Es común que varios miembros de un equipo colaboren en la compilación de un agente y que los servicios accedan a él. Con las funciones, puedes controlar el acceso y los permisos otorgados a las principales.
Si estás utilizando la API, es posible que una o más aplicaciones también envíen solicitudes a un agente. En este caso, puedes controlar el acceso con las cuentas de servicio.
Puedes controlar el acceso mediante la administración de identidades y accesos (IAM) o la consola de Dialogflow. Hay algunas situaciones en las que debes usar la consola de Google Cloud:
- La consola de Dialogflow proporciona la función de administrador de agente (propietario del proyecto de IAM) al usuario que creó el agente. Si deseas cambiar el administrador, agregar varios administradores para un agente o quitar administradores de un agente, debes usar la consola de Google Cloud.
- Si tienes integraciones en otros recursos de Google Cloud, como Cloud Functions, y no deseas otorgar acceso completo al proyecto a una aplicación, debes asignar los roles de API de Dialogflow (Administrador, Cliente o Lector) en la consola de Google Cloud para IAM.
- Un subconjunto de funciones de IAM tiene las funciones de la consola de Dialogflow correspondientes. Si deseas otorgar una función que no existe en la consola de Dialogflow, debes usar la consola de Google Cloud.
Funciones
En la siguiente tabla, se enumeran los roles comunes relevantes de Dialogflow. En los resúmenes de permisos de la tabla, se usan los siguientes términos:
- Acceso completo: Permiso para modificar el acceso, crear, borrar, editar y leer cualquier recurso.
- Acceso de edición: Permiso para crear, borrar, editar y leer cualquier recurso.
- Acceso a sesiones: Permiso para llamar a métodos de recursos solo durante el tiempo de ejecución durante una conversación, como detectar intents, actualizar contexto, actualizar entidades de sesión o interacciones de conversación con Agent Assist. Este acceso proporciona un subconjunto de permisos que se encuentran en acceso completo y de edición.
- Acceso de lectura: Permiso para leer cualquier recurso.
| Función de la consola de Dialogflow | Función de IAM | Resumen de los permisos | Detalles de los permisos |
|---|---|---|---|
| Administrador | Proyecto > Propietario |
Se otorga a los propietarios de proyectos que necesitan acceso completo a todos los recursos de Google Cloud y Dialogflow:
|
Consulta las definiciones de rol básico de IAM. |
| Programador | Proyecto > Editor |
Se otorga a los editores de proyectos que necesitan acceso de edición a todos los recursos de Google Cloud y Dialogflow:
|
Consulta las definiciones de rol básico de IAM. |
| Revisor | Proyecto > Visualizador |
Se otorga a los visualizadores de proyectos
que necesitan acceso de lectura a todos los recursos de Google Cloud y Dialogflow:
|
Consulta las definiciones de rol básico de IAM. |
| N/A | Proyecto > Navegador |
Se otorga a los navegadores de proyectos
que necesitan acceso de lectura para explorar la jerarquía de un proyecto,
incluidos la carpeta, la organización y la política de IAM:
|
Consulta las definiciones de funciones de los proyectos de IAM. |
| N/A | Dialogflow > Administrador de la API de Dialogflow |
Se otorga a los administradores de la API de Dialogflow que necesitan acceso completo a los recursos específicos de Dialogflow:
|
Consulta las definiciones de roles de IAM de Dialogflow. |
| N/A | Dialogflow > Cliente de la API de Dialogflow |
Se otorga a los clientes de la API de Dialogflow que realizan llamadas de intent de detección mediante la API:
|
Consulta las definiciones de roles de IAM de Dialogflow. |
| N/A | Dialogflow > Editor del agente de la consola de Dialogflow |
Se otorga a los editores de la consola de Dialogflow que editan los agentes existentes:
|
Consulta las definiciones de roles de IAM de Dialogflow. |
| N/A | Dialogflow > Lector de la API de Dialogflow |
Se otorga a los clientes de la API de Dialogflow que realizan llamadas de solo lectura específicas de Dialogflow mediante la API:
|
Consulta las definiciones de roles de IAM de Dialogflow. |
Controla el acceso con la consola de Google Cloud
Puedes controlar el acceso con la configuración de IAM. Consulta la guía de inicio rápido de IAM para obtener instrucciones detalladas sobre cómo agregar, editar y quitar permisos.
Para acceder a la configuración que se muestra a continuación, abre la página de IAM en la consola de Google Cloud.
Agrega un usuario o miembro de cuenta de servicio al proyecto
Puedes otorgar permisos a usuarios o cuentas de servicio si les otorgas funciones en tu proyecto de Google Cloud. Los usuarios se agregan mediante el ingreso de la dirección de correo electrónico. Las cuentas de servicio también se agregan mediante el ingreso de la dirección de correo electrónico asociada. Los miembros de la cuenta de servicio se deben agregar cuando deseas usar una cuenta de servicio para múltiples proyectos y agentes. Para encontrar la dirección de correo electrónico asociada con tu cuenta de servicio, consulta la página de Cuentas de servicio de IAM en Google Cloud Console.
