Controle de acesso

É comum que vários membros da equipe colaborem na criação de um agente e que os serviços acessem o agente. Com os papéis, é possível controlar o acesso e as permissões concedidas a principais.

Se você estiver usando a API, também será possível ter um ou mais aplicativos que enviam solicitações a um agente. Nesse caso, controle o acesso com as contas de serviço.

É possível controlar o acesso usando o gerenciamento de identidade e acesso (IAM, na sigla em inglês) ou o Console do Dialogflow.

O Console do Dialogflow fornece a função de administrador do agente ao usuário que criou o agente. Esse usuário recebe automaticamente o papel de proprietário do projeto do IAM no projeto associado ao agente.

Os administradores de agentes podem adicionar desenvolvedores e revisores ao agente no console do Dialogflow. Quando o papel de desenvolvedor ou revisor é concedido no console do Dialogflow, o usuário recebe o papel de editor ou leitor de projeto do IAM, respectivamente. Uma maneira alternativa de adicionar desenvolvedores e revisores ao agente é conceder aos usuários os papéis de editor ou visualizador de projeto do IAM correspondentes no console do Google Cloud.

Há algumas situações em que é necessário usar o console do Google Cloud:

  • Se você quiser mudar o administrador, adicionar vários administradores a um agente ou remover administradores de um agente, use o console do Google Cloud.
  • Se você tiver integrações com outros recursos do Google Cloud, como o Cloud Functions, e não quiser conceder acesso total do projeto a um aplicativo, atribua os papéis da API Dialogflow (administrador, cliente ou leitor) no console do Google Cloud para IAM.
  • Um subconjunto de papéis do IAM tem papéis correspondentes no Console do Dialogflow. Se você quiser conceder um papel que não existe no console do Dialogflow, use o console do Google Cloud.

Papéis

A tabela a seguir lista papéis comuns relevantes para o Dialogflow, a correlação entre os papéis do console do Dialogflow e os papéis do IAM e detalhes sobre as permissões.

Os resumos de permissões na tabela usam os seguintes termos:

