VPC Service Controls

VPC Service Controls を使用すると、CX Agent Studio からデータが漏洩するリスクを軽減できます。VPC Service Controls を使用して、指定したリソースとデータを保護するサービス境界を作成します。たとえば、VPC Service Controls を使用して CX Agent Studio を保護する場合、次のアーティファクトはサービス境界を離れることができません。

  • エージェント アプリケーション データ
  • runSession リクエストとレスポンス

CX Agent Studio では、DLP 編集テンプレート、会話のエクスポート用の BigQuery、データストアなどの他のGoogle Cloud リソースを操作できます。これらのリソースはユーザーが制御し、エージェント アプリケーションと同じ VPC-SC 境界内で使用可能にする必要があります。

制限事項

次の制限が適用されます。

  • VPC-SC が有効になっている場合、ツールとコールバックは任意 HTTP エンドポイントにリクエストを送信できません。これは、VPC-SC 境界外にデータが流出するリスクがあるためです。プライベート ネットワーク アクセス用に Service Directory を構成する必要があります。
  • 音声録音を境界外の Cloud Storage バケットに書き込むことはできません。
  • 会話を境界外の BigQuery データセットに書き込むことはできません。
  • 境界外の DLP 編集テンプレートを使用すると、会話コンテンツの編集が失敗します。
  • OpenAPI ツールは、境界外の Secret を使用して認証キーを参照できません。
  • 境界外のデータストアを指定するデータストア ツールは実行されません。
  • 境界外のエージェント リソースを指定するフローベースのエージェントは、呼び出されると失敗します。
  • 境界外の Cloud Storage バケットからエージェント アプリケーションをインポートしようとすると失敗します。
  • 境界外の Cloud Storage バケットにエージェント アプリケーションをエクスポートしようとすると失敗します。

サービス境界の作成

サービス境界を作成するときに、保護されたサービスとして CX Agent Studio(ces.googleapis.com)と CX Insights(contactcenterinsights.googleapis.com)の両方を含めます。CX Agent Studio が機能するために、追加のサービスを含める必要はありません。ただし、CX Agent Studio は、境界外の Cloud Storage バケット内のファイルなど、境界外のリソースに到達できません。

サービス境界の作成方法については、VPC Service Controls のドキュメントでサービス境界の作成をご覧ください。

オプションの依存関係に関する VPC Service Controls のドキュメント:

サービス ディレクトリを使用したプライベート ネットワーク アクセス

CX Agent Studio は Service Directory プライベート ネットワーク アクセスと統合されているため、VPC ネットワーク内の OpenAPI ツール ターゲットに接続できます。これにより、トラフィックが Google Cloud ネットワーク内に保持され、Identity and Access ManagementVPC Service Controls が適用されます。

プライベート ネットワークをターゲットとするツールを設定するには:

  1. サービス ディレクトリのプライベート ネットワーク構成に従って、VPC ネットワークとサービス ディレクトリ エンドポイントを構成します。

  2. 次のアドレスを含む Customer Engagement Suite サービス エージェントサービス アカウントが、エージェント プロジェクト用に存在している必要があります。

    service-agent-project-number@gcp-sa-ces.iam.gserviceaccount.com

    Service Directory があるプロジェクトの Customer Engagement Suite サービス エージェント サービス アカウントに次のロールを付与します。

    • servicedirectory.viewer
    • servicedirectory.pscAuthorizedService

    また、Service Directory がエージェント アプリケーションとは異なるプロジェクトにある場合は、エージェント アプリケーションをホストするプロジェクトの Customer Engagement Suite サービス エージェント アカウントに servicedirectory.viewer ロールを付与する必要があります。

  3. ツールの作成時に、サービス ディレクトリ サービスと URL、オプションの認証情報を指定します。このフィールドは、ツールの詳細設定で使用できます。

問題のトラブルシューティングを行う場合、非公開稼働時間チェックを設定することで Service Directory が正しく構成されていることを確認できます。