VPC Service Controls 可協助您降低從 CX Agent Studio 竊取資料的風險。使用 VPC Service Controls 建立服務範圍,保護您指定的資源和資料。舉例來說,當您使用 VPC Service Controls 保護 CX Agent Studio 時,下列構件無法離開服務範圍:
- 代理應用程式資料
- runSession 要求和回應
CX Agent Studio 可與其他Google Cloud 資源互動,例如 DLP 遮蓋範本、用於匯出對話的 BigQuery,以及資料存放區。這些資源由您控管,且必須與代理程式應用程式位於相同的 VPC-SC 範圍。
限制
限制如下:
- 啟用 VPC-SC 時,工具和回呼無法將要求傳送至任意 HTTP 端點,因為這可能會導致資料外洩至 VPC-SC 範圍外。您必須設定私人網路存取權的 Service Directory。
- 音訊錄音檔無法寫入周邊以外的 Cloud Storage bucket。
- 對話無法寫入周邊以外的 BigQuery 資料集。
- 如果資料遺失防護遮蓋範本位於保護範圍外,系統就無法遮蓋對話內容。
- OpenAPI 工具無法使用 perimeter 外部的密鑰參照驗證金鑰。
- 指定周邊以外資料儲存庫的資料儲存庫工具無法執行。
- 如果流程型代理程式指定的代理程式資源位於範圍外,呼叫時就會失敗。
- 嘗試從 perimeter 外部的 Cloud Storage bucket 匯入代理程式應用程式會失敗。
- 嘗試將代理程式應用程式匯出至 Perimeter 外部的 Cloud Storage bucket 時,系統會顯示失敗訊息。
建立服務範圍
建立服務範圍時,請將 CX Agent Studio (ces.googleapis.com) 和 CX Insights (contactcenterinsights.googleapis.com) 都納入受保護的服務。CX Agent Studio 運作時不需要任何其他服務。不過,CX Agent Studio 無法存取範圍外的資源,例如範圍外的 Cloud Storage bucket 中的檔案。
如要進一步瞭解如何建立 service perimeter,請參閱 VPC Service Controls 說明文件的「建立 service perimeter」。
選用依附元件的 VPC Service Controls 說明文件:
使用 Service Directory 存取私人網路
CX Agent Studio 整合了 Service Directory 私人網路存取權,因此可以連線至虛擬私有雲網路中的 OpenAPI 工具目標。這樣一來,流量就會留在 Google Cloud 網路中,並強制執行 Identity and Access Management 和 VPC Service Controls。
如要設定以私人網路為目標的工具,請按照下列步驟操作:
請按照服務目錄私人網路設定,設定虛擬私有雲網路和服務目錄端點。
您的代理程式專案必須具備下列地址的客戶參與套件服務代理程式 服務帳戶:
service-agent-project-number@gcp-sa-ces.iam.gserviceaccount.com
在 Service Directory 所在的專案中,將下列角色授予客戶參與度套件服務代理程式服務帳戶:
servicedirectory.viewerservicedirectory.pscAuthorizedService
此外,如果您的 Service Directory 與代理程式應用程式位於不同專案,您也需要在主機代理程式應用程式的專案中,將
servicedirectory.viewer角色授予 Customer Engagement Suite 服務代理帳戶。建立工具時,請提供 Service Directory 服務以及網址和選填的驗證資訊。這個欄位位於工具的進階設定中。
如要排解問題,您可以設定私人運作時間檢查,確認 Service Directory 設定正確無誤。