  • Acesso total: permissão para modificar, criar, excluir, editar e ler qualquer recurso.
  • Acesso de edição: permissão para criar, excluir, editar e ler qualquer recurso.
  • Acesso à sessão: permissão para chamar métodos de recursos somente de execução durante uma conversa, como detectar intent, atualizar o contexto, atualizar entidades de sessão ou interações de conversa do Assistente do agente. Esse acesso fornece um subconjunto de permissões encontradas no acesso total e de edição.
  • Acesso de leitura: permissão para ler qualquer recurso.
Papel no Console do Dialogflow Papel do IAM Resumo da permissão Detalhes da permissão
Admin Projeto >
Proprietário
Concede aos proprietários do projeto que precisam de acesso total a todos os recursos do Google Cloud e do Dialogflow:
  • Acesso total a todos os recursos do projeto do Google Cloud usando o console ou as APIs do Google Cloud.
  • Acesso total aos agentes com o Console do Dialogflow.
  • Pode detectar intent usando a API.
  • Alterar a edição do agente no Console do Dialogflow ou usar a API.
Consulte Definições dos papéis básicos do IAM.
Developer Projeto >
Editor
Concede aos editores do projeto que precisam de acesso para edição a todos os recursos do Google Cloud e do Dialogflow:
  • Edita o acesso a todos os recursos do projeto do Google Cloud usando o console ou as APIs do Google Cloud.
  • Acesso de edição aos agentes usando o Console do Dialogflow.
  • Pode detectar intent usando a API.
Consulte Definições dos papéis básicos do IAM.
Revisor Projeto >
Leitor
Concede aos leitores do projeto que precisam de acesso de leitura a todos os recursos do Google Cloud e do Dialogflow:
  • Acesso de leitura a todos os recursos do projeto do Google Cloud usando o console ou as APIs do Google Cloud.
  • Acesso de leitura a agentes que usam o console ou a API do Dialogflow. Não é possível usar o simulador.
  • Não é possível detectar intent usando a API.
Consulte Definições dos papéis básicos do IAM.
N/A Projeto >
Navegador
Concede a navegadores do projeto que precisam de acesso de leitura para navegar na hierarquia de um projeto, incluindo a pasta, a organização e a política do Cloud IAM:
  • Acesso de leitura à hierarquia de projetos do Google Cloud.
  • Sem acesso aos agentes que usam o Console do Dialogflow.
  • Não é possível detectar intent usando a API.
Consulte Definições de papéis do projeto do IAM.
N/D Dialogflow >
Administrador da API Dialogflow
Conceda a administradores da API Dialogflow que precisam de acesso total a recursos específicos do Dialogflow:
  • Acesso total a todos os recursos do Dialogflow usando o console do Google Cloud ou as APIs.
  • Acesso de leitura a agentes usando o Console do Dialogflow.
  • Pode detectar intent usando a API.
Consulte Definições de papéis do IAM do Dialogflow.
N/A Dialogflow >
Cliente da API Dialogflow
Conceda a clientes da API Dialogflow que realizam chamadas de intent de detecção usando a API:
  • Acesso de sessão aos recursos do Dialogflow no ambiente de execução usando o simulador ou a API do Dialogflow.
  • Acesso limitado a agentes usando o Console do Dialogflow.
  • Pode detectar intent usando a API.
Consulte Definições de papéis do IAM do Dialogflow.
N/A Dialogflow >
Editor de agente do Console do Dialogflow
Conceda aos editores do Console do Dialogflow que editam agentes existentes:
  • Acesso total a todos os recursos do Dialogflow usando o console do Google Cloud.
  • Edite o acesso à maioria dos dados do agente usando o Console do Dialogflow. Não é possível acessar o Inline Editor para a integração do Cloud Functions ou Google Assistente.
  • Pode detectar intent usando a API.
Consulte Definições de papéis do IAM do Dialogflow.
N/A Dialogflow >
Leitor da API Dialogflow
Conceda a clientes da API Dialogflow que realizam chamadas somente leitura específicas do Dialogflow usando a API:
  • Acesso de leitura a todos os recursos do Dialogflow usando o console do Google Cloud ou as APIs.
  • Acesso de leitura a agentes usando o console do Dialogflow, não é possível usar o simulador.
  • Não é possível detectar intent usando a API.
Consulte Definições de papéis do IAM do Dialogflow.

Controlar o acesso com o console do Google Cloud

É possível controlar o acesso com as configurações do IAM. Consulte o guia de início rápido do IAM para ver as instruções detalhadas sobre como adicionar, editar e remover permissões.

Para acessar as configurações abaixo, abra a página IAM no console do Google Cloud.

Adicionar um usuário ou uma conta de serviço ao projeto

É possível conceder permissões a usuários ou contas de serviço concedendo a eles papéis no seu projeto do Google Cloud. Os usuários são adicionados fornecendo os respectivos endereços de e-mail. As contas de serviço também são adicionadas fornecendo o endereço de e-mail associado a elas. Você precisa adicionar membros da conta de serviço quando quiser usar uma conta de serviço para vários projetos e agentes. Para encontrar o endereço de e-mail associado à sua conta de serviço, consulte a página Contas de serviço do IAM no console do Google Cloud.

Para adicionar um membro:

  1. Clique no botão de adição na parte superior da página.
  2. Digite o endereço de e-mail do membro.
  3. Selecione um papel.
  4. Clique em Salvar.

Alterar permissões

  1. Clique no botão de edição no membro.
  2. Selecione um papel diferente.
  3. Clique em Salvar.

Remover um membro

  1. Clique no botão de exclusão no membro.

Controlar o acesso com o Console do Dialogflow

Opções de compartilhamento são encontradas nas configurações do agente. Para abrir as configurações de compartilhamento do agente:

  1. Acesse o console do Dialogflow ES.
  2. Selecione seu agente perto da parte superior do menu da barra lateral esquerda.
  3. Clique no botão de configurações ao lado do nome do agente.
  4. Clique na guia Compartilhar. Se a guia Compartilhar não aparecer, é porque você não tem a função de administrador do agente necessária.

