VPC Service Controls

Mit VPC Service Controls können Sie das Risiko der Daten-Exfiltration aus CX Agent Studio minimieren. Verwenden Sie VPC Service Controls, um einen Dienstperimeter zu erstellen, der die von Ihnen angegebenen Ressourcen und Daten schützt. Wenn Sie beispielsweise VPC Service Controls zum Schutz von CX Agent Studio verwenden, können die folgenden Artefakte Ihren Dienstperimeter nicht verlassen:

  • Daten aus der Agent-Anwendung
  • runSession-Anfragen und ‑Antworten

Mit CX Agent Studio können Sie mit anderenGoogle Cloud -Ressourcen interagieren, z. B. mit DLP-Schwärzungsvorlagen, BigQuery für den Export von Unterhaltungen und Datenspeichern. Diese Ressourcen unterliegen Ihrer Kontrolle und müssen im selben VPC-SC-Perimeter wie die Agent-Anwendung verfügbar sein.

Beschränkungen

Es gelten folgende Einschränkungen:

  • Tools und Callbacks können keine Anfragen an beliebige HTTP-Endpunkte senden, wenn VPC-SC aktiviert ist, da dies das Risiko birgt, dass Daten außerhalb des VPC-SC-Perimeters exfiltriert werden. Sie müssen Service Directory für den privaten Netzwerkzugriff konfigurieren.
  • Audiodateien können nicht in Cloud Storage-Buckets außerhalb des Perimeters geschrieben werden.
  • Unterhaltungen können nicht in BigQuery-Datasets außerhalb des Perimeters geschrieben werden.
  • DLP-Schwärzungsvorlagen außerhalb des Perimeters führen zu Fehlern beim Schwärzen von Unterhaltungsinhalten.
  • OpenAPI-Tools können nicht mit Secrets außerhalb des Perimeters auf Authentifizierungsschlüssel verweisen.
  • Die Ausführung von Datenspeichertools, die einen Datenspeicher außerhalb des Perimeters angeben, schlägt fehl.
  • Flowbasierte Agents, die eine Agent-Ressource außerhalb des Perimeters angeben, schlagen fehl, wenn sie aufgerufen werden.
  • Der Versuch, eine Agent-Anwendung aus einem Cloud Storage-Bucket außerhalb des Perimeters zu importieren, schlägt fehl.
  • Der Versuch, eine Agent-Anwendung in einen Cloud Storage-Bucket außerhalb des Perimeters zu exportieren, schlägt fehl.

Dienstperimeter erstellen

Wenn Sie einen Dienstperimeter erstellen, schließen Sie sowohl CX Agent Studio (ces.googleapis.com) als auch CX Insights (contactcenterinsights.googleapis.com) als geschützte Dienste ein. Sie müssen keine zusätzlichen Dienste hinzufügen, damit CX Agent Studio funktioniert. CX Agent Studio kann jedoch keine Ressourcen außerhalb des Perimeters erreichen, z. B. Dateien in einem Cloud Storage-Bucket außerhalb des Perimeters.

Weitere Informationen zum Erstellen eines Dienstperimeters finden Sie unter Dienstperimeter erstellen in der Dokumentation zu VPC Service Controls.

Dokumentation zu VPC Service Controls für optionale Abhängigkeiten:

Service Directory für den privaten Netzwerkzugriff verwenden

CX Agent Studio wird in privaten Service Directory-Zugriff eingebunden, sodass eine Verbindung zu OpenAPI-Tool-Zielen in Ihrem VPC-Netzwerk hergestellt werden kann. Dadurch wird der Traffic innerhalb des Google Cloud Netzwerks beibehalten und Identity and Access Management sowie VPC Service Controls erzwungen.

So richten Sie ein Tool ein, das auf ein privates Netzwerk ausgerichtet ist:

  1. Folgen Sie der Anleitung unter Private Netzwerkkonfiguration für Service Directory, um Ihr VPC-Netzwerk und Ihren Service Directory-Endpunkt zu konfigurieren.

  2. Das Dienstkonto Customer Engagement Suite Service Agent mit der folgenden Adresse muss für Ihr Agent-Projekt vorhanden sein: 

    service-agent-project-number@gcp-sa-ces.iam.gserviceaccount.com

    Weisen Sie dem Dienstkonto Customer Engagement Suite Service Agent in dem Projekt, in dem sich Ihr Service Directory befindet, die folgenden Rollen zu:

    • servicedirectory.viewer
    • servicedirectory.pscAuthorizedService

    Wenn sich Ihr Service Directory in einem anderen Projekt als Ihre Agent-Anwendung befindet, müssen Sie dem Customer Engagement Suite-Dienst-Agent-Konto im Projekt, in dem Ihre Agent-Anwendung gehostet wird, die Rolle servicedirectory.viewer zuweisen.

  3. Geben Sie beim Erstellen des Tools den Service Directory-Dienst mit der URL und optionalen Authentifizierungsinformationen an. Dieses Feld ist in den erweiterten Einstellungen für das Tool verfügbar.

Zur Fehlerbehebung können Sie eine private Verfügbarkeitsdiagnose einrichten, um zu prüfen, ob Ihr Service Directory richtig konfiguriert ist.