Zugriffssteuerung

Häufig müssen mehrere Teammitglieder zusammenarbeiten, um einen Agent zu erstellen. Mithilfe von Rollen können Sie steuern, welchen Zugriff und welche Berechtigungen einzelne Teammitglieder haben sollen.

Wenn Sie die API verwenden, werden an einen Agent möglicherweise auch Anfragen von einer oder mehreren Anwendungen gesendet. In diesem Fall können Sie den Zugriff mithilfe von Dienstkonten steuern.

Den Zugriff können Sie mit Identity and Access Management (IAM) oder der Dialogflow-Konsole steuern. In folgenden Situationen müssen Sie die Google Cloud Console verwenden:

  • Mithilfe der Dialogflow-Konsole können Sie dem Nutzer, der den Agent erstellt hat, die Administratorrolle zuweisen. Sie müssen die Cloud Console verwenden, wenn Sie den Inhaber/Administrator ändern, mehrere Inhaber/Administratoren für einen Agent hinzufügen oder Inhaber/Administratoren für einen Agent entfernen möchten.
  • Bei der Einbindung in andere Google Cloud-Ressourcen, z. B. in Cloud Functions, und wenn Sie einer Anwendung nur einen eingeschränkten Projektzugriff gewähren möchten, müssen Sie die Dialogflow API-Rollen (Administrator, Client, oder Leser) in der Cloud Console für IAM gewähren.
  • Eine Teilmenge von IAM-Rollen verfügt über entsprechende Dialogflow-Konsole-Rollen. Wenn Sie eine Rolle zuweisen möchten, die in der Dialogflow-Konsole nicht vorhanden ist, müssen Sie die Cloud Console verwenden.

Rollen

In der folgenden Tabelle sind alle für Dialogflow relevanten Rollen aufgeführt. In der Zusammenfassung der Berechtigungen in der Tabelle werden die folgenden Begriffe verwendet:

