Controlli di servizio VPC

I Controlli di servizio VPC possono aiutarti a mitigare il rischio di esfiltrazione di dati da CX Agent Studio. Utilizza i Controlli di servizio VPC per creare un perimetro di servizio che protegge le risorse e i dati che specifichi. Ad esempio, quando utilizzi i Controlli di servizio VPC per proteggere CX Agent Studio, i seguenti artefatti non possono uscire dal perimetro di servizio:

  • Dati dell'applicazione agente
  • runSession richieste e risposte

CX Agent Studio consente di interagire con altre risorseGoogle Cloud come i modelli di oscuramento DLP, BigQuery per l'esportazione delle conversazioni e gli archivi di dati. Queste risorse sono sotto il tuo controllo e devono essere disponibili nello stesso perimetro VPC-SC dell'applicazione agente.

Limitazioni

Si applicano le seguenti limitazioni:

  • Gli strumenti e i callback non sono in grado di inviare richieste a endpoint HTTP arbitrari quando VPC-SC è abilitato, in quanto ciò potrebbe comportare il rischio di esfiltrazione di dati al di fuori del perimetro VPC-SC. Devi configurare Service Directory per l'accesso alla rete privata.
  • Le registrazioni audio non possono essere scritte nei bucket Cloud Storage al di fuori del perimetro.
  • Le conversazioni non possono essere scritte nei set di dati BigQuery al di fuori del perimetro.
  • I modelli di oscuramento DLP al di fuori del perimetro causano errori nell'oscuramento dei contenuti delle conversazioni.
  • Gli strumenti OpenAPI non possono fare riferimento alle chiavi di autenticazione utilizzando i secret che si trovano al di fuori del perimetro.
  • Gli strumenti Data Store che specificano un datastore al di fuori del perimetro non vengono eseguiti.
  • Gli agenti basati sul flusso che specificano una risorsa agente al di fuori del perimetro non riescono quando vengono chiamati.
  • Il tentativo di importare un'applicazione agente da un bucket Cloud Storage al di fuori del perimetro non va a buon fine.
  • Il tentativo di esportare un'applicazione agente in un bucket Cloud Storage al di fuori del perimetro non va a buon fine.

Creazione del perimetro di servizio

Quando crei un perimetro di servizio, includi sia CX Agent Studio (ces.googleapis.com) sia CX Insights (contactcenterinsights.googleapis.com) come servizi protetti. Per il funzionamento di CX Agent Studio non è necessario includere servizi aggiuntivi. Tuttavia, CX Agent Studio non potrà raggiungere le risorse al di fuori del perimetro, come i file in un bucket Cloud Storage che si trova al di fuori del perimetro.

Per saperne di più sulla creazione di un perimetro di servizio, consulta la sezione Creazione di un perimetro di servizio nella documentazione dei Controlli di servizio VPC.

Documentazione di Controlli di servizio VPC per le dipendenze facoltative:

Utilizzo di Service Directory per l'accesso alla rete privata

CX Agent Studio si integra con l'accesso alla rete privata di Service Directory, in modo da potersi connettere alle destinazioni degli strumenti OpenAPI all'interno della tua rete VPC. In questo modo il traffico rimane all'interno della rete Google Cloud e vengono applicati Identity and Access Management e Controlli di servizio VPC.

Per configurare uno strumento che ha come target una rete privata:

  1. Segui la configurazione della rete privata di Service Directory per configurare la rete VPC e l'endpoint Service Directory.

  2. Per il progetto dell'agente deve esistere l'agente di servizio Customer Engagement Suite service account con il seguente indirizzo: 

    service-agent-project-number@gcp-sa-ces.iam.gserviceaccount.com

    Concedi i seguenti ruoli al account di servizio Service Agent di Customer Engagement Suite nel progetto in cui si trova Service Directory:

    • servicedirectory.viewer
    • servicedirectory.pscAuthorizedService

    Inoltre, se la tua Service Directory si trova in un progetto diverso dall'applicazione dell'agente, devi anche concedere il ruolo servicedirectory.viewer all'account service agent Customer Engagement Suite nel progetto che ospita l'applicazione dell'agente.

  3. Fornisci il servizio Service Directory insieme all'URL e alle informazioni di autenticazione facoltative durante la creazione dello strumento. Questo campo è disponibile nelle impostazioni avanzate dello strumento.

Per risolvere i problemi, puoi configurare un controllo di uptime privato per verificare che Service Directory sia configurato correttamente.