您可以搭配使用 VPC Service Controls 和 Contact Center AI Platform (CCAI Platform),降低客服中心資料遭竊取的風險。將 CCAI Platform 執行個體納入 VPC Service Controls 範圍後,該執行個體就無法與範圍外的服務 (例如 Cloud Storage 或 Dialogflow CX) 交換資料。 Google Cloud 如要進一步保護執行個體,請在受限制的服務清單中加入 CCAI Platform API。接著,您可以建立存取層級,只允許管理員存取執行個體。
請注意,將執行個體納入安全範圍,並不會限制執行個體與第三方 (非Google Cloud) 服務交換資料。如要限制與第三方服務交換資料,Google 建議使用 Private Service Connect 為執行個體設定私人輸入和私人輸出。詳情請參閱「Private Service Connect」。
建立 perimeter 並限制執行個體的存取權
您可以建立安全防護範圍,並限制使用者在 Google Cloud 控制台中建立及編輯 CCAI Platform 執行個體。完成後,請使用存取層級,明確授予要建立及編輯執行個體的使用者存取權。詳情請參閱「允許存取受保護的資源」。
如要建立範圍並限制執行個體的存取權,請按照「建立服務範圍」一文中的操作說明進行,同時符合下列規定:
在「Resources to protect」(要保護的資源) 窗格中新增資源時,請選取包含要納入範圍的 CCAI Platform 執行個體專案。
在「受限制的服務」窗格中限制服務時,請選取「CCAI Platform API」。
您的執行個體現在位於 perimeter 內,且您已將 CCAI Platform API 指定為受限服務。也就是說,除非您使用存取層級明確授予使用者權限,否則任何人都無法在 perimeter 內建立或編輯 CCAI Platform 執行個體。詳情請參閱「允許存取受保護資源」。
代理程式介面卡依附元件
代理程式轉接程式依附下列服務:
如果您選擇將這些服務納入服務範圍的受限服務清單,從服務範圍外就無法呼叫下列 API:
identitytoolkit.googleapis.com(來自 Identity Platform 服務)securetoken.googleapis.com(來自 Identity Platform 服務)storage.googleapis.com(來自 Cloud Storage 服務)firestore.googleapis.com(來自 Firestore 服務)
代理程式介面卡會用到這些 API,因此如果限制存取,請務必允許代理程式介面卡使用者存取這些 API。詳情請參閱「允許存取受保護的資源」。
允許存取受保護的資源
本節說明如何允許存取受保護的資源。
設定存取層級
設定存取層級,允許存取您在「建立 perimeter 並限制執行個體存取權」中限制的任何資源。
如要建立存取層級,請按照「建立存取層級」中的操作說明,並符合下列規定:
指定條件,允許管理員存取受限制的 CC AI Platform API 服務。這樣一來,他們就能在Google Cloud 控制台中管理執行個體。條件必須包含管理員的存取層級屬性。
選用 (如果您限制 Identity Platform、Cloud Storage 或 Firestore 服務):指定條件,允許代理程式介面卡的使用者存取受限的 Identity Platform、Cloud Storage 或 Firestore 服務。條件必須包含代理程式介面卡使用者的存取層級屬性。
私人 Google 存取權
如果您的用途需要,可以使用 Private Google Access 允許存取 perimeter 內的受限資源,而不必使用存取層級。詳情請參閱「設定內部部署主機的私人 Google 存取權」。