Contrôle des accès

Il est courant que plusieurs membres d'une équipe collaborent à la création d'un agent. L'utilisation de rôles vous permet de contrôler les accès et les autorisations accordées aux membres de l'équipe.

Si vous utilisez l'API, une ou plusieurs applications peuvent envoyer des requêtes à un agent. Dans ce cas, vous pouvez contrôler les accès à l'aide des comptes de service.

Vous pouvez contrôler les accès à l'aide de la gestion de l'authentification et des accès (IAM) ou de la console Dialogflow. Dans certaines situations, vous devez utiliser Google Cloud Console :

  • La console Dialogflow attribue le rôle Propriétaire ou Administrateur à l'utilisateur qui a créé l'agent. Si vous souhaitez modifier le propriétaire ou l'administrateur, ajouter plusieurs propriétaires ou administrateurs pour un agent, ou supprimer des propriétaires ou administrateurs, vous devez utiliser Cloud Console.
  • Si vous utilisez des intégrations avec d'autres ressources Google Cloud, telles que Cloud Functions, et que vous ne souhaitez pas accorder l'accès complet du projet à une application, vous devez attribuer les rôles API Dialogflow (Admin, Client, ou lecteur) dans Cloud Console pour IAM.
  • Un sous-ensemble de rôles IAM possède les rôles correspondants dans la console Dialogflow. Si vous souhaitez attribuer un rôle qui n'existe pas dans la console Dialogflow, vous devez utiliser Cloud Console.

Rôles

Le tableau suivant répertorie tous les rôles associés à Dialogflow.

Pour modifier l'accès à un agent ou supprimer un agent, vous devez disposer d'un rôle Propriétaire ou Administrateur qui fournit un "accès complet".

Rôle dans la console Dialogflow Rôle IAM Résumé des autorisations Détail des autorisations
Admin Projet >
Propriétaire
Accorde aux propriétaires de projet un accès complet à toutes les ressources Google Cloud et Dialogflow :
  • Accès complet à toutes les ressources du projet Google Cloud à l'aide de Cloud Console ou des API.
  • Accès complet à la console Dialogflow pour la création et la modification d'agents.
  • Possibilité de détection d'intent à l'aide de l'API.
Consultez la section Définitions des rôles primitifs IAM.
Développeur Projet >
Éditeur
Accorde aux éditeurs de projet un accès en modification à toutes les ressources Google Cloud et Dialogflow :
  • Accès en modification à toutes les ressources du projet Cloud à l'aide de Cloud Console ou d'API.
  • Accès en écriture à la console Dialogflow pour la modification d'agents.
  • Possibilité de détection d'intent à l'aide de l'API.
Consultez la section Définitions des rôles primitifs IAM.
Examinateur Projet >
Lecteur
Accorde aux lecteurs de projet ayant besoin d'un accès en lecture à toutes les ressources Google Cloud et Dialogflow :
  • Accès en lecture à toutes les ressources du projet Cloud à l'aide de Cloud Console ou d'API.
  • Accès en lecture à la console Dialogflow.
  • Impossible de détecter d'intent à l'aide de l'API.
Consultez la section Définitions des rôles primitifs IAM.
ND Projet >
Navigateur
Accorde aux navigateurs de projet un accès en lecture pour parcourir la hiérarchie d'un projet, y compris le dossier, l'organisation et la stratégie IAM :
  • Accès en lecture à la hiérarchie des projets Cloud.
  • Aucun accès à la console Dialogflow.
  • Impossible de détecter d'intent à l'aide de l'API.
Consultez la section Définitions des rôles de projet IAM.
ND Dialogflow >
Administrateur de l'API Dialogflow
Accorde aux administrateurs de l'API Dialogflow un accès complet aux ressources spécifiques à Dialogflow :
  • Accès complet à Dialogflow à l'aide de Cloud Console ou des API.
  • Accès en lecture à la console Dialogflow.
  • Possibilité de détection d'intent à l'aide de l'API.
Consultez les définitions des rôles IAM Dialogflow.
ND Dialogflow >
Client de l'API Dialogflow
Autorise les clients de l'API Dialogflow à effectuer des modifications spécifiques à Dialogflow et des appels de détection d'intent à l'aide de l'API :
  • Accès en modification à Dialogflow à l'aide de Cloud Console ou des API.
  • Aucun accès à la console Dialogflow.
  • Possibilité de détection d'intent à l'aide de l'API.
Consultez les définitions des rôles IAM Dialogflow.
ND Dialogflow >
Éditeur d'agent de la console Dialogflow
Autorise les éditeurs de la console Dialogflow à modifier les agents existants :
  • Accès complet à Dialogflow à l'aide de Cloud Console.
  • Accès en écriture à la plupart des données d'agent à l'aide de la console Dialogflow. Impossible d'accéder à Inline Editor pour Cloud Functions ou à l'intégration de Google Assistant.
  • Possibilité de détection d'intent à l'aide de l'API.
Consultez les définitions des rôles IAM Dialogflow.
ND Dialogflow >
Lecteur de l'API Dialogflow
Autorise les clients de l'API Dialogflow à effectuer des appels en lecture seule spécifiques à Dialogflow à l'aide de l'API :
  • Accès en lecture à Dialogflow à l'aide de Cloud console ou des API.
  • Accès en lecture à la console Dialogflow.
  • Impossible de détecter d'intent à l'aide de l'API.
Consultez les définitions des rôles IAM Dialogflow.

