- Rufen Sie die Dialogflow ES-Konsole auf.
- Wählen Sie Ihren Agent im oberen Bereich der linken Seitenleiste aus.
- Klicken Sie neben dem Namen des Agents auf die Schaltfläche für die Einstellungen.
- Klicken Sie auf den Tab Share (Freigeben). Wenn der Tab Teilen nicht angezeigt wird, liegt das daran, dass Sie nicht die erforderliche Rolle „Agent Admin“ haben.
Nutzer hinzufügen
- Geben Sie unter Invite New People (Weitere Personen einladen) die E-Mail-Adresse des Nutzers ein.
- Wählen Sie eine Rolle aus.
- Klicken Sie auf Add (Hinzufügen).
- Klicken Sie auf Speichern.
Berechtigungen ändern
- Suchen Sie den Nutzer in der Liste.
- Wählen Sie eine andere Rolle aus.
- Klicken Sie auf Speichern.
Nutzer entfernen
Suchen Sie den Nutzer in der Liste.
Klicken Sie auf die Schaltfläche
zum Löschen des jeweiligen Nutzers.Klicken Sie auf Speichern.
Automatisch erstellte Dienstkonten
Wenn Sie einen Agent erstellen und mit ihm arbeiten, Dialogflow erstellt einige Dienst-Agents automatisch.
Wenn Sie die Rollen sehen möchten, die diesen Dienst-Agents zugewiesen sind, aktivieren Sie die Option Von Google bereitgestellte Rollenzuweisungen einbeziehen. Option auf der IAM-Seite
Sie sollten keine Schlüssel für diese Dienst-Agents löschen, bearbeiten oder herunterladen. Sie sollten diese Dienst-Agents auch nicht für direkte API-Aufrufe verwenden. Sie werden nur vom Dialogflow-Dienst verwendet, um eine Verbindung zu einer Reihe von Ihrem Agent verwendeten Google Cloud-Diensten herzustellen. Möglicherweise müssen Sie sich per E-Mail an diese Servicemitarbeiter wenden, wenn bestimmte Dialogflow-Features konfigurieren.
In der folgenden Tabelle werden einige dieser Dienst-Agents beschrieben:
IAM-E-Mail-Formular | Zweck |
---|---|
service-project-number @gcp-sa-dialogflow.iam.gserviceaccount.com |
Wird verwendet, um den Agent mit den Diensten zu verbinden, die den Integrationstraffic verarbeiten. |
firebase-adminsdk-alphanum @project-id.iam.gserviceaccount.com |
Wird verwendet, um den Agent mit den Diensten zu verbinden, die den Google Assistant-Integrationstraffic verarbeiten. |
project-id @appspot.gserviceaccount.com |
Wird verwendet, um den Agent mit den Diensten zu verbinden, die den Google Assistant-Integrationstraffic verarbeiten. |
Rolle „Administrator übertragen“
Um die Administratorrolle eines Agents zu übertragen, Der bestehende Administrator muss die Schritte oben ausführen, um einen neuen Administrator hinzuzufügen. Sobald der neue Administrator die gewährte Rolle akzeptiert, können Sie den alten Administrator entfernen.
Wenn der bestehende Administrator nicht mehr in Ihrer Organisation arbeitet, und die Administratorrolle auf einen anderen Mitarbeiter übertragen werden soll, haben Sie zwei Möglichkeiten:
- Ein Administrator des Organisation die mit dem Projekt des Agents verknüpft sind, hat die Berechtigung, den Agent-Administrator zu ändern.
- Wenn Sie Leseberechtigungen für den Agent haben, können Sie den Agent exportieren und in einen Agent importieren, bei dem der gewünschte Mitarbeiter Administrator ist. Dies kann zu Ausfallzeiten bei einem Agent in der Live-Produktion führen, während der Agent migriert und Integrationen aktualisiert werden.
OAuth
Wenn Sie Google-Clientbibliotheken für den Zugriff auf Dialogflow verwenden, müssen Sie die OAuth da diese Bibliotheken die Implementierung für Sie übernehmen. Wenn Sie jedoch Ihren eigenen Kunden implementieren, müssen Sie möglicherweise Ihren eigenen OAuth-Ablauf implementieren. Für den Zugriff auf die Dialogflow API ist einer der folgenden OAuth-Bereiche erforderlich:
https://www.googleapis.com/auth/cloud-platform
(Zugriff auf alle Projektressourcen)https://www.googleapis.com/auth/dialogflow
(Zugriff auf Dialogflow-Ressourcen)
Anfragen mit Zugriff auf Cloud Storage
Einige Dialogflow fordern Zugriffsobjekte in Cloud Storage zum Lesen oder Schreiben von Daten. Wenn Sie eine dieser Anfragen aufrufen, Dialogflow greift im Namen des Aufrufers auf die Cloud Storage-Daten zu. Das bedeutet, dass Ihre Anfrageauthentifizierung Berechtigungen haben muss für den Zugriff auf Dialogflow und die Cloud Storage-Objekte.
Wenn Sie eine Google-Clientbibliothek und IAM-Rollen verwenden, sieh dir die Anleitung für die Cloud Storage-Zugriffssteuerung finden Sie Informationen zu Cloud Storage-Rollen.
Wenn Sie einen eigenen Client implementieren und OAuth verwenden, müssen Sie den folgenden OAuth-Bereich verwenden:
https://www.googleapis.com/auth/cloud-platform
(Zugriff auf alle Projektressourcen)