Para agregar un miembro, sigue estos pasos:
- Haz clic en el botón Agregar en la parte superior de la página.
- Ingresa la dirección de correo electrónico del miembro.
- Selecciona una función.
- Haz clic en Guardar.
Cambia permisos
- Haz clic en el botón Editar del miembro.
- Selecciona una función diferente.
- Haz clic en Guardar.
Quita un miembro
- Haz clic en el botón Borrar del miembro.
Controla el acceso con la consola de Dialogflow
Las opciones para compartir se encuentran en la configuración del agente. Para abrir la configuración de uso compartido del agente, sigue estos pasos:
- Ve a la consola de Dialogflow ES.
- Selecciona tu agente cerca de la parte superior del menú de la barra lateral izquierda.
- Haz clic en el botón de configuración junto al nombre del agente.
- Haz clic en la pestaña Compartir. Si no ves la pestaña Compartir, es porque no tienes la función de administrador de agente requerida.
Agregar un usuario
- Ingresa la dirección de correo electrónico del usuario en Invitar personas nuevas.
- Selecciona una función.
- Haga clic en Agregar.
- Haz clic en Guardar.
Cambia permisos
- Encuentra el usuario en la lista.
- Selecciona una función diferente.
- Haz clic en Guardar.
Quita un usuario
Encuentra el usuario en la lista.
Haz clic en el botón Borrar del usuario.
Haz clic en Guardar.
Cuentas de servicio creadas de forma automática
Cuando creas y trabajas con tu agente, Dialogflow crea algunas cuentas de servicio administradas por Google de forma automática.
Para ver estas cuentas de servicio, habilita la opción Incluir asignaciones de funciones proporcionadas por Google en la página de IAM.
No debes borrar, editar ni descargar claves para ninguna de estas cuentas de servicio, ni debes usar estas cuentas de servicio a fin de realizar llamadas directas a la API. Solo el servicio de Dialogflow las usa para conectarse a una variedad de servicios de Google Cloud que usa tu agente. Es posible que debas consultar estas cuentas de servicio por correo electrónico cuando configures ciertas características de Dialogflow.
En la siguiente tabla, se describen algunas de estas cuentas de servicio:
| Formulario de correo electrónico de IAM | Objetivo |
|---|---|
| service-project-number @gcp-sa-dialogflow.iam.gserviceaccount.com |
Se usa para conectar a tu agente con los servicios que manejan el tráfico de integración. |
| firebase-adminsdk-alphanum @project-id.iam.gserviceaccount.com |
Se usa para conectar tu agente a los servicios que controlan el tráfico de la integración del Asistente de Google. |
| project-id @appspot.gserviceaccount.com |
Se usa para conectar tu agente a los servicios que controlan el tráfico de la integración de Asistente de Google. |
Transferir rol de administrador
Para transferir la función de administrador de un agente, el administrador existente debe seguir los pasos anteriores para agregar un nuevo administrador. Una vez que el administrador nuevo acepta la función otorgada, es seguro quitar el anterior.
Si el administrador existente ya no funciona en la organización y necesitas transferir el rol de administrador a otro empleado, tienes dos opciones:
- Un administrador de la organización asociada con el proyecto del agente tiene permisos para modificarlo.
- Si tienes permisos de lectura para el agente, puedes exportarlo y, luego, importarlo a un agente en el que el empleado deseado sea el administrador. Esto puede crear tiempo de inactividad para un agente de producción en vivo, mientras se migra el agente y se actualizan las integraciones.
OAuth
Si usas bibliotecas cliente de Google para acceder a Dialogflow, no necesitas usar OAuth directamente, porque estas bibliotecas controlan la implementación por ti. Sin embargo, si implementas tu propio cliente, es posible que debas implementar tu propio flujo de OAuth. Para acceder a la API de Dialogflow, se requiere uno de los siguientes permisos de OAuth:
https://www.googleapis.com/auth/cloud-platform(acceso a todos los recursos del proyecto)https://www.googleapis.com/auth/dialogflow(acceso a los recursos de Dialogflow)
Solicitudes que involucran acceso a Cloud Storage
Algunas solicitudes de Dialogflow acceden a objetos en Cloud Storage para leer o escribir datos. Cuando llamas a una de estas solicitudes, Dialogflow accede a los datos de Cloud Storage en nombre del llamador. Esto significa que la autenticación de tu solicitud debe tener permisos para acceder a Dialogflow, así como a los objetos de Cloud Storage.
Cuando usas una biblioteca cliente de Google y las funciones de IAM, consulta la guía de control de acceso de Cloud Storage para obtener información sobre las funciones de Cloud Storage.
Cuando implementas tu propio cliente y usas OAuth, debes usar el siguiente alcance de OAuth:
https://www.googleapis.com/auth/cloud-platform(acceso a todos los recursos del proyecto)