Mit VPC Service Controls können Sie das Risiko der Daten-Exfiltration aus Ihrem Contact Center verringern. Wenn Sie eine CCAI Platform-Instanz in einen VPC Service Controls-Perimeter einbeziehen, kann die Instanz keine Daten mit Google Cloud -Diensten (z. B. Cloud Storage oder Dialogflow CX) austauschen, die sich außerhalb des Perimeters befinden. Sie können Ihre Instanz weiter schützen, indem Sie die CCAI Platform API in Ihre Liste der eingeschränkten Dienste aufnehmen. Anschließend können Sie eine Zugriffsebene erstellen, damit nur Ihre Administratoren auf Ihre Instanz zugreifen können.
Wenn Sie eine Instanz in Ihren Perimeter aufnehmen, wird dadurch nicht verhindert, dass die Instanz Daten mit Drittanbieterdiensten (nichtGoogle Cloud) austauscht. Um den Datenaustausch mit Drittanbieterdiensten einzuschränken, empfiehlt Google, Private Service Connect zu verwenden, um privaten Ingress und privaten Egress für Ihre Instanz einzurichten. Weitere Informationen finden Sie unter Private Service Connect.
Perimeter erstellen und Zugriff auf eine Instanz einschränken
Sie können einen Perimeter erstellen und die Möglichkeit für Nutzer einschränken, CCAI Platform-Instanzen in der Google Cloud -Konsole zu erstellen und zu bearbeiten. Verwenden Sie danach eine Zugriffsebene, um den Nutzern, die Instanzen erstellen und bearbeiten sollen, explizit Zugriff zu gewähren. Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen zulassen.
Wenn Sie einen Perimeter erstellen und den Zugriff auf eine Instanz einschränken möchten, folgen Sie der Anleitung unter Dienstperimeter erstellen und beachten Sie dabei die folgenden Anforderungen:
Wenn Sie im Bereich Zu schützende Ressourcen Ressourcen hinzufügen, wählen Sie das Projekt aus, das die CCAI Platform-Instanz enthält, die Sie in den Perimeter aufnehmen möchten.
Wenn Sie Dienste im Bereich Eingeschränkte Dienste einschränken, wählen Sie CCAI Platform API aus.
Ihre Instanz befindet sich jetzt innerhalb eines Perimeters und Sie haben die CCAI Platform API als eingeschränkten Dienst angegeben. Das bedeutet, dass kein Nutzer eine CCAI Platform-Instanz in Ihrem Perimeter erstellen oder bearbeiten kann, es sei denn, Sie gewähren ihm mit einer Zugriffsebene explizit Zugriff darauf. Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen zulassen.
Abhängigkeiten des Agent-Adapters
Der Agent-Adapter ist von den folgenden Diensten abhängig:
Wenn Sie diese Dienste einschränken möchten, indem Sie sie in die Liste der eingeschränkten Dienste in Ihrem Perimeter aufnehmen, können die folgenden APIs nicht von außerhalb des Perimeters aufgerufen werden:
identitytoolkit.googleapis.com(vom Identity Platform-Dienst)securetoken.googleapis.com(vom Identity Platform-Dienst)storage.googleapis.com(aus dem Cloud Storage-Dienst)firestore.googleapis.com(aus dem Firestore-Dienst)
Der Agent-Adapter ist von diesen APIs abhängig. Wenn Sie sie einschränken, müssen Sie den Zugriff darauf für die Nutzer Ihres Agent-Adapters zulassen. Weitere Informationen finden Sie unter Zugriff auf geschützte Ressourcen zulassen.
Zugriff auf Ihre geschützten Ressourcen zulassen
In diesem Abschnitt wird beschrieben, wie Sie den Zugriff auf Ihre geschützten Ressourcen zulassen.
Zugriffsebene konfigurieren
Konfigurieren Sie eine Zugriffsebene, um den Zugriff auf alle Ressourcen zu ermöglichen, die Sie unter Perimeter erstellen und Zugriff auf eine Instanz einschränken eingeschränkt haben.
Folgen Sie der Anleitung unter Zugriffsebene erstellen, um eine Zugriffsebene zu erstellen, die die folgenden Anforderungen erfüllt:
Geben Sie eine Bedingung an, mit der Ihre Administratoren auf den eingeschränkten CCAI Platform API-Dienst zugreifen können. So können sie Instanzen in derGoogle Cloud Console verwalten. Die Bedingung muss ein Attribut für die Zugriffsebene Ihrer Administratoren enthalten.
Optional (wenn Sie die Dienste Identity Platform, Cloud Storage oder Firestore eingeschränkt haben): Geben Sie eine Bedingung an, mit der die Nutzer des Agent-Adapters auf die eingeschränkten Dienste Identity Platform, Cloud Storage oder Firestore zugreifen können. Die Bedingung muss ein Attribut für die Zugriffsebene Ihrer Nutzer des Agent-Adapters enthalten.
Privater Google-Zugriff
Wenn Ihr Anwendungsfall dies erfordert, können Sie den privater Google-Zugriff verwenden, um den Zugriff auf eingeschränkte Ressourcen innerhalb eines Perimeters zu ermöglichen, anstatt eine Zugriffsebene zu verwenden. Weitere Informationen finden Sie unter Privaten Google-Zugriff für lokale Hosts konfigurieren.