Häufig müssen mehrere Teammitglieder zusammenarbeiten, um einen Agent zu erstellen. Mithilfe von Rollen können Sie steuern, welchen Zugriff und welche Berechtigungen einzelne Teammitglieder haben sollen.
Wenn Sie die API verwenden, werden an einen Agent möglicherweise auch Anfragen von einer oder mehreren Anwendungen gesendet. In diesem Fall können Sie den Zugriff mithilfe von Dienstkonten steuern.
Den Zugriff können Sie mit Identity and Access Management (IAM) oder der Dialogflow-Konsole steuern. In folgenden Situationen müssen Sie die Google Cloud Console verwenden:
- Mithilfe der Dialogflow-Konsole können Sie dem Nutzer, der den Agent erstellt hat, die Administratorrolle zuweisen. Sie müssen die Cloud Console verwenden, wenn Sie den Inhaber/Administrator ändern, mehrere Inhaber/Administratoren für einen Agent hinzufügen oder Inhaber/Administratoren für einen Agent entfernen möchten.
- Bei der Einbindung in andere Google Cloud-Ressourcen, z. B. in Cloud Functions, und wenn Sie einer Anwendung nur einen eingeschränkten Projektzugriff gewähren möchten, müssen Sie die Dialogflow API-Rollen (Administrator, Client, oder Leser) in der Cloud Console für IAM gewähren.
- Eine Teilmenge von IAM-Rollen verfügt über entsprechende Dialogflow-Konsole-Rollen. Wenn Sie eine Rolle zuweisen möchten, die in der Dialogflow-Konsole nicht vorhanden ist, müssen Sie die Cloud Console verwenden.
Rollen
In der folgenden Tabelle sind alle für Dialogflow relevanten Rollen aufgeführt. In der Zusammenfassung der Berechtigungen in der Tabelle werden die folgenden Begriffe verwendet:
- Vollständiger Zugriff: Berechtigung zum Ändern des Zugriffs, zum Erstellen, Löschen, Bearbeiten und Lesen einer Ressource.
- Bearbeitungszugriff: Berechtigung zum Erstellen, Löschen, Bearbeiten und Lesen einer Ressource.
- Lesezugriff: Berechtigung zum Lesen einer Ressource.
| Rolle in Dialogflow-Konsole | IAM-Rolle | Zusammenfassung der Berechtigungen | Berechtigungsdetails |
|---|---|---|---|
| Admin | Projekt > Inhaber |
Für Projektinhaber, die vollständigen Zugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
|
Siehe Definitionen von einfachen IAM-Rollen. |
| Entwickler | Projekt > Editor |
Für Projektbearbeiter, die Bearbeitungszugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
|
Siehe Definitionen von einfachen IAM-Rollen. |
| Prüfer | Projekt > Betrachter |
Für Projektbetrachter, die Lesezugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
|
Siehe Definitionen von einfachen IAM-Rollen. |
| – | Projekt > Browser |
Für Projektbrowser, die Lesezugriff zum Einsehen der Hierarchie eines Projekts benötigen, einschließlich Ordner, Organisation und IAM-Richtlinie:
|
Siehe Definitionen von IAM-Projektrollen. |
| – | Dialogflow > Dialogflow API-Administrator |
Für Dialogflow API-Administratoren, die uneingeschränkt Zugriff auf Dialogflow-spezifische Ressourcen benötigen:
|
Siehe IAM-Rollendefinitionen für Dialogflow |
| – | Dialogflow > Dialogflow API-Client |
Für Dialogflow API-Clients, die Dialogflow-spezifische Änderungen vornehmen und Intent-Aufrufe mit der API erkennen:
|
Siehe IAM-Rollendefinitionen für Dialogflow |
| – | Dialogflow > Agent-Bearbeiter in Dialogflow-Konsole |
Für Bearbeiter der Dialogflow-Konsole, die vorhandene Agents bearbeiten:
|
Siehe IAM-Rollendefinitionen für Dialogflow |
| – | Dialogflow > Dialogflow API-Leser |
Für Dialogflow API-Clients, die Dialogflow-spezifische schreibgeschützte Aufrufe über die API ausführen:
|
Siehe IAM-Rollendefinitionen für Dialogflow |
Zugriff mit der Cloud Console steuern
Sie können den Zugriff über die IAM-Einstellungen steuern. Ausführliche Informationen zum Hinzufügen, Bearbeiten und Entfernen von Berechtigungen finden Sie in der Kurzanleitung für IAM.
Öffnen Sie in der Cloud Console die IAM-Seite, um auf die Einstellungen zuzugreifen.
Nutzer oder Dienstkonto zum Projekt hinzufügen
Wenn Sie Nutzern oder Dienstkonten Berechtigungen zuweisen möchten, können Sie ihnen Rollen für Ihr Cloud-Projekt zuweisen. Nutzer werden durch Angabe ihrer E-Mail-Adresse hinzugefügt. Auch Dienstkonten können durch die Angabe der zugehörigen E-Mail-Adresse hinzugefügt werden. Das Hinzufügen von Dienstkonto-Mitgliedern ist erforderlich, wenn Sie ein Dienstkonto für mehrere Projekte und Agents verwenden möchten. Die E-Mail-Adresse Ihres Dienstkontos finden Sie auf der IAM-Seite Dienstkonten in der Cloud Console.
