전체 데이터 세트에 대한 액세스 권한을 부여하지 않고도 대화 데이터의 특정 부분에 대한 액세스 권한을 사용자에게 부여할 수 있습니다. 승인된 뷰를 사용하면 이러한 세분화된 액세스 제어가 가능합니다. 다음 추천에는 승인된 뷰를 사용하여 세분화된 액세스 제어를 구현하기 위한 권장사항이 포함되어 있습니다.
범위가 지정된 승인된 뷰
승인된 뷰의 범위를 적절하게 지정하면 사용자에게 필요한 데이터에만 액세스할 수 있습니다. 뷰 범위 지정에는 각 승인된 뷰에서 노출하는 데이터를 신중하게 정의하는 작업이 포함됩니다. 범위가 적절하게 지정된 뷰는 필요한 데이터에 대한 액세스만 제한하는 반면, 범위가 부적절하게 지정된 뷰는 의도한 것보다 더 많은 데이터를 노출할 수 있습니다.
- 데이터 신중하게 필터링: 필터 표현식을 사용하여 각 승인된 뷰에 표시할 정확한 데이터를 정의합니다. 필터가 사용자의 요구사항을 충족할 만큼 구체적인지 확인합니다.
- 에이전트별 뷰에
agent_id사용: 에이전트용 승인된 뷰를 만들 때agent_id필드를 사용하여 대화를 필터링합니다. 이렇게 하면 각 상담사는 자신의 대화에만 액세스할 수 있습니다.- 예를 들어 Carol이라는 에이전트의 필터 표현식은
agent_id = "agent-carol"입니다.
- 예를 들어 Carol이라는 에이전트의 필터 표현식은
- 관리자 전용 뷰에
agent_id사용: 관리자용 승인된 뷰를 만들 때agent_id필드를 사용하여 각 팀의 대화를 필터링합니다.- 예를 들어 Carol과 Dave 상담사를 담당하는 관리자는 필터 표현식
agent_id = "agent-carol" or agent_id = "agent-dave"를 사용할 수 있습니다.
- 예를 들어 Carol과 Dave 상담사를 담당하는 관리자는 필터 표현식
- 빈 필터 사용하지 않기: 빈 필터 또는
""는 무제한 액세스를 허용합니다.
조직에 승인된 뷰 세트 사용
승인된 뷰 세트를 사용하면 관련 승인된 뷰를 정리하고 관리할 수 있습니다. 관련 보기를 세트로 그룹화하면 한 번에 여러 보기에 대한 액세스 권한을 부여하는 프로세스가 간소화됩니다.
승인된 조회수를 세트로 그룹화하려면 다음 가이드라인을 따르세요.
- 관련 뷰 그룹화: 승인된 뷰 세트를 사용하여 관련 역할의 승인된 뷰를 그룹화합니다.
- 예를 들어 관리자의 모든 승인된 뷰를 그룹화하는
manager-views라는 승인된 뷰 세트를 만들 수 있습니다.
- 예를 들어 관리자의 모든 승인된 뷰를 그룹화하는
- 승인된 뷰 세트 수준을 통해 액세스 권한 부여: 개별 승인된 뷰에 역할을 부여하는 대신 승인된 뷰 세트에 역할을 부여합니다.
- 예를 들어 상담사의 모든 승인된 뷰가 포함된
agent-views승인된 뷰 세트에roles/contactcenterinsights.viewer역할을 부여합니다.
- 예를 들어 상담사의 모든 승인된 뷰가 포함된
프로젝트 액세스 권한 부여
사용자가 콘솔을 사용하고 프로젝트 리소스와 상호작용하려면 프로젝트 액세스 권한을 부여해야 합니다.
- 모든 승인된 사용자에게
roles/browser부여: 이 역할을 통해 사용자는 프로젝트와 리소스를 볼 수 있습니다. 이는 콘솔을 사용하기 위한 기본 요건입니다.
최소 권한의 원칙
최소 권한의 원칙은 사용자가 작업을 수행하는 데 필요한 권한만 갖도록 하는 보안 권장사항입니다. 이 원칙은 데이터 및 리소스에 대한 무단 액세스 위험을 최소화하는 데 도움이 됩니다.
최소 권한의 원칙을 적용하려면 다음 가이드라인을 따르세요.
- 필요한 최소 권한 부여: 사용자에게 작업을 수행하는 데 필요한 권한만 부여합니다. 너무 광범위한 액세스 권한을 부여하지 마세요.
- 사전 정의된 역할 사용:
roles/contactcenterinsights.editor및roles/contactcenterinsights.viewer을 사용하여 승인된 뷰에 대한 프로젝트 수준 권한을 부여합니다. 특정 승인된 뷰의 사용자에게 해당 뷰를 통해 액세스 권한을 부여하려면roles/contactcenterinsights.authorizedEditor및roles/contactcenterinsights.authorizedViewer를 사용하세요. - 승인된 뷰 세트 권한의 프로젝트 수준 부여 방지: 프로젝트 수준에서 승인된 뷰 세트 권한을 부여하면 사용자가 모든 승인된 뷰 세트에 액세스할 수 있습니다. 대신 특정 승인된 뷰 세트에 이러한 역할을 부여하세요.
- 승인된 뷰에 대한 프로젝트 수준 액세스 권한을 부여할 때 최소 권한 원칙을 사용합니다. 승인된 뷰에 필요한 최소 권한만 부여합니다. 사용자의 권한은 프로젝트에 대한 승인된 보기의 권한을 초과할 수 없습니다. 예: 승인된 보기
view-123에roles/contactcenterinsights.viewer이 있고 사용자가 승인된view-123에roles/contactcenterinsights.authorizedEditor이 있는 경우 보기의 권한이 최종 권한을 제한하므로 사용자는 아무것도 수정할 수 없습니다. - 승인된 뷰에 대한 액세스 권한을 부여할 때 최소 권한 원칙을 사용합니다. 승인된 뷰에 필요한 최소 권한만 부여합니다.