Guia "Compartilhar" que mostra o nível de acesso dos usuários.

Adicionar um usuário

  1. Digite o endereço de e-mail do usuário abaixo de Convidar novas pessoas.
  2. Selecione um papel.
  3. Clique em Adicionar.
  4. Clique em Salvar.

Alterar permissões

  1. Encontre o usuário na lista.
  2. Selecione um papel diferente.
  3. Clique em Salvar.

Remover um usuário

  1. Encontre o usuário na lista.

  2. Clique no botão de exclusão no usuário.

  3. Clique em Salvar.

Contas de serviço criadas automaticamente

Quando você cria e trabalha com seu agente, o Dialogflow cria alguns agentes de serviço automaticamente.

Para conferir os papéis concedidos a esses agentes de serviço, ative a opção Incluir concessões de papel fornecidas pelo Google na página do IAM.

Não exclua, edite nem faça o download de chaves de nenhum desses agentes de serviço. Além disso, não use esses agentes de serviço para fazer chamadas diretas de API. Elas são usados apenas pelo serviço Dialogflow para se conectar a uma variedade de serviços do Google Cloud usados pelo agente. Talvez seja necessário consultar esses agentes de serviço por e-mail ao configurar determinados recursos do Dialogflow.

A tabela a seguir descreve alguns desses agentes de serviço:

Formulário de e-mail do IAM Motivo
service-project-number
@gcp-sa-dialogflow.iam.gserviceaccount.com
Usada para conectar o agente aos serviços que gerenciam o tráfego de integração.
firebase-adminsdk-alphanum
@project-id.iam.gserviceaccount.com
Usada para conectar o agente aos serviços que gerenciam o tráfego de integração com o Google Assistente.
project-id
@appspot.gserviceaccount.com
Usada para conectar o agente aos serviços que gerenciam o tráfego de integração com o Google Assistente.

Transferir função de administrador

Para transferir a função de administrador de um agente, o administrador atual precisa seguir as etapas acima para adicionar um novo administrador. Depois que o novo administrador aceitar o papel concedido, é seguro remover o administrador antigo.

Se o administrador atual não trabalhar mais na sua organização e você precisar que a função de administrador seja transferida para outro funcionário, você terá duas opções:

  • Um administrador da organização associado ao projeto do agente tem permissões para modificar o administrador do agente.
  • Se você tiver permissões de leitura para o agente, poderá exportá-lo e importá-lo para um agente em que o funcionário desejado seja administrador. Isso pode criar a inatividade de um agente de produção real enquanto o agente é migrado e as integrações são atualizadas.

OAuth

Se você estiver usando as bibliotecas de cliente do Google para acessar o Dialogflow, não vai precisar usar o OAuth diretamente, porque essas bibliotecas lidam com a implementação. No entanto, se você estiver implementando seu próprio cliente, talvez seja necessário implementar seu próprio fluxo OAuth. O acesso à API Dialogflow requer um dos seguintes escopos do OAuth:

  • https://www.googleapis.com/auth/cloud-platform (acesso a todos os recursos do projeto)
  • https://www.googleapis.com/auth/dialogflow (acesso aos recursos do Dialogflow)

Solicitações que envolvem acesso ao Cloud Storage

Algumas solicitações do Dialogflow solicitam acesso a objetos no Cloud Storage para ler ou gravar dados. Quando você chama uma dessas solicitações, o Dialogflow acessa os dados do Cloud Storage em nome do autor da chamada. Isso significa que a autenticação de solicitação precisa ter permissões para acessar o Dialogflow e os objetos do Cloud Storage.

Ao usar uma biblioteca de cliente do Google e papéis do IAM, consulte o guia de controle de acesso do Cloud Storage para informações sobre os papéis do Cloud Storage.

Ao implementar seu próprio cliente e usar o OAuth, use o seguinte escopo do OAuth:

  • https://www.googleapis.com/auth/cloud-platform (acesso a todos os recursos do projeto)