Vous pouvez utiliser VPC Service Controls avec Contact Center AI Platform (CCAI Platform) pour limiter le risque d'exfiltration de données de votre centre de contact. Lorsque vous incluez une instance CCAI Platform dans un périmètre VPC Service Controls, l'instance ne peut pas échanger de données avec les services Google Cloud (tels que Cloud Storage ou Dialogflow CX) qui se trouvent en dehors du périmètre. Vous pouvez renforcer la sécurité de votre instance en incluant l'API CCAI Platform dans votre liste de services restreints. Vous pouvez ensuite créer un niveau d'accès pour autoriser uniquement vos administrateurs à accéder à votre instance.
Notez que l'inclusion d'une instance dans votre périmètre ne l'empêche pas d'échanger des données avec des services tiers (non-Google Cloud). Pour limiter l'échange de données avec des services tiers, Google recommande d'utiliser Private Service Connect pour configurer l'entrée et la sortie privées de votre instance. Pour en savoir plus, consultez Private Service Connect.
Créer un périmètre et limiter l'accès à une instance
Vous pouvez créer un périmètre et empêcher les utilisateurs de créer et de modifier des instances de la plate-forme CCAI dans la console Google Cloud . Ensuite, utilisez un niveau d'accès pour accorder explicitement l'accès aux utilisateurs qui peuvent créer et modifier des instances. Pour en savoir plus, consultez Autoriser l'accès à vos ressources protégées.
Pour créer un périmètre et restreindre l'accès à une instance, suivez les instructions de la section Créer un périmètre de service en respectant les exigences suivantes :
Lorsque vous ajoutez des ressources dans le volet Ressources à protéger, sélectionnez le projet contenant l'instance CCAI Platform que vous souhaitez inclure dans le périmètre.
Lorsque vous limitez des services dans le volet Services restreints, sélectionnez API CCAI Platform.
Votre instance se trouve désormais dans un périmètre et vous avez spécifié l'API CCAI Platform comme service restreint. Cela signifie qu'aucun utilisateur ne peut créer ni modifier une instance CCAI Platform dans votre périmètre, sauf si vous utilisez un niveau d'accès pour lui accorder explicitement l'autorisation de le faire. Pour en savoir plus, consultez Autoriser l'accès à vos ressources protégées.
Dépendances de l'adaptateur d'agent
L'adaptateur d'agent dépend des services suivants :
Si vous choisissez de restreindre ces services en les incluant dans la liste des services restreints de votre périmètre, les API suivantes ne pourront pas être appelées depuis l'extérieur du périmètre :
identitytoolkit.googleapis.com(depuis le service Identity Platform)securetoken.googleapis.com(depuis le service Identity Platform)storage.googleapis.com(depuis le service Cloud Storage)firestore.googleapis.com(depuis le service Firestore)
L'adaptateur d'agent dépend de ces API. Par conséquent, si vous les limitez, vous devez autoriser l'accès à ces API pour les utilisateurs de votre adaptateur d'agent. Pour en savoir plus, consultez Autoriser l'accès à vos ressources protégées.
Autoriser l'accès à vos ressources protégées
Cette section vous explique comment autoriser l'accès à vos ressources protégées.
Configurer un niveau d'accès
Configurez un niveau d'accès pour autoriser l'accès à toutes les ressources que vous avez restreintes dans Créer un périmètre et restreindre l'accès à une instance.
Pour créer un niveau d'accès, suivez les instructions de la section Créer un niveau d'accès en respectant les exigences suivantes :
Spécifiez une condition qui permet à vos administrateurs d'accéder au service d'API CCAI Platform à accès restreint. Cela leur permettra de gérer les instances dans la consoleGoogle Cloud . La condition doit inclure un attribut de niveau d'accès pour vos administrateurs.
Facultatif (si vous avez limité les services Identity Platform, Cloud Storage ou Firestore) : spécifiez une condition qui permet aux utilisateurs de l'adaptateur d'agent d'accéder aux services Identity Platform, Cloud Storage ou Firestore limités. La condition doit inclure un attribut de niveau d'accès de vos utilisateurs de l'adaptateur d'agent.
Accès privé à Google
Si votre cas d'utilisation l'exige, vous pouvez utiliser l'accès privé à Google pour autoriser l'accès aux ressources restreintes dans un périmètre au lieu d'utiliser un niveau d'accès. Pour en savoir plus, consultez Configurer l'accès privé à Google pour les hôtes sur site.