Contrôle des accès à l'aide de Cloud Console

Vous pouvez contrôler les accès à l'aide des paramètres IAM. Consultez le guide de démarrage rapide IAM pour obtenir des instructions détaillées sur l'ajout, la modification et la suppression des autorisations.

Pour accéder aux paramètres ci-dessous, ouvrez la page IAM dans Cloud Console.

Ajouter un utilisateur ou un membre du compte de service au projet

Vous pouvez accorder des autorisations à des utilisateurs ou à des comptes de service en les ajoutant en tant que membres de votre projet Cloud. Vous pouvez ajouter des utilisateurs en fournissant leur adresse email. Vous pouvez également ajouter des comptes de service en fournissant leur adresse e-mail associée. Vous devez ajouter des membres de compte de service lorsque vous souhaitez utiliser un compte de service pour plusieurs projets et agents. Pour trouver l'adresse e-mail associée à votre compte de service, consultez la page Comptes de service d'IAM dans Cloud Console.

Pour ajouter un membre, procédez comme suit :

  1. Cliquez sur le bouton Ajouter situé en haut de la page.
  2. Saisissez l'adresse e-mail du membre.
  3. Choisissez un rôle.
  4. Cliquez sur Enregistrer.

Modifier les autorisations

  1. Cliquez sur le bouton Modifier correspondant au membre.
  2. Sélectionnez un autre rôle.
  3. Cliquez sur Enregistrer.

Supprimer un membre

  1. Cliquez sur le bouton Supprimer correspondant au membre.

Contrôle des accès à l'aide de la console Dialogflow

Les options de partage se trouvent dans les paramètres de l'agent. Pour ouvrir les paramètres de partage de l'agent, procédez comme suit :

  1. Accédez à la console Dialogflow.
  2. Sélectionnez votre agent dans la partie supérieure du menu de la barre latérale gauche.
  3. Cliquez sur le bouton des paramètres à côté du nom de l'agent.
  4. Cliquez sur l'onglet Partager. Si vous ne disposez pas du rôle Propriétaire ou Administrateur, l'onglet Partager n'est pas visible.

Onglet

Ajouter un utilisateur

  1. Saisissez l'adresse e-mail de l'utilisateur sous Invite New People (Inviter de nouvelles personnes).
  2. Choisissez un rôle.
  3. Cliquez sur Ajouter.
  4. Cliquez sur Enregistrer.

Modifier les autorisations

  1. Recherchez l'utilisateur concerné dans la liste.
  2. Sélectionnez un autre rôle.
  3. Cliquez sur Enregistrer.

Supprimer un utilisateur

  1. Recherchez l'utilisateur concerné dans la liste.
  2. Cliquez sur le bouton Supprimer correspondant à l'utilisateur.
  3. Cliquez sur Enregistrer.

Comptes de service créés automatiquement

Lorsque vous créez et utilisez votre agent, Dialogflow crée automatiquement des comptes de service. Accédez à la page Comptes de service IAM pour afficher la liste des comptes de service de votre projet. Vous ne devez pas les supprimer, les modifier ni les télécharger pour l'un de ces comptes de service, ni utiliser ces comptes de service pour effectuer des appels d'API directs. Ils ne sont utilisés que par le service Dialogflow pour se connecter à divers services Google Cloud utilisés par votre agent. Vous devrez peut-être faire référence à ces comptes de service par e-mail lors de la configuration de certaines fonctionnalités de Dialogflow. Le tableau suivant décrit certains de ces comptes de service :

Formulaire par e-mail IAM Usage
dialogflow-alphanum
@project-id.iam.gserviceaccount.com
Utilisé par le simulateur Dialogflow pour appeler l'API Dialogflow. Il s'agit du compte de service affiché sur la page des paramètres généraux de l'agent dans la console Dialogflow.
service-project-num
@gcp-sa-dialogflow.iam.gserviceaccount.com
Utilisé pour connecter votre agent aux services qui gèrent le trafic d'intégration.
firebase-adminsdk-alphanum
@project-id.iam.gserviceaccount.com
Utilisé pour connecter votre agent aux services qui gèrent le trafic d'intégration de l'Assistant Google.
project-id
@appspot.gserviceaccount.com
Utilisé pour connecter votre agent aux services qui gèrent le trafic d'intégration de l'Assistant Google.