É possível usar o VPC Service Controls com a Contact Center AI Platform (CCAI Platform) para reduzir o risco de exfiltração de dados da sua central de atendimento. Quando você inclui uma instância da plataforma de CCAI em um perímetro do VPC Service Controls, ela não pode trocar dados com serviços do Google Cloud (como o Cloud Storage ou o Dialogflow CX) que estão fora do perímetro. Para aumentar a segurança da sua instância, inclua a API CCAI Platform na lista de serviços restritos. Em seguida, crie um nível de acesso para permitir que apenas seus administradores acessem a instância.
Incluir uma instância no seu perímetro não impede que ela troque dados com serviços de terceiros (nãoGoogle Cloud). Para restringir a troca de dados com serviços de terceiros, o Google recomenda usar o Private Service Connect para configurar a entrada e saída particulares da sua instância. Para mais informações, consulte Private Service Connect.
Criar um perímetro e restringir o acesso a uma instância
É possível criar um perímetro e restringir a capacidade dos usuários de criar e editar instâncias da plataforma CCAI no console do Google Cloud . Depois disso, use um nível de acesso para conceder acesso explícito aos usuários que você quer criar e editar instâncias. Para mais informações, consulte Permitir acesso aos seus recursos protegidos.
Para criar um perímetro e restringir o acesso a uma instância, siga as instruções em Criar um perímetro de serviço e atenda a estes requisitos:
Ao adicionar recursos no painel Recursos a serem protegidos, selecione o projeto que contém a instância da plataforma CCAI que você quer incluir no perímetro.
Ao restringir serviços no painel Serviços restritos, selecione API da plataforma CCAI.
Sua instância agora está dentro de um perímetro, e você especificou a API CCAI Platform como um serviço restrito. Isso significa que nenhum usuário pode criar ou editar uma instância da plataforma CCAI no seu perímetro, a menos que você use um nível de acesso para conceder acesso explicitamente. Para mais informações, consulte Permitir acesso aos seus recursos protegidos.
Dependências do adaptador do agente
O adaptador de agente depende dos seguintes serviços:
Se você optar por restringir esses serviços incluindo-os na lista de serviços restritos no seu perímetro, as seguintes APIs não poderão ser chamadas de fora do perímetro:
identitytoolkit.googleapis.com(do serviço do Identity Platform)securetoken.googleapis.com(do serviço do Identity Platform)storage.googleapis.com(do serviço do Cloud Storage)firestore.googleapis.com(do serviço do Firestore)
O adaptador de agente depende dessas APIs. Portanto, se você as restringir, precisará permitir o acesso a elas para os usuários do adaptador. Para mais informações, consulte Permitir acesso aos seus recursos protegidos.
Permitir acesso aos seus recursos protegidos
Esta seção mostra como permitir o acesso aos seus recursos protegidos.
Configurar um nível de acesso
Configure um nível de acesso para permitir o acesso a todos os recursos que você restringiu em Criar um perímetro e restringir o acesso a uma instância.
Para criar um nível de acesso, siga as instruções em Criar um nível de acesso e atenda a estes requisitos:
Especifique uma condição que permita aos administradores acessar o serviço restrito da API da plataforma de CCAI. Isso permite que eles gerenciem instâncias no consoleGoogle Cloud . A condição precisa incluir um atributo de nível de acesso dos seus administradores.
Opcional (se você restringiu os serviços do Identity Platform, do Cloud Storage ou do Firestore): especifique uma condição que permita aos usuários do adaptador do agente acessar os serviços restritos do Identity Platform, do Cloud Storage ou do Firestore. A condição precisa incluir um atributo de nível de acesso dos usuários do adaptador de agente.
Acesso privado do Google
Se o caso de uso exigir, use o Acesso privado do Google para permitir o acesso a recursos restritos em um perímetro em vez de usar um nível de acesso. Para mais informações, consulte Configurar o Acesso privado do Google para hosts locais.