VPC 서비스 제어

VPC 서비스 제어를 사용하면 CX Agent Studio에서 데이터 무단 반출 위험을 완화할 수 있습니다. VPC 서비스 제어를 사용하여 지정한 리소스 및 데이터를 보호하는 서비스 경계를 만듭니다. 예를 들어 VPC 서비스 제어를 사용하여 CX Agent Studio를 보호하면 다음 아티팩트는 서비스 경계를 벗어날 수 없습니다.

  • 에이전트 애플리케이션 데이터
  • runSession 요청 및 응답

CX Agent Studio를 사용하면 DLP 수정 템플릿, 대화 내보내기를 위한 BigQuery, 데이터 스토어와 같은 다른Google Cloud 리소스와 상호작용할 수 있습니다. 이러한 리소스는 사용자가 제어하며 에이전트 애플리케이션과 동일한 VPC-SC 경계에서 사용할 수 있어야 합니다.

제한사항

다음과 같은 제한사항이 적용됩니다.

  • VPC-SC가 사용 설정된 경우 도구와 콜백은 임의의 HTTP 엔드포인트로 요청을 전송할 수 없습니다. 이는 VPC-SC 경계 외부로 데이터가 유출될 위험이 있기 때문입니다. 비공개 네트워크 액세스용 서비스 디렉터리를 구성해야 합니다.
  • 오디오 녹음 파일은 경계 외부의 Cloud Storage 버킷에 쓸 수 없습니다.
  • 대화는 경계 외부의 BigQuery 데이터 세트에 쓸 수 없습니다.
  • 경계 외부에 있는 DLP 수정 템플릿으로 인해 대화 콘텐츠 수정이 실패합니다.
  • OpenAPI 도구는 경계 외부에 있는 보안 비밀을 사용하여 인증 키를 참조할 수 없습니다.
  • 경계 외부의 데이터 스토어를 지정하는 데이터 스토어 도구는 실행되지 않습니다.
  • 경계 외부의 에이전트 리소스를 지정하는 흐름 기반 에이전트는 호출 시 실패합니다.
  • 경계 외부의 Cloud Storage 버킷에서 에이전트 애플리케이션을 가져오려고 하면 실패합니다.
  • 경계 외부의 Cloud Storage 버킷으로 에이전트 애플리케이션을 내보내려고 하면 실패합니다.

서비스 경계 만들기

서비스 경계를 만들 때 CX Agent Studio (ces.googleapis.com)와 CX Insights (contactcenterinsights.googleapis.com)를 모두 보호된 서비스로 포함합니다. CX Agent Studio를 작동시키기 위해 추가 서비스를 포함할 필요는 없습니다. 그러나 CX Agent Studio는 경계 외부의 리소스(예: 경계 외부에 있는 Cloud Storage 버킷에 있는 파일)에 연결할 수 없습니다.

서비스 경계를 만드는 방법에 대한 자세한 내용은 VPC 서비스 제어 문서의 서비스 경계 만들기를 참조하세요.

선택적 종속 항목에 관한 VPC 서비스 제어 문서:

비공개 네트워크 액세스에 서비스 디렉터리 사용

CX Agent Studio는 서비스 디렉터리 비공개 네트워크 액세스와 통합되므로 VPC 네트워크 내의 OpenAPI 도구 대상에 연결할 수 있습니다. 이렇게 하면 트래픽이 Google Cloud 네트워크 내에서 유지되며 Identity and Access ManagementVPC 서비스 제어가 적용됩니다.

비공개 네트워크를 타겟팅하는 도구를 설정하려면 다음 안내를 따르세요.

  1. 서비스 디렉터리 비공개 네트워크 구성을 따라 VPC 네트워크와 서비스 디렉터리 엔드포인트를 구성합니다.

  2. 에이전트 프로젝트에 다음 주소를 사용하는 Customer Engagement Suite 서비스 에이전트 서비스 계정이 있어야 합니다. 

    service-agent-project-number@gcp-sa-ces.iam.gserviceaccount.com

    서비스 디렉터리가 있는 프로젝트에서 Customer Engagement Suite 서비스 에이전트 서비스 계정에 다음 역할을 부여합니다.

    • servicedirectory.viewer
    • servicedirectory.pscAuthorizedService

    또한 서비스 디렉터리가 에이전트 애플리케이션과 다른 프로젝트에 있는 경우 에이전트 애플리케이션을 호스팅하는 프로젝트의 Customer Engagement Suite 서비스 에이전트 계정에 servicedirectory.viewer 역할을 부여해야 합니다.

  3. 도구를 만들 때 URL 및 선택적 인증 정보와 함께 서비스 디렉터리 서비스를 제공합니다. 이 필드는 도구의 고급 설정에서 사용할 수 있습니다.

문제를 해결하기 위해 비공개 업타임 체크를 설정하여 서비스 디렉터리가 올바르게 구성되었는지 확인할 수 있습니다.