Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Richten Sie die Dienstkontoauthentifizierung für Google Drive ein
Die Dienstkontoauthentifizierung (SERVICE_ACCOUNT) ist die empfohlene Methode für eine Google Drive-Datenquelle. Ein Google Cloud-Dienstkonto authentifiziert sich mit einem privaten Schlüssel und gibt sich dann als Google Workspace-Admin-Nutzer aus, um Drive-Inhalte für jeden Nutzer in Ihrer Domain zu crawlen. Dies ist die einzige Methode, die die Zugriffskontrolle auf Dokumentebene (ACLs) unterstützt.
Administratorzugriff erforderlich
Für dieses Setup muss ein Google Workspace-Administrator APIs aktivieren, das Dienstkonto erstellen, die domänenweite Delegierung konfigurieren und einen delegierten Administratorbenutzer erstellen. Die AWS Seite benötigt Administratorzugriff auf und IAM. AWS Secrets Manager
Schritt 1: Erstellen Sie ein Google Cloud-Projekt
-
Öffnen Sie die Google Cloud-Konsole
. -
Wählen Sie in der Projektauswahl oben auf der Seite die Option Neues Projