アクセス制御

一般的に、エージェントの作成は複数のチームメンバーが共同で行います。役割を使用して、チームメンバーに付与されるアクセス権と権限を制御できます。

API を使用することによって、1 つまたは複数のアプリケーションから特定のエージェントにリクエストを送信できます。この場合、サービス アカウントによってアクセスを制御できます。

Identity and Access Management(IAM)または Dialogflow コンソールを使用してアクセスを制御できます。次のような状況では、Google Cloud Console を使用する必要があります。

  • Dialogflow コンソールでは、エージェントを作成したユーザーにオーナー / 管理者の役割が提供されます。オーナー / 管理者の変更、1 つのエージェントへの複数のオーナー / 管理者の追加、1 つのエージェントからのオーナー / 管理者の削除を行う場合は、Cloud Console を使用する必要があります。
  • 他の Google Cloud リソース(Cloud Functions など)を統合していて、プロジェクトに対する完全なアクセス権をアプリケーションに付与したくない場合は、Cloud Console for IAMで Dialogflow API ロール(管理者、クライアント、または読み取り)を割り当てる必要があります。
  • IAM ロールのサブセットには、対応する Dialogflow コンソールのロールがあります。Dialogflow コンソールに存在しないロールを付与するには、Cloud Console を使用する必要があります。

役割

次の表は、Dialogflow に関連するすべての役割を示しています。 表中の権限の概要では、次の用語を使用します。

  • 完全なアクセス権: リソースの変更、作成、削除、編集、読み取りの権限。
  • 編集権限: リソースを作成、削除、編集、読み取りの権限。
  • 読み取りアクセス権: リソースの読み取り権限。
Dialogflow コンソールの役割 IAM ロール 権限の概要 権限の詳細
管理 プロジェクト >
オーナー		 すべての Google Cloud および Dialogflow リソースに対する完全アクセス権を必要とするプロジェクト オーナーに付与します。
  • Cloud Console または API を使用して、すべての Google Cloud プロジェクトのリソースに完全にアクセス可能です。
  • Dialogflow コンソールを使用した、エージェントに対する完全なアクセス権限。
  • API を使用してインテントを検出できます。
  • Dialogflow コンソールや API を使用してエージェントのエディションを変更できます。
 IAM の基本役割の定義をご覧ください。
デベロッパー プロジェクト ->
編集者		 すべての Google Cloud および Dialogflow リソースに対する編集アクセス権が必要なプロジェクト編集者に付与します。
  • Cloud Console または API を使用した、すべての Cloud プロジェクトのリソースに対する編集権限。
  • Dialogflow コンソールを使用した、エージェントに対する編集権限。
  • API を使用してインテントを検出できます。
 IAM の基本役割の定義をご覧ください。
審査担当者 プロジェクト >
閲覧者		 すべての Google Cloud および Dialogflow リソースに対する読み取りアクセス権が必要なプロジェクト閲覧者に付与します。
  • Cloud Console または API を使用した、すべての Cloud プロジェクトのリソースに対する読み取りアクセス権。
  • Dialogflow コンソールを使用したエージェントへの読み取りアクセス権。
  • API を使用してインテントを検出することはできません。
 IAM の基本役割の定義をご覧ください。
なし プロジェクト >
参照者		 フォルダ、組織、IAM ポリシーなど、プロジェクトの階層を参照するための読み取りアクセス権が必要なプロジェクト参照者に付与します。
  • Cloud プロジェクト階層に対する読み取りアクセスが可能です。
  • Dialogflow コンソールを使用してエージェントにアクセスすることはできません。
  • API を使用してインテントを検出することはできません。
 IAM プロジェクト ロールの定義をご覧ください。
なし Dialogflow >
Dialogflow API 管理者		 Dialogflow 固有のリソースへの完全アクセス権が必要な Dialogflow API 管理者に付与します。
  • Cloud Console または API を使用した、すべての Dialogflow リソースに対する完全なアクセス権。
  • Dialogflow コンソールを使用したエージェントへの読み取りアクセス権。
  • API を使用してインテントを検出できます。
 Dialogflow IAM ロールの定義をご覧ください。
なし Dialogflow >
Dialogflow API クライアント		 API を使用して Dialogflow 固有の編集を実行し、インテント呼び出しを検出する Dialogflow API クライアントに付与します。
  • Cloud Console または API を使用した、すべての Dialogflow リソースに対する編集アクセス権。
  • Dialogflow コンソールを使用してエージェントにアクセスすることはできません。
  • API を使用してインテントを検出できます。
 Dialogflow IAM ロールの定義をご覧ください。
なし Dialogflow >
Dialogflow コンソール エージェント編集者		 既存のエージェントを編集する Dialogflow コンソール編集者に付与します。
  • Cloud Console を使用するすべての Dialogflow リソースに対する完全なアクセス権。
  • Dialogflow コンソールを使用して、ほとんどのエージェント データに対して編集アクセスを行うことができます。Cloud Functions または Google アシスタントを統合するためのインライン エディタにはアクセスできません。
  • API を使用してインテントを検出できます。
 Dialogflow IAM ロールの定義をご覧ください。
なし Dialogflow >
Dialogflow API 読み取り		 API を使用して Dialogflow 固有の読み取り専用呼び出しを実行する Dialogflow API クライアントに付与します。
  • Cloud Console または API を使用した、すべての Dialogflow リソースに対する読み取りアクセス権。
  • Dialogflow コンソールを使用したエージェントへの読み取りアクセス権。
  • API を使用してインテントを検出することはできません。
 Dialogflow IAM ロールの定義をご覧ください。

Cloud Console でのアクセス制御

IAM 設定を使用してアクセスを制御できます。権限の追加、編集、削除の詳細な手順については、IAM クイックスタートをご覧ください。

以下の設定にアクセスするには、Cloud Console で [IAM] ページを開きます。

プロジェクトにユーザーやサービス アカウントを追加する

ユーザーやサービス アカウントに権限を付与するには、Cloud プロジェクトでロールを付与します。ユーザーを追加するには、そのユーザーのメールアドレスを入力します。サービス アカウントを追加する場合も、そのアカウントに関連付けられているメールアドレスを入力します。1 つのサービス アカウントを複数のプロジェクトとエージェントで使用する場合は、サービス アカウント メンバーを追加する必要があります。サービス アカウントに関連付けらたメールアドレスを確認するには、Cloud Console で IAM の [サービス アカウント] ページをご覧ください。

メンバーを追加するには:

  1. ページ上部の追加ボタン()をクリックします。
  2. メンバーのメールアドレスを入力します。
  3. 役割を選択します。
  4. [保存] をクリックします。

権限を変更する

  1. メンバーの編集ボタン()をクリックします。
  2. 別の役割を選択します。
  3. [保存] をクリックします。

メンバーを削除する

  1. メンバーの削除ボタン()をクリックします。

Dialogflow コンソールによるアクセス制御

エージェントの設定内に共有オプションがあります。エージェント共有設定を開くには、次の手順を行います。

  1. Dialogflow ES コンソールに移動します。
  2. 左側のサイドバー メニューの上部付近でエージェントを選択します。
  3. エージェント名の横にある設定ボタン()をクリックします。
  4. [Share] タブをクリックします。必要とされるオーナー / 管理者の役割を持たない場合は、[Share] タブが表示されません。

アクセスレベルとともにユーザーを表示する[Share] タブ。

ユーザーを追加する

  1. [Invite New People] の下に、ユーザーのメールアドレスを入力します。
  2. 役割を選択します。
  3. [Add] をクリックします。
  4. [Save] をクリックします。

権限を変更する

  1. 対象とするユーザーをリスト内で見つけます。
  2. 別の役割を選択します。
  3. [Save] をクリックします。

ユーザーを削除する

  1. 対象とするユーザーをリスト内で見つけます。
  2. ユーザーの削除ボタン()をクリックします。
  3. [保存] をクリックします。

サービス アカウントの自動作成

エージェントを作成して使用すると、Dialogflow によって一部の Google 管理のサービス アカウントが自動的に作成されます。

これらのサービス アカウントを表示するには、[IAM] ページで [Google 提供のロール付与を含みます] オプションを有効にします。

これらのサービス アカウントについては、キーの削除、編集、ダウンロードを行わないでください。このようなサービス アカウントを使用して API を直接呼び出しないでください。これらの名前は、エージェントで使用されるさまざまな Google Cloud サービスへの接続に Dialogflow サービスによってのみ使用されます。特定の Dialogflow 機能の構成時に、メールでこれらのサービス アカウントを参照する必要がある場合があります。

次の表に、これらのサービス アカウントの一部を示します。

IAM メールフォーム 目的
service-project-number
@gcp-sa-dialogflow.iam.gserviceaccount.com		 エージェントを統合トラフィックを処理するサービスに接続するために使用します。
firebase-adminsdk-alphanum
@project-id.iam.gserviceaccount.com		 エージェントをGoogle アシスタントの統合トラフィックを処理するサービスに接続するために使用します。
project-id
@appspot.gserviceaccount.com		 エージェントをGoogle アシスタントの統合トラフィックを処理するサービスに接続するために使用します。

オーナー権限を譲渡する

エージェントの所有権を譲渡するには、既存の所有者が上記の手順に沿って新しいオーナーを追加する必要があります。新しいオーナーが付与されたロールを受け入れたら、古いオーナーを削除しても安全です。

組織内の既存の所有者が退職し、別の従業員に所有権を移行する必要がある場合は、次の 2 つの方法があります。

  • エージェントのプロジェクトに関連付けられている組織の管理者が、エージェントのオーナーを変更する権限を持つ。
  • エージェントの読み取り権限がある場合は、エージェントをエクスポートし、目的の従業員が所有するエージェントにインポートできます。エージェントが移行され、統合が更新される間、本番環境で動作しているエージェントでダウンタイムが発生する可能性があります。
前へ
トレーニング
次へ
複数のプロジェクトの使用