So fügen Sie ein Mitglied hinzu:
- Klicken Sie oben auf der Seite auf die Schaltfläche zum Hinzufügen eines Mitglieds.
- Geben Sie die E-Mail-Adresse des Mitglieds ein.
- Wählen Sie eine Rolle aus.
- Klicken Sie auf Speichern.
Berechtigungen ändern
- Klicken Sie auf die Schaltfläche zum Bearbeiten des jeweiligen Mitglieds.
- Wählen Sie eine andere Rolle aus.
- Klicken Sie auf Speichern.
Mitglied entfernen
- Klicken Sie auf die Schaltfläche zum Löschen des jeweiligen Mitglieds.
Zugriffssteuerung mit der Dialogflow-Konsole
Die Freigabeoptionen finden Sie in den Einstellungen des Agents. So öffnen Sie die Freigabeeinstellungen des Agents:
- Rufen Sie die Dialogflow ES-Konsole auf.
- Wählen Sie Ihren Agent im oberen Bereich der linken Seitenleiste aus.
- Klicken Sie neben dem Namen des Agents auf die Schaltfläche für die Einstellungen.
- Klicken Sie auf den Tab Share (Freigeben). Wenn der Tab Share nicht angezeigt wird, haben Sie nicht die erforderliche Inhaber-/Administrator-Rolle.
Nutzer hinzufügen
- Geben Sie unter Invite New People (Weitere Personen einladen) die E-Mail-Adresse des Nutzers ein.
- Wählen Sie eine Rolle aus.
- Klicken Sie auf Add (Hinzufügen).
- Klicken Sie auf Speichern.
Berechtigungen ändern
- Suchen Sie den Nutzer in der Liste.
- Wählen Sie eine andere Rolle aus.
- Klicken Sie auf Speichern.
Nutzer entfernen
- Suchen Sie den Nutzer in der Liste.
- Klicken Sie auf die Schaltfläche zum Löschen des jeweiligen Nutzers.
- Klicken Sie auf Save (Speichern).
Automatisch erstellte Dienstkonten
Wenn Sie Ihren Agent erstellen und mit ihm arbeiten, erstellt Dialogflow automatisch einige von Google verwaltete Dienstkonten.
Aktivieren Sie auf der IAM-Seite die Option Von Google bereitgestellte Rollenzuweisungen, um diese Dienstkonten aufzurufen.
Sie sollten für diese Dienstkonten Schlüssel weder löschen, bearbeiten noch herunterladen, und sollten diese Dienstkonten nie für direkte API-Aufrufe verwenden. Sie werden nur vom Dialogflow-Dienst verwendet, um eine Verbindung zu einer Reihe von Ihrem Agent verwendeten Google Cloud-Diensten herzustellen. Bei der Konfiguration bestimmter Dialogflow-Funktionen müssen Sie möglicherweise per E-Mail auf diese Dienstkonten verweisen.
Folgende Tabelle beschreibt einige dieser Dienstkonten:
| IAM-E-Mail-Formular | Zweck |
|---|---|
| service-project-number @gcp-sa-dialogflow.iam.gserviceaccount.com |
Wird verwendet, um den Agent mit den Diensten zu verbinden, die den Integrationstraffic verarbeiten. |
| firebase-adminsdk-alphanum @project-id.iam.gserviceaccount.com |
Wird verwendet, um den Agent mit den Diensten zu verbinden, die den Google Assistant-Integrationstraffic verarbeiten. |
| project-id @appspot.gserviceaccount.com |
Wird verwendet, um den Agent mit den Diensten zu verbinden, die den Google Assistant-Integrationstraffic verarbeiten. |
Eigentümer ändern
Um die Inhaberschaft eines Agents zu übertragen, muss der bestehende Inhaber oben die Schritte ausführen, um einen neuen Inhaber hinzuzufügen. Wenn der neue Inhaber die zugewiesene Rolle akzeptiert, kann der alte Inhaber sicher entfernt werden.
Wenn der vorhandene Inhaber nicht mehr in Ihrer Organisation arbeitet und Sie die Inhaberschaft an einen anderen Mitarbeiter übertragen möchten, haben Sie zwei Möglichkeiten:
- Ein Administrator der Organisation, die mit dem Projekt des Agents verknüpft ist, hat Berechtigungen zum Ändern des Agent-Inhabers.
- Wenn Sie Leseberechtigungen für den Agent haben, können Sie den Agent exportieren und in einen Agent importieren, der dem gewünschten Mitarbeiter gehört. Dies kann zu Ausfallzeiten bei einem Agent in der Live-Produktion führen, während der Agent migriert und Integrationen aktualisiert werden.