您可以授予使用者權限來存取對話資料的特定部分,而不必授予整個資料集的存取權。使用授權檢視區時,即可進行這類精細的存取權控管。以下建議包含透過授權檢視畫面實作精細存取權控管的最佳做法。
授權 view 的範圍
適當設定授權檢視區塊的範圍,可確保使用者只能存取所需的資料。範圍檢視畫面會仔細定義每個授權檢視畫面公開的資料。範圍適當的檢視畫面只會限制存取必要資料,範圍不當的檢視畫面則可能會公開超出預期的資料。
- 謹慎篩選資料:使用篩選器運算式,定義每個授權檢視區塊應公開的確切資料。確認篩選條件夠具體,可滿足使用者需求。
- 使用
agent_id建立專屬代理的檢視畫面:為代理建立授權檢視畫面時,請使用agent_id欄位篩選對話。確保每位服務專員只能存取自己的對話。- 舉例來說,如果代理人名稱為 Carol,篩選運算式會是
agent_id = "agent-carol"。
- 舉例來說,如果代理人名稱為 Carol,篩選運算式會是
- 使用
agent_id建立管理員專屬檢視畫面:為管理員建立授權檢視畫面時,請使用agent_id欄位,篩選出各團隊的對話。- 舉例來說,如果經理負責管理小若和小戴這兩位服務專員,可以使用
agent_id = "agent-carol" or agent_id = "agent-dave"篩選器運算式。
- 舉例來說,如果經理負責管理小若和小戴這兩位服務專員,可以使用
- 避免使用空白篩選器:空白篩選器或
""允許無限制存取。
為機構使用授權檢視畫面集
授權檢視集可協助您整理及管理相關授權檢視。 將相關資料檢視分組,可簡化一次授予多個資料檢視存取權的程序。
請按照下列規範,將授權觀看次數分組為集合:
- 將相關檢視畫面分組:使用授權檢視畫面集,將相關角色的授權檢視畫面分組。
- 舉例來說,您可以建立名為
manager-views的授權檢視集,將所有管理員適用的授權檢視表歸類其中。
- 舉例來說,您可以建立名為
- 透過已授權檢視表集層級授予存取權:不要在個別已授權檢視表上授予角色,而是在已授權檢視表集上授予角色。
- 舉例來說,將
roles/contactcenterinsights.viewer角色授予agent-views授權檢視畫面集,其中包含代理程式的所有授權檢視畫面。
- 舉例來說,將
授予專案存取權
使用者必須先取得專案存取權,才能使用控制台及與專案資源互動。
- 授予所有授權使用者
roles/browser:這個角色可讓使用者查看專案及其資源。這是使用控制台的必要條件。
最低權限原則
最低權限原則是安全性最佳做法,可確保使用者僅具備執行工作所需的權限。這項原則有助於盡量降低未經授權存取資料和資源的風險。
請遵循下列原則,套用最低權限原則:
- 授予最低必要權限:只授予使用者執行工作所需的權限。避免授予過於廣泛的存取權。
- 使用預先定義的角色:使用
roles/contactcenterinsights.editor和roles/contactcenterinsights.viewer授予授權檢視畫面的專案層級權限。針對特定授權檢視畫面上的使用者,使用roles/contactcenterinsights.authorizedEditor和roles/contactcenterinsights.authorizedViewer透過這些檢視畫面授予存取權。 - 避免授予專案層級的授權檢視集權限: 在專案層級授予授權檢視集權限,會導致使用者有權存取所有授權檢視集。請改為在特定授權檢視區塊集中授予這些角色。
- 授予授權檢視專案層級存取權時,請採用最低權限原則:只授予授權檢視所需的最低權限。使用者的權限不得超過專案授權檢視者的權限。示例:如果授權檢視畫面
view-123具有roles/contactcenterinsights.viewer,而使用者在授權view-123上具有roles/contactcenterinsights.authorizedEditor,則使用者無法編輯任何內容,因為檢視畫面的權限會限制最終權限。 - 授予授權檢視區存取權時,請採用最低權限原則:只授予授權檢視區所需的最低權限。舉例來說,如果使用者只需要查看特定團隊的資料,請在該團隊的授權檢視畫面集中授予
roles/contactcenterinsights.authorizedViewer角色。- 將角色授予授權檢視畫面集,即可一次管理多個檢視畫面的權限。這可降低管理權限的複雜度,並確保使用者只能存取所需的資料。
- 舉例來說,管理員在為團隊設定的授權檢視畫面中可能具有
roles/contactcenterinsights.authorizedEditor角色,而服務專員在為自己對話設定的授權檢視畫面中可能具有roles/contactcenterinsights.authorizedViewer角色。
使用描述性顯示名稱
描述性顯示名稱可讓您更輕鬆地瞭解及管理授權檢視畫面和組合。使用有意義的名稱有助於快速識別各項資源的用途。
使用描述性顯示名稱時,請遵守下列規範:
- 使用有意義的顯示名稱:建立授權檢視畫面和授權檢視畫面集時,請使用清楚指出檢視畫面或檢視畫面集用途的顯示名稱。方便您瞭解及管理資源。
- 舉例來說,請使用「管理員團隊 A 的對話」或「客服專員 Carol 的對話」等顯示名稱,而非
view1。
- 舉例來說,請使用「管理員團隊 A 的對話」或「客服專員 Carol 的對話」等顯示名稱,而非
- 遵循一致的命名慣例:為授權檢視區塊和資料集建立一致的命名慣例。方便您尋找及管理資源。
- 舉例來說,您可以使用
[Role] - [Team/Agent]這類慣例。
- 舉例來說,您可以使用
盡量減少每位使用者的瀏覽次數
盡量減少每位使用者的檢視畫面數量,有助於簡化存取權管理,並確保使用者只能存取所需資料。
- 隔離使用者存取權:避免不同使用者共用授權檢視區。確保每位使用者只能存取工作所需的資料。
- 請改為將單一使用者的篩選運算式與
OR合併,成為單一授權檢視畫面。 - 這樣使用者就不必切換檢視畫面。
- 請改為將單一使用者的篩選運算式與
- 為每位使用者建立專屬的授權檢視畫面 (依角色):為每位使用者的每個角色建立專屬的授權檢視畫面。確保每位使用者都具備適當的存取層級。
- 舉例來說,您可以為管理員建立個別的檢視畫面,方便他們編輯及查看對話。
指定衍生 ID
衍生 ID 可協助識別資源,不必儲存對應項。這樣一來,您就能更輕鬆地管理授權檢視畫面。
- 使用衍生 ID:從角色和對話群組衍生 ID。舉例來說,特定團隊經理角色的授權檢視畫面 ID 可能為
manager-team-a。這有助於識別資源,不必儲存額外狀態。- 舉例來說,假設 Bob 是管理 A 團隊的經理,則他的授權檢視畫面 ID 可能為
manager-bob-team-a。名為 Carol 的代理人授權檢視畫面 ID 可能類似agent-carol。
- 舉例來說,假設 Bob 是管理 A 團隊的經理,則他的授權檢視畫面 ID 可能為
定期檢查及更新權限
定期檢查及更新權限,可確保使用者具備適當的資料存取層級。這有助於維護安全性及法規遵循。
更新權限時,請遵守下列原則:
- 撤銷不必要的存取權:移除不再需要權限的使用者。
- 更新篩選器:視需要更新授權檢視畫面中的篩選器運算式,以反映機構或業務需求的變更。
瞭解限制
授權檢視區在用途方面有某些限制。設計存取權控管策略時,請務必瞭解這些限制。
授權檢視區具有下列限制:
- 無法編輯或匯入對話資料:授權檢視畫面無法用於編輯或匯入對話資料。
- 無法訓練主題模型或建立評分卡:授權檢視畫面無法用於訓練主題模型或建立評分卡。