您可以将 VPC Service Controls 与 Contact Center AI 平台 (CCAI Platform) 搭配使用,以帮助降低联络中心发生数据渗漏的风险。将 CCAI Platform 实例纳入 VPC Service Controls 边界后,该实例将无法与边界外的 Google Cloud 服务(例如 Cloud Storage 或 Dialogflow CX)交换数据。您还可以通过在受限服务列表中添加 CCAI Platform API 来进一步保护实例。然后,您可以创建访问权限级别,以仅允许管理员访问您的实例。
请注意,将实例纳入边界范围并不会限制该实例与第三方(非Google Cloud)服务交换数据。为了限制与第三方服务的数据交换,Google 建议使用 Private Service Connect 为实例设置专用入站流量和专用出站流量。如需了解详情,请参阅 Private Service Connect。
创建边界并限制对实例的访问权限
您可以在 Google Cloud 控制台中创建安全边界,并限制用户创建和修改 CCAI 平台实例的能力。完成此操作后,请使用访问权限级别明确授予您希望创建和修改实例的用户相应权限。如需了解详情,请参阅允许访问受保护的资源。
如需创建边界并限制对实例的访问权限,请按照创建服务边界中的说明操作,同时满足以下要求:
在要保护的资源窗格中添加资源时,请选择包含要纳入边界的 CCAI Platform 实例的项目。
在受限服务窗格中限制服务时,请选择 CCAI Platform API。
您的实例现在位于边界内,并且您已将 CCAI Platform API 指定为受限服务。这意味着,除非您使用访问权限级别明确授予用户相应权限,否则任何用户都无法在您的边界内创建或修改 CCAI Platform 实例。如需了解详情,请参阅允许访问受保护的资源。
代理适配器依赖项
代理适配器依赖于以下服务:
如果您选择通过将这些服务纳入边界的受限服务列表来限制这些服务,则无法从边界外部调用以下 API:
identitytoolkit.googleapis.com(来自 Identity Platform 服务)securetoken.googleapis.com(来自 Identity Platform 服务)storage.googleapis.com(来自 Cloud Storage 服务)firestore.googleapis.com(来自 Firestore 服务)
代理适配器依赖于这些 API,因此如果您限制这些 API,则需要允许代理适配器用户访问这些 API。如需了解详情,请参阅允许访问受保护的资源。
允许访问您的受保护资源
本部分介绍如何允许访问受保护的资源。
配置访问权限级别
配置访问权限级别,以允许访问您在创建边界并限制对实例的访问权限中限制的任何资源。
如需创建访问权限级别,请按照创建访问权限级别中的说明操作,同时满足以下要求:
指定一个条件,允许管理员访问受限的 CCAI 平台 API 服务。这样一来,他们就可以在Google Cloud 控制台中管理实例。该条件必须包含管理员的访问权限级别属性。
可选(如果您限制了 Identity Platform、Cloud Storage 或 Firestore 服务):指定一个条件,允许代理适配器的用户访问受限的 Identity Platform、Cloud Storage 或 Firestore 服务。该条件必须包含代理适配器用户的访问权限级别属性。
专用 Google 访问通道
如果您的使用情形需要,您可以使用专用 Google 访问通道来允许访问边界内的受限资源,而不是使用访问权限级别。如需了解详情,请参阅配置适用于本地主机的专用 Google 访问通道。