アクセス制御

一般的に、エージェントの作成は複数のチームメンバーが共同で行います。役割を使用して、チームメンバーに付与されるアクセス権と権限を制御できます。

API を使用することによって、1 つまたは複数のアプリケーションから特定のエージェントにリクエストを送信できます。この場合、サービス アカウントによってアクセスを制御できます。

Identity and Access Management（IAM）または Dialogflow コンソールを使用してアクセスを制御できます。次のような状況では、Google Cloud Console を使用する必要があります。

• Dialogflow コンソールでは、エージェントを作成したユーザーにエージェント管理者（IAM プロジェクト オーナー）のロールが提供されます。管理者の変更、1 つのエージェントへの複数の管理者の追加、1 つのエージェントの管理者の削除を行う場合は、Cloud Console を使用する必要があります。
• 他の Google Cloud リソース（Cloud Functions など）を統合していて、プロジェクトに対する完全なアクセス権をアプリケーションに付与したくない場合は、Cloud Console for IAMで Dialogflow API ロール（管理者、クライアント、または読み取り）を割り当てる必要があります。
• IAM ロールのサブセットには、対応する Dialogflow コンソールのロールがあります。Dialogflow コンソールに存在しないロールを付与するには、Cloud Console を使用する必要があります。

ロール

次の表は、Dialogflow に関連するすべての役割を示しています。 表中の権限の概要では、次の用語を使用します。

• 完全なアクセス権: リソースの変更、作成、削除、編集、読み取りの権限。
• 編集権限: リソースを作成、削除、編集、読み取りの権限。
• 読み取りアクセス権: リソースの読み取り権限。

Dialogflow コンソールの役割	IAM ロール	権限の概要	権限の詳細
管理	プロジェクト > オーナー	すべての Google Cloud および Dialogflow リソースに対する完全アクセス権を必要とするプロジェクト オーナーに付与します。 Cloud Console または API を使用して、すべての Google Cloud プロジェクトのリソースに完全にアクセス可能です。 Dialogflow コンソールを使用した、エージェントに対する完全なアクセス権限。 API を使用してインテントを検出できます。 Dialogflow コンソールや API を使用してエージェントのエディションを変更できます。	IAM の基本役割の定義をご覧ください。
デベロッパー	プロジェクト -> 編集者	すべての Google Cloud および Dialogflow リソースに対する編集アクセス権が必要なプロジェクト編集者に付与します。 Cloud Console または API を使用した、すべての Cloud プロジェクトのリソースに対する編集権限。 Dialogflow コンソールを使用した、エージェントに対する編集権限。 API を使用してインテントを検出できます。	IAM の基本役割の定義をご覧ください。
審査担当者	プロジェクト > 閲覧者	すべての Google Cloud および Dialogflow リソースに対する読み取りアクセス権が必要なプロジェクト閲覧者に付与します。 Cloud Console または API を使用した、すべての Cloud プロジェクトのリソースに対する読み取りアクセス権。 Dialogflow コンソールを使用したエージェントへの読み取りアクセス権。 API を使用してインテントを検出することはできません。	IAM の基本役割の定義をご覧ください。
なし	プロジェクト > 参照者	フォルダ、組織、IAM ポリシーなど、プロジェクトの階層を参照するための読み取りアクセス権が必要なプロジェクト参照者に付与します。 Cloud プロジェクト階層に対する読み取りアクセスが可能です。 Dialogflow コンソールを使用してエージェントにアクセスすることはできません。 API を使用してインテントを検出することはできません。	IAM プロジェクト ロールの定義をご覧ください。
なし	Dialogflow > Dialogflow API 管理者	Dialogflow 固有のリソースへの完全アクセス権が必要な Dialogflow API 管理者に付与します。 Cloud Console または API を使用した、すべての Dialogflow リソースに対する完全なアクセス権。 Dialogflow コンソールを使用したエージェントへの読み取りアクセス権。 API を使用してインテントを検出できます。	Dialogflow IAM ロールの定義をご覧ください。
なし	Dialogflow > Dialogflow API クライアント	API を使用して Dialogflow 固有の編集を実行し、インテント呼び出しを検出する Dialogflow API クライアントに付与します。 Cloud Console または API を使用した、すべての Dialogflow リソースに対する編集アクセス権。 Dialogflow コンソールを使用してエージェントにアクセスすることはできません。 API を使用してインテントを検出できます。	Dialogflow IAM ロールの定義をご覧ください。
なし	Dialogflow > Dialogflow コンソール エージェント編集者	既存のエージェントを編集する Dialogflow コンソール編集者に付与します。 Cloud Console を使用するすべての Dialogflow リソースに対する完全なアクセス権。 Dialogflow コンソールを使用して、ほとんどのエージェント データに対して編集アクセスを行うことができます。Cloud Functions または Google アシスタントを統合するためのインライン エディタにはアクセスできません。 API を使用してインテントを検出できます。	Dialogflow IAM ロールの定義をご覧ください。
なし	Dialogflow > Dialogflow API 読み取り	API を使用して Dialogflow 固有の読み取り専用呼び出しを実行する Dialogflow API クライアントに付与します。 Cloud Console または API を使用した、すべての Dialogflow リソースに対する読み取りアクセス権。 Dialogflow コンソールを使用したエージェントへの読み取りアクセス権。 API を使用してインテントを検出することはできません。	Dialogflow IAM ロールの定義をご覧ください。

