O VPC Service Controls pode ajudar a reduzir o risco de exfiltração de dados do CX Agent Studio. Use o VPC Service Controls para criar um perímetro de serviço que proteja os recursos e dados especificados por você. Por exemplo, quando você usa o VPC Service Controls para proteger o CX Agent Studio, os artefatos a seguir não podem deixar o perímetro de serviço:
- Dados de inscrição de agente
- Solicitações e respostas de runSession
O CX Agent Studio permite interagir com outros recursos doGoogle Cloud , como modelos de redação da DLP, BigQuery para exportação de conversas e repositórios de dados. Esses recursos estão sob seu controle e precisam estar disponíveis no mesmo perímetro do VPC-SC que o aplicativo do agente.
Limitações
Considere as seguintes limitações:
- As ferramentas e os callbacks não podem enviar solicitações para endpoints HTTP arbitrários quando o VPC-SC está ativado, porque isso pode arriscar a exfiltração de dados fora do perímetro do VPC-SC. Você precisa configurar o diretório de serviços para acesso a redes privadas.
- As gravações de áudio não podem ser gravadas em buckets do Cloud Storage fora do perímetro.
- As conversas não podem ser gravadas em conjuntos de dados do BigQuery fora do perímetro.
- Modelos de redação da DLP fora do perímetro causam falhas na redação do conteúdo da conversa.
- As ferramentas da OpenAPI não podem fazer referência a chaves de autenticação usando secrets fora do perímetro.
- As ferramentas de repositório de dados que especificam um repositório fora do perímetro não são executadas.
- Agentes baseados em fluxo que especificam um recurso de agente fora do perímetro falham quando são chamados.
- A tentativa de importar um aplicativo de agente de um bucket do Cloud Storage fora do perímetro falha.
- A tentativa de exportar um aplicativo de agente para um bucket do Cloud Storage fora do perímetro falha.
Criação do perímetro de serviço
Ao criar um perímetro de serviço, inclua o CX Agent Studio (ces.googleapis.com) e o CX Insights (contactcenterinsights.googleapis.com) como serviços protegidos.
Não é necessário incluir outros serviços para que o
CX Agent Studio funcione.
No entanto, o CX Agent Studio não poderá acessar recursos
fora do perímetro,
como arquivos em um bucket do Cloud Storage que esteja fora do perímetro.
Para mais informações sobre como criar um perímetro de serviço, consulte Como criar um perímetro de serviço na documentação do VPC Service Controls.
Documentação do VPC Service Controls para dependências opcionais:
Como usar o diretório de serviços para acesso a redes privadas
O CX Agent Studio se integra ao acesso à rede particular do Diretório de serviços para que ele possa se conectar aos destinos das ferramentas do OpenAPI dentro da rede VPC. Isso mantém o tráfego na rede Google Cloud e aplica o Identity and Access Management e o VPC Service Controls.
Para configurar uma ferramenta que segmenta uma rede privada:
Siga a configuração de rede particular do Diretório de serviços para configurar sua rede VPC e o endpoint do Diretório de serviços.
A conta de serviço do agente de serviço da Customer Engagement Suite com o endereço a seguir precisa existir para o projeto de agente:
service-agent-project-number@gcp-sa-ces.iam.gserviceaccount.com
Conceda os seguintes papéis à conta de serviço do agente de serviço do Customer Engagement Suite no projeto em que o Diretório de serviços está localizado:
servicedirectory.viewerservicedirectory.pscAuthorizedService
Além disso, se o Diretório de serviços estiver em um projeto diferente do aplicativo do agente, será necessário conceder o papel
servicedirectory.viewerà conta do agente de serviço da Customer Engagement Suite no projeto que hospeda o aplicativo do agente.Forneça o serviço do diretório de serviços com o URL e informações de autenticação opcionais ao criar a ferramenta. Esse campo está disponível nas configurações avançadas da ferramenta.
Para resolver problemas, configure uma verificação de tempo de atividade privada e confira se o Diretório de serviços está configurado corretamente.