예를 들어 사용자가 특정 팀의 데이터만 확인해야 하는 경우 해당 팀에 대해 승인된 보기 세트에
roles/contactcenterinsights.authorizedViewer역할을 부여합니다.- 승인된 뷰 세트에 역할을 부여하면 한 번에 여러 뷰의 권한을 관리할 수 있습니다. 이렇게 하면 권한 관리의 복잡성이 줄어들고 사용자에게 필요한 데이터에만 액세스할 수 있습니다.
- 예를 들어 관리자는 팀에 대해 승인된 보기 세트에 대한
roles/contactcenterinsights.authorizedEditor역할을 가질 수 있고 상담사는 자신의 대화에 대해 승인된 보기 세트에 대한roles/contactcenterinsights.authorizedViewer역할을 가질 수 있습니다.
설명이 포함된 표시 이름 사용
설명이 포함된 표시 이름을 사용하면 승인된 뷰와 세트를 더 쉽게 이해하고 관리할 수 있습니다. 의미 있는 이름을 사용하면 각 리소스의 목적을 빠르게 파악할 수 있습니다.
설명적인 표시 이름을 사용하려면 다음 가이드라인을 따르세요.
- 의미 있는 표시 이름 사용: 승인된 뷰와 승인된 뷰 세트를 만들 때 뷰 또는 세트의 목적을 명확하게 나타내는 설명적인 표시 이름을 사용합니다. 이렇게 하면 리소스를 더 쉽게 이해하고 관리할 수 있습니다.
- 예를 들어
view1대신 Manager Team A Conversations(관리자 팀 A 대화) 또는 Agent Carol's Conversations(상담사 캐롤의 대화)과 같은 표시 이름을 사용합니다.
- 예를 들어
- 일관된 이름 지정 규칙 따르기: 승인된 뷰와 세트에 일관된 이름 지정 규칙을 설정합니다. 이렇게 하면 리소스를 더 쉽게 찾고 관리할 수 있습니다.
- 예를 들어
[Role] - [Team/Agent]과 같은 규칙을 사용할 수 있습니다.
- 예를 들어
사용자당 조회수 최소화
사용자당 뷰 수를 최소화하면 액세스 관리를 간소화하고 사용자에게 필요한 데이터에만 액세스할 수 있도록 할 수 있습니다.
- 사용자 액세스 격리: 서로 다른 사용자 간에 승인된 뷰를 공유하지 마세요. 이렇게 하면 각 사용자는 필요한 데이터에만 액세스할 수 있습니다.
- 대신 단일 사용자의 필터 표현식을
OR와 결합하여 단일 승인된 뷰로 만드세요. - 이렇게 하면 사용자가 뷰를 전환할 필요가 줄어듭니다.
- 대신 단일 사용자의 필터 표현식을
- 역할별 사용자마다 고유한 승인된 뷰 만들기: 사용자별 역할마다 고유한 승인된 뷰를 만듭니다. 이렇게 하면 각 사용자에게 적절한 수준의 액세스 권한이 부여됩니다.
- 예를 들어 관리자의 대화 수정 액세스 권한과 대화 보기 액세스 권한에 대해 별도의 뷰를 만듭니다.
파생 식별자 지정
파생 식별자는 매핑을 저장하지 않고도 리소스를 식별하는 데 도움이 됩니다. 이렇게 하면 승인된 뷰의 관리가 간소화됩니다.
- 파생 ID 사용: 역할과 대화 그룹에서 ID를 파생합니다. 예를 들어 특정 팀의 관리자 역할에 대한 승인된 뷰의 ID는
manager-team-a일 수 있습니다. 이렇게 하면 추가 상태를 저장하지 않고도 리소스를 식별할 수 있습니다.- 예를 들어 A팀을 관리하는 Bob이라는 관리자의 승인된 뷰는
manager-bob-team-a와 같은 ID를 가질 수 있습니다. Carol이라는 상담사의 승인된 뷰는 ID가agent-carol일 수 있습니다.
- 예를 들어 A팀을 관리하는 Bob이라는 관리자의 승인된 뷰는
정기적으로 권한 검토 및 업데이트
권한을 정기적으로 검토하고 업데이트하면 사용자가 필요한 데이터에 적절한 수준으로 액세스할 수 있습니다. 이를 통해 보안 및 규정 준수를 유지할 수 있습니다.
권한을 업데이트할 때는 다음 가이드라인을 따르세요.
- 불필요한 액세스 권한 취소: 더 이상 필요하지 않은 사용자의 권한을 삭제합니다.
- 필터 업데이트: 조직 또는 비즈니스 요구사항의 변경사항을 반영하기 위해 필요에 따라 승인된 뷰의 필터 표현식을 업데이트합니다.
제한사항 이해하기
승인된 뷰는 사용할 수 있는 용도에 있어 몇 가지 제한사항이 있습니다. 액세스 제어 전략을 설계할 때 이러한 제한사항을 이해하는 것이 중요합니다.
승인된 뷰에는 다음과 같은 제한사항이 있습니다.
- 대화 데이터를 수정하거나 가져올 수 없음: 승인된 보기로는 대화 데이터를 수정하거나 가져올 수 없습니다.
- 주제 모델을 학습하거나 스코어카드를 만들 수 없음: 승인된 보기는 주제 모델을 학습하거나 스코어카드를 만드는 데 사용할 수 없습니다.