  • Vollständiger Zugriff: Berechtigung zum Ändern des Zugriffs, zum Erstellen, Löschen, Bearbeiten und Lesen einer Ressource.
  • Bearbeitungszugriff: Berechtigung zum Erstellen, Löschen, Bearbeiten und Lesen einer Ressource.
  • Lesezugriff: Berechtigung zum Lesen einer Ressource.
Rolle in Dialogflow-Konsole IAM-Rolle Zusammenfassung der Berechtigungen Berechtigungsdetails
Admin Projekt >
Inhaber
Für Projektinhaber, die vollständigen Zugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
  • Uneingeschränkter Zugriff auf alle Google Cloud-Projektressourcen über die Cloud Console oder APIs
  • Uneingeschränkter Zugriff auf Agents über die Dialogflow-Konsole
  • Intent-Erkennung mithilfe der API
  • Änderung der Agent-Edition in der Dialogflow-Konsole oder mithilfe der API
Siehe Definitionen von einfachen IAM-Rollen.
Entwickler Projekt >
Editor
Für Projektbearbeiter, die Bearbeitungszugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
  • Bearbeitungszugriff auf alle Cloud-Projektressourcen über die Cloud Console oder APIs
  • Bearbeitungszugriff auf Agents über die Dialogflow-Konsole
  • Intent-Erkennung mithilfe der API
Siehe Definitionen von einfachen IAM-Rollen.
Prüfer Projekt >
Betrachter
Für Projektbetrachter, die Lesezugriff auf alle Google Cloud- und Dialogflow-Ressourcen benötigen:
  • Lesezugriff auf alle Cloud-Projektressourcen über die Cloud Console oder APIs
  • Lesezugriff auf Agents über die Dialogflow-Konsole
  • Keine Intent-Erkennung mithilfe der API
Siehe Definitionen von einfachen IAM-Rollen.
Projekt >
Browser
Für Projektbrowser, die Lesezugriff zum Einsehen der Hierarchie eines Projekts benötigen, einschließlich Ordner, Organisation und IAM-Richtlinie:
  • Lesezugriff auf die Cloud-Projekthierarchie
  • Kein Zugriff auf Agents über die Dialogflow-Konsole
  • Keine Intent-Erkennung mithilfe der API
Siehe Definitionen von IAM-Projektrollen.
Dialogflow >
Dialogflow API-Administrator
Für Dialogflow API-Administratoren, die uneingeschränkt Zugriff auf Dialogflow-spezifische Ressourcen benötigen:
  • Uneingeschränkter Zugriff auf alle Dialogflow-Ressourcen über die Cloud Console oder APIs.
  • Lesezugriff auf Agents über die Dialogflow-Konsole
  • Intent-Erkennung mithilfe der API
Siehe IAM-Rollendefinitionen für Dialogflow
Dialogflow >
Dialogflow API-Client
Für Dialogflow API-Clients, die Dialogflow-spezifische Änderungen vornehmen und Intent-Aufrufe mit der API erkennen:
  • Bearbeitungszugriff auf alle Dialogflow-Ressourcen über die Cloud Console oder APIs
  • Kein Zugriff auf Agents über die Dialogflow-Konsole
  • Intent-Erkennung mithilfe der API
Siehe IAM-Rollendefinitionen für Dialogflow
Dialogflow >
Agent-Bearbeiter in Dialogflow-Konsole
Für Bearbeiter der Dialogflow-Konsole, die vorhandene Agents bearbeiten:
  • Uneingeschränkter Zugriff auf alle Dialogflow-Ressourcen über die Cloud Console
  • Bearbeitungszugriff auf die meisten Agent-Daten über die Dialogflow-Konsole kein Zugriff auf den Inline-Editor zur Cloud Functions- oder Google Assistant-Integration
  • Intent-Erkennung mithilfe der API
Siehe IAM-Rollendefinitionen für Dialogflow
Dialogflow >
Dialogflow API-Leser
Für Dialogflow API-Clients, die Dialogflow-spezifische schreibgeschützte Aufrufe über die API ausführen:
  • Lesezugriff auf alle Dialogflow-Ressourcen mit der Cloud Console oder APIs
  • Lesezugriff auf Agents über die Dialogflow-Konsole
  • Keine Intent-Erkennung mithilfe der API
Siehe IAM-Rollendefinitionen für Dialogflow

Zugriff mit der Cloud Console steuern

Sie können den Zugriff über die IAM-Einstellungen steuern. Ausführliche Informationen zum Hinzufügen, Bearbeiten und Entfernen von Berechtigungen finden Sie in der Kurzanleitung für IAM.

Öffnen Sie in der Cloud Console die IAM-Seite, um auf die Einstellungen zuzugreifen.

Nutzer oder Dienstkonto zum Projekt hinzufügen

Wenn Sie Nutzern oder Dienstkonten Berechtigungen zuweisen möchten, können Sie ihnen Rollen für Ihr Cloud-Projekt zuweisen. Nutzer werden durch Angabe ihrer E-Mail-Adresse hinzugefügt. Auch Dienstkonten können durch die Angabe der zugehörigen E-Mail-Adresse hinzugefügt werden. Das Hinzufügen von Dienstkonto-Mitgliedern ist erforderlich, wenn Sie ein Dienstkonto für mehrere Projekte und Agents verwenden möchten. Die E-Mail-Adresse Ihres Dienstkontos finden Sie auf der IAM-Seite Dienstkonten in der Cloud Console.

So fügen Sie ein Mitglied hinzu:

  1. Klicken Sie oben auf der Seite auf die Schaltfläche zum Hinzufügen eines Mitglieds.
  2. Geben Sie die E-Mail-Adresse des Mitglieds ein.
  3. Wählen Sie eine Rolle aus.
  4. Klicken Sie auf Speichern.

Berechtigungen ändern

  1. Klicken Sie auf die Schaltfläche zum Bearbeiten des jeweiligen Mitglieds.
  2. Wählen Sie eine andere Rolle aus.
  3. Klicken Sie auf Speichern.

