VPC Service Controls を Contact Center AI Platform(CCAI Platform)で使用すると、コンタクト センターからのデータ漏洩のリスクを軽減できます。CCAI Platform インスタンスを VPC Service Controls の境界内に含めると、インスタンスは境界外の Google Cloud サービス(Cloud Storage や Dialogflow CX など)とデータを交換できなくなります。制限付きサービスのリストに CCAI Platform API を含めることで、インスタンスのセキュリティを強化できます。次に、アクセスレベルを作成して、管理者のみがインスタンスにアクセスできるようにします。
インスタンスを境界に含めても、インスタンスがサードパーティ(Google Cloud以外)のサービスとデータを交換することを制限することはできません。サードパーティ サービスとのデータ交換を制限するには、Private Service Connect を使用して、インスタンスのプライベート上り(内向き)とプライベート下り(外向き)を設定することをおすすめします。詳細については、Private Service Connect をご覧ください。
境界を作成してインスタンスへのアクセスを制限する
境界を作成し、 Google Cloud コンソールでユーザーが CCAI Platform インスタンスを作成および編集する機能を制限できます。この操作を行った後、アクセスレベルを使用して、インスタンスの作成と編集を行うユーザーに明示的にアクセス権を付与します。詳細については、保護されたリソースへのアクセスを許可するをご覧ください。
境界を作成してインスタンスへのアクセスを制限するには、次の要件を満たしながら、サービス境界の作成の手順に沿って操作します。
[保護するリソース] ペインでリソースを追加するときに、境界に含める CCAI Platform インスタンスを含むプロジェクトを選択します。
[制限付きサービス] ペインでサービスを制限する場合は、[CCAI Platform API] を選択します。
インスタンスが境界内に配置され、CCAI Platform API が制限付きサービスとして指定されました。つまり、アクセスレベルを使用して明示的にアクセス権を付与しない限り、境界内の CCAI Platform インスタンスを作成または編集できるユーザーはいません。詳細については、保護されたリソースへのアクセスを許可するをご覧ください。
エージェント アダプタの依存関係
エージェント アダプタは次のサービスに依存します。
これらのサービスを境界の制限付きサービスのリストに含めて制限する場合、次の API は境界外から呼び出すことができません。
identitytoolkit.googleapis.com(Identity Platform サービスから)securetoken.googleapis.com(Identity Platform サービスから)storage.googleapis.com(Cloud Storage サービスから)firestore.googleapis.com(Firestore サービスから)
エージェント アダプタはこれらの API に依存しているため、これらの API を制限する場合は、エージェント アダプタ ユーザーにアクセスを許可する必要があります。詳細については、保護されたリソースへのアクセスを許可するをご覧ください。
保護されたリソースへのアクセスを許可する
このセクションでは、保護されたリソースへのアクセスを許可する方法について説明します。
アクセスレベルを構成する
アクセスレベルを構成して、境界を作成してインスタンスへのアクセスを制限するで制限したリソースへのアクセスを許可します。
アクセスレベルを作成するには、アクセスレベルを作成するの手順に沿って、次の要件を満たします。
管理者が制限付き CCAI Platform API サービスにアクセスできるようにする条件を指定します。これにより、Google Cloud コンソールでインスタンスを管理できるようになります。条件には、管理者のアクセスレベル属性を含める必要があります。
省略可(Identity Platform、Cloud Storage、Firestore サービスを制限した場合): エージェント アダプタのユーザーが制限された Identity Platform、Cloud Storage、Firestore サービスにアクセスできるようにする条件を指定します。条件には、エージェント アダプタのユーザーのアクセスレベル属性を含める必要があります。
限定公開の Google アクセス
ユースケースで必要な場合は、アクセスレベルを使用する代わりに、限定公開の Google アクセスを使用して、境界内の制限付きリソースへのアクセスを許可できます。詳細については、オンプレミス ホスト用の限定公開の Google アクセスの構成をご覧ください。