VPC Service Controls

VPC Service Controls peut vous aider à limiter le risque d'exfiltration de données de CX Agent Studio. Utilisez VPC Service Controls pour créer un périmètre de service qui protège les ressources et les données que vous spécifiez. Par exemple, lorsque vous utilisez VPC Service Controls pour protéger CX Agent Studio, les artefacts suivants ne peuvent pas quitter votre périmètre de service :

  • Données de l'application d'agent
  • Requêtes et réponses runSession

CX Agent Studio permet d'interagir avec d'autres ressourcesGoogle Cloud , telles que les modèles de masquage DLP, BigQuery pour l'exportation des conversations et les data stores. Vous contrôlez ces ressources, qui doivent être disponibles dans le même périmètre VPC-SC que l'application de l'agent.

Limites

Les limites suivantes s'appliquent :

  • Les outils et les rappels ne peuvent pas envoyer de requêtes à des points de terminaison HTTP arbitraires lorsque VPC-SC est activé, car cela peut entraîner un risque d'exfiltration de données en dehors du périmètre VPC-SC. Vous devez configurer l'Annuaire des services pour l'accès privé au réseau.
  • Les enregistrements audio ne peuvent pas être écrits dans des buckets Cloud Storage en dehors du périmètre.
  • Les conversations ne peuvent pas être écrites dans des ensembles de données BigQuery en dehors du périmètre.
  • Les modèles de masquage DLP situés en dehors du périmètre entraînent des échecs de masquage du contenu des conversations.
  • Les outils OpenAPI ne peuvent pas faire référence à des clés d'authentification à l'aide de secrets situés en dehors du périmètre.
  • Les outils de data store qui spécifient un data store en dehors du périmètre ne s'exécutent pas.
  • Les agents basés sur des flux qui spécifient une ressource d'agent en dehors du périmètre échouent lorsqu'ils sont appelés.
  • Toute tentative d'importer une application d'agent à partir d'un bucket Cloud Storage en dehors du périmètre échoue.
  • Toute tentative d'exportation d'une application d'agent vers un bucket Cloud Storage en dehors du périmètre échoue.

Créer un périmètre de service

Lorsque vous créez un périmètre de service, incluez CX Agent Studio (ces.googleapis.com) et CX Insights (contactcenterinsights.googleapis.com) en tant que services protégés. Vous n'avez pas besoin d'inclure de services supplémentaires pour que CX Agent Studio fonctionne. Cependant, CX Agent Studio ne pourra pas accéder à des ressources extérieures au périmètre, telles que des fichiers se trouvant dans un bucket Cloud Storage en dehors du périmètre.

Pour en savoir plus sur la création d'un périmètre de service, consultez la section Créer un périmètre de service dans la documentation de VPC Service Controls.

Documentation VPC Service Controls pour les dépendances facultatives :

Utiliser l'Annuaire des services pour l'accès privé au réseau

CX Agent Studio s'intègre à l'accès au réseau privé de l'Annuaire des services pour pouvoir se connecter aux cibles d'outils OpenAPI dans votre réseau VPC. Cela permet de conserver le trafic au sein du réseau Google Cloud et d'appliquer Identity and Access Management et VPC Service Controls.

Pour configurer un outil ciblant un réseau privé :

  1. Suivez la page sur la configuration du réseau privé de l'Annuaire des services pour configurer votre réseau VPC et le point de terminaison de l'Annuaire des services.

  2. Le compte de service Agent de service Customer Engagement Suite avec l'adresse suivante doit exister pour votre projet d'agent : 

    service-agent-project-number@gcp-sa-ces.iam.gserviceaccount.com

    Attribuez les rôles suivants au compte de service Agent de service Customer Engagement Suite dans le projet où se trouve votre Annuaire des services :

    • servicedirectory.viewer
    • servicedirectory.pscAuthorizedService

    De plus, si votre Annuaire des services se trouve dans un projet différent de celui de votre application d'agent, vous devez également attribuer le rôle servicedirectory.viewer au compte de l'agent de service Customer Engagement Suite dans le projet qui héberge votre application d'agent.

  3. Fournissez le service d'annuaire du service avec l'URL et les informations d'authentification facultatives lors de la création de l'outil. Ce champ est disponible dans les paramètres avancés de l'outil.

Pour résoudre les problèmes, vous pouvez configurer un test de disponibilité privé afin de vérifier que votre Annuaire des services est correctement configuré.