VPC Service Controls 可帮助您降低 CX Agent Studio 中发生数据渗漏的风险。您可以使用 VPC Service Controls 创建服务边界来保护您指定的资源和数据。例如,当您使用 VPC Service Controls 保护 CX Agent Studio 时,以下工件无法离开服务边界:
- 代理应用数据
- runSession 请求和响应
借助 CX Agent Studio,您可以与其他Google Cloud 资源进行互动,例如 DLP 编辑模板、用于导出对话的 BigQuery 和数据存储区。这些资源由您控制,并且必须在与代理应用相同的 VPC-SC 边界内可用。
限制
存在以下限制:
- 启用 VPC-SC 后,工具和回调无法向任意 HTTP 端点发送请求,因为这可能会导致数据泄露到 VPC-SC 边界之外。您必须配置用于专用网络访问的 Service Directory。
- 音频记录无法写入到外围之外的 Cloud Storage 存储分区。
- 对话无法写入边界之外的 BigQuery 数据集。
- 边界之外的 DLP 密文处理模板会导致对话内容密文处理失败。
- OpenAPI 工具无法使用边界外的 Secret 引用身份验证密钥。
- 指定边界外数据存储区的数据存储区工具无法执行。
- 如果基于流程的代理指定了边界外的代理资源,则在调用时会失败。
- 尝试从边界外的 Cloud Storage 存储桶导入代理应用会失败。
- 尝试将代理应用导出到边界外的 Cloud Storage 存储桶会失败。
服务边界创建
创建服务边界时,请将 CX Agent Studio (ces.googleapis.com) 和 CX Insights (contactcenterinsights.googleapis.com) 添加为受保护的服务。您无需添加任何其他服务,CX Agent Studio 即可正常运行。但是,CX Agent Studio 将无法访问边界外的资源,例如边界外的 Cloud Storage 存储桶中的文件。
如需详细了解如何创建服务边界,请参阅 VPC Service Controls 文档中的创建服务边界。
有关可选依赖项的 VPC Service Controls 文档:
使用 Service Directory 进行专用网络访问
CX Agent Studio 与 Service Directory 专用网络访问集成,因此可以连接到 VPC 网络内的 OpenAPI 工具目标。这样便可保留在 Google Cloud 网络内部的流量,并强制执行 Identity and Access Management 和 VPC Service Controls。
如需设置以专用网络为目标的工具,请执行以下操作:
按照 Service Directory 专用网络配置中的说明来配置 VPC 网络和 Service Directory 端点。
您的代理项目必须存在具有以下地址的 Customer Engagement Suite Service Agent 服务账号:
service-agent-project-number@gcp-sa-ces.iam.gserviceaccount.com
在 Service Directory 所在的项目中,向 Customer Engagement Suite Service Agent 服务账号授予以下角色:
servicedirectory.viewerservicedirectory.pscAuthorizedService
此外,如果您的 Service Directory 与代理应用不在同一个项目中,您还需要向托管代理应用的项目的 Customer Engagement Suite Service Agent 账号授予
servicedirectory.viewer角色。创建工具时,提供 Service Directory 服务以及网址和可选的身份验证信息。此字段位于该工具的高级设置中。
如需排查问题,您可以设置非公开拨测,以检查您的 Service Directory 是否已正确配置。