Mitglied entfernen

  1. Klicken Sie auf die Schaltfläche zum Löschen des jeweiligen Mitglieds.

Zugriffssteuerung mit der Dialogflow-Konsole

Die Freigabeoptionen finden Sie in den Einstellungen des Agents. So öffnen Sie die Freigabeeinstellungen des Agents:

  1. Rufen Sie die Dialogflow ES-Konsole auf.
  2. Wählen Sie Ihren Agent im oberen Bereich der linken Seitenleiste aus.
  3. Klicken Sie neben dem Namen des Agents auf die Schaltfläche für die Einstellungen.
  4. Klicken Sie auf den Tab Share (Freigeben). Wenn der Tab Share nicht angezeigt wird, haben Sie nicht die erforderliche Inhaber-/Administrator-Rolle.

Der Tab "Teilen" zeigt und deren Zugriffsebene an.

Nutzer hinzufügen

  1. Geben Sie unter Invite New People (Weitere Personen einladen) die E-Mail-Adresse des Nutzers ein.
  2. Wählen Sie eine Rolle aus.
  3. Klicken Sie auf Add (Hinzufügen).
  4. Klicken Sie auf Speichern.

Berechtigungen ändern

  1. Suchen Sie den Nutzer in der Liste.
  2. Wählen Sie eine andere Rolle aus.
  3. Klicken Sie auf Speichern.

Nutzer entfernen

  1. Suchen Sie den Nutzer in der Liste.
  2. Klicken Sie auf die Schaltfläche zum Löschen des jeweiligen Nutzers.
  3. Klicken Sie auf Save (Speichern).

Automatisch erstellte Dienstkonten

Wenn Sie Ihren Agent erstellen und mit ihm arbeiten, erstellt Dialogflow automatisch einige von Google verwaltete Dienstkonten.

Aktivieren Sie auf der IAM-Seite die Option Von Google bereitgestellte Rollenzuweisungen, um diese Dienstkonten aufzurufen.

Sie sollten für diese Dienstkonten Schlüssel weder löschen, bearbeiten noch herunterladen, und sollten diese Dienstkonten nie für direkte API-Aufrufe verwenden. Sie werden nur vom Dialogflow-Dienst verwendet, um eine Verbindung zu einer Reihe von Ihrem Agent verwendeten Google Cloud-Diensten herzustellen. Bei der Konfiguration bestimmter Dialogflow-Funktionen müssen Sie möglicherweise per E-Mail auf diese Dienstkonten verweisen.

Folgende Tabelle beschreibt einige dieser Dienstkonten:

IAM-E-Mail-Formular Zweck
service-project-number
@gcp-sa-dialogflow.iam.gserviceaccount.com
Wird verwendet, um den Agent mit den Diensten zu verbinden, die den Integrationstraffic verarbeiten.
firebase-adminsdk-alphanum
@project-id.iam.gserviceaccount.com
Wird verwendet, um den Agent mit den Diensten zu verbinden, die den Google Assistant-Integrationstraffic verarbeiten.
project-id
@appspot.gserviceaccount.com
Wird verwendet, um den Agent mit den Diensten zu verbinden, die den Google Assistant-Integrationstraffic verarbeiten.

Eigentümer ändern

Um die Inhaberschaft eines Agents zu übertragen, muss der bestehende Inhaber oben die Schritte ausführen, um einen neuen Inhaber hinzuzufügen. Wenn der neue Inhaber die zugewiesene Rolle akzeptiert, kann der alte Inhaber sicher entfernt werden.

Wenn der vorhandene Inhaber nicht mehr in Ihrer Organisation arbeitet und Sie die Inhaberschaft an einen anderen Mitarbeiter übertragen möchten, haben Sie zwei Möglichkeiten:

  • Ein Administrator der Organisation, die mit dem Projekt des Agents verknüpft ist, hat Berechtigungen zum Ändern des Agent-Inhabers.
  • Wenn Sie Leseberechtigungen für den Agent haben, können Sie den Agent exportieren und in einen Agent importieren, der dem gewünschten Mitarbeiter gehört. Dies kann zu Ausfallzeiten bei einem Agent in der Live-Produktion führen, während der Agent migriert und Integrationen aktualisiert werden.