Cloud Console でのアクセス制御

IAM 設定を使用してアクセスを制御できます。権限の追加、編集、削除の詳細な手順については、IAM クイックスタートをご覧ください。

以下の設定にアクセスするには、Cloud Console で [IAM] ページを開きます。

プロジェクトにユーザーやサービス アカウントを追加する

ユーザーやサービス アカウントに権限を付与するには、Cloud プロジェクトでロールを付与します。ユーザーを追加するには、そのユーザーのメールアドレスを入力します。サービス アカウントを追加する場合も、そのアカウントに関連付けられているメールアドレスを入力します。1 つのサービス アカウントを複数のプロジェクトとエージェントで使用する場合は、サービス アカウント メンバーを追加する必要があります。サービス アカウントに関連付けらたメールアドレスを確認するには、Cloud Console で IAM の [サービス アカウント] ページをご覧ください。

メンバーを追加するには:

1. ページ上部の追加ボタン（add）をクリックします。
2. メンバーのメールアドレスを入力します。
3. 役割を選択します。
4. [保存] をクリックします。

権限を変更する

1. メンバーの編集ボタン（edit）をクリックします。
2. 別の役割を選択します。
3. [保存] をクリックします。

メンバーを削除する

1. メンバーの削除ボタン（ delete ）をクリックします。

Dialogflow コンソールによるアクセス制御

エージェントの設定内に共有オプションがあります。エージェント共有設定を開くには、次の手順を行います。

1. Dialogflow ES コンソールに移動します。
2. 左側のサイドバー メニューの上部付近でエージェントを選択します。
3. エージェント名の横にある設定ボタン（settings）をクリックします。
4. [Share] タブをクリックします。必要とされるエージェント管理者のロールを持たない場合は、[Share] タブが表示されません。

ユーザーを追加する

1. [Invite New People] の下に、ユーザーのメールアドレスを入力します。
2. 役割を選択します。
3. [Add] をクリックします。
4. [Save] をクリックします。

権限を変更する

1. 対象とするユーザーをリスト内で見つけます。
2. 別の役割を選択します。
3. [Save] をクリックします。

ユーザーを削除する

1. 対象とするユーザーをリスト内で見つけます。

2. ユーザーの削除ボタン（clear）をクリックします。

3. [保存] をクリックします。

サービス アカウントの自動作成

エージェントを作成して使用すると、Dialogflow によって一部の Google 管理のサービス アカウントが自動的に作成されます。

これらのサービス アカウントを表示するには、[IAM] ページで [Google 提供のロール付与を含みます] オプションを有効にします。

これらのサービス アカウントについては、キーの削除、編集、ダウンロードを行わないでください。このようなサービス アカウントを使用して API を直接呼び出しないでください。これらの名前は、エージェントで使用されるさまざまな Google Cloud サービスへの接続に Dialogflow サービスによってのみ使用されます。特定の Dialogflow 機能の構成時に、メールでこれらのサービス アカウントを参照する必要がある場合があります。

次の表に、これらのサービス アカウントの一部を示します。

IAM メールフォーム	目的
service-project-number @gcp-sa-dialogflow.iam.gserviceaccount.com	エージェントを統合トラフィックを処理するサービスに接続するために使用します。
firebase-adminsdk-alphanum @project-id.iam.gserviceaccount.com	エージェントをGoogle アシスタントの統合トラフィックを処理するサービスに接続するために使用します。
project-id @appspot.gserviceaccount.com	エージェントをGoogle アシスタントの統合トラフィックを処理するサービスに接続するために使用します。

管理者ロールの転送

エージェントの管理者ロールを転送するには、既存の管理者が上記の手順に沿って新しい管理者を追加する必要があります。新しい管理者が付与されたロールを受け入れたら、古い管理者を削除しても安全です。

既存の管理者が退職し、管理者のロールを別の従業員に転送する必要がある場合は、次の 2 つの方法があります。

• エージェントのプロジェクトに関連付けられている組織の管理者が、エージェントの管理者を変更する権限を持つ。
• エージェントに対する読み取り権限がある場合は、エージェントをエクスポートして、目的の従業員が管理者になっているエージェントにインポートできます。エージェントが移行され、統合が更新される間、本番環境で動作しているエージェントでダウンタイムが発生する可能性があります。

OAuth

Google クライアント ライブラリを使用して Dialogflow にアクセスする場合、OAuth を直接使用する必要はありません。これらのライブラリが実装を自動的に処理します。ただし、独自のクライアントを実装する場合は、独自の OAuth フローの実装が必要になる場合があります。Dialogflow API にアクセスするには、次のいずれかの OAuth スコープが必要です。

• https://www.googleapis.com/auth/cloud-platform （すべてのプロジェクト リソースへのアクセス）
• https://www.googleapis.com/auth/dialogflow （Dialogflow リソースへのアクセス）

Cloud Storage へのアクセスに関連するリクエスト

一部の Dialogflow リクエストは、データの読み取りと書き込みのために Cloud Storage 内のオブジェクトにアクセスします。これらのリクエストのいずれかを呼び出すと、Dialogflow は呼び出し元の代わりに Cloud Storage データにアクセスします。つまり、リクエスト認証には、Dialogflow と Cloud Storage オブジェクトにアクセスする権限が必要です。

Google クライアント ライブラリと IAM 役割を使用する場合、Cloud Storage の役割の情報にはCloud Storage アクセス制御ガイドをご覧ください。

独自のクライアントを実装し、OAuth を使用する場合は、次の OAuth スコープを使用する必要があります。

• https://www.googleapis.com/auth/cloud-platform （すべてのプロジェクト リソースへのアクセス）