Controles del servicio de VPC

Los Controles del servicio de VPC pueden ayudarte a mitigar el riesgo de robo de datos de CX Agent Studio. Usa los Controles del servicio de VPC para crear un perímetro de servicio que proteja los recursos y datos que especifiques. Por ejemplo, cuando usas los Controles del servicio de VPC para proteger CX Agent Studio, los siguientes artefactos no pueden salir de tu perímetro de servicio:

  • Datos de la aplicación del agente
  • Solicitudes y respuestas de runSession

CX Agent Studio permite interactuar con otros recursos deGoogle Cloud , como las plantillas de ocultamiento de DLP, BigQuery para la exportación de conversaciones y los almacenes de datos. Estos recursos están bajo tu control y deben estar disponibles en el mismo perímetro de VPC-SC que la aplicación del agente.

Limitaciones

Se aplica la siguiente limitación:

  • Las herramientas y las devoluciones de llamada no pueden enviar solicitudes a extremos HTTP arbitrarios cuando VPC-SC está habilitado, ya que esto podría generar el riesgo de filtrar datos fuera del perímetro de VPC-SC. Debes configurar el Directorio de servicios para el acceso a redes privadas.
  • Las grabaciones de audio no se pueden escribir en buckets de Cloud Storage fuera del perímetro.
  • Las conversaciones no se pueden escribir en conjuntos de datos de BigQuery fuera del perímetro.
  • Las plantillas de redacción de DLP fuera del perímetro provocan errores en la redacción del contenido de las conversaciones.
  • Las herramientas de OpenAPI no pueden hacer referencia a claves de autenticación con secretos que estén fuera del perímetro.
  • Las herramientas de Data Store que especifican un almacén de datos fuera del perímetro no se ejecutan.
  • Los agentes basados en flujos que especifican un recurso de agente fuera del perímetro fallan cuando se los llama.
  • Si intentas importar una aplicación de agente desde un bucket de Cloud Storage fuera del perímetro, se producirá un error.
  • Si intentas exportar una aplicación de agente a un bucket de Cloud Storage fuera del perímetro, se producirá un error.

Creación del perímetro de servicio

Cuando crees un perímetro de servicio, incluye CX Agent Studio (ces.googleapis.com) y CX Insights (contactcenterinsights.googleapis.com) como servicios protegidos. No es necesario que incluyas ningún servicio adicional para que CX Agent Studio funcione. Sin embargo, CX Agent Studio no podrá acceder a los recursos fuera del perímetro, como los archivos en un bucket de Cloud Storage que esté fuera del perímetro.

Para obtener más información sobre cómo crear un perímetro de servicio, consulta Crea un perímetro de servicio en la documentación de los Controles del servicio de VPC.

Documentación de los Controles del servicio de VPC para dependencias opcionales:

Usa el Directorio de servicios para acceder a redes privadas

CX Agent Studio se integra con el acceso a la red privada del Directorio de servicios, por lo que puede conectarse a destinos de herramientas de OpenAPI dentro de tu red de VPC. Esto mantiene el tráfico dentro de la red de Google Cloud y aplica Identity and Access Management y los Controles del servicio de VPC.

Para configurar una herramienta que se oriente a una red privada, sigue estos pasos:

  1. Sigue las instrucciones de Configuración de la red privada del Directorio de servicios para configurar tu red de VPC y el extremo del Directorio de servicios.

  2. Debe existir la cuenta de servicio del Agente de servicio de Customer Engagement Suite con la siguiente dirección para tu proyecto de agente: 

    service-agent-project-number@gcp-sa-ces.iam.gserviceaccount.com

    Otorga los siguientes roles a la cuenta de servicio del Agente de servicio de Customer Engagement Suite en el proyecto en el que se encuentra tu Directorio de servicios:

    • servicedirectory.viewer
    • servicedirectory.pscAuthorizedService

    Además, si tu Directorio de servicios se encuentra en un proyecto diferente al de tu aplicación del agente, también debes otorgar el rol servicedirectory.viewer a la cuenta del agente de servicio de Customer Engagement Suite en el proyecto que aloja tu aplicación del agente.

  3. Cuando crees la herramienta, proporciona el servicio del Directorio de servicios junto con la URL y la información de autenticación opcional. Este campo está disponible en la configuración avanzada de la herramienta.

Para solucionar problemas, puedes configurar una verificación de tiempo de actividad privada para comprobar que tu Directorio de servicios esté configurado correctamente.