VPC Service Controls 可帮助您降低 Dialogflow 中发生数据渗漏的风险。您可以使用 VPC Service Controls 创建服务边界来保护您指定的资源和数据。例如,当您使用 VPC Service Controls 保护 Dialogflow 时,以下工件无法离开服务边界:
- 代理数据
- 检测意图请求和响应
限制
存在以下限制:
- 借助集成,第三方应用可以直接连接到代理,无论代理是否位于服务边界内。
- Webhook 可用于直接连接到与代理位于同一服务边界内的 Cloud Functions 或 Cloud Run 端点
- 网络钩子可用于连接与 Service Directory 专用网络访问通道集成的服务
不支持任何其他类型的 Webhook 服务,并且系统会将其屏蔽。
服务边界创建
服务边界充当虚拟安全边界,可隔离您的Google Cloud 资源。这样可确保敏感数据不会被移至边界外的未经授权的位置。边界内的服务可以自由通信,而对该边界外部资源的访问或来自该边界外部资源的访问会被阻止。
创建服务边界时,请将 Dialogflow (dialogflow.googleapis.com) 添加为受保护的服务。在受限的服务窗格中,添加您要限制的所有服务(例如 storage.googleapis.com、bigquery.googleapis.com)。
如需详细了解如何创建服务边界,请参阅 VPC Service Controls 文档中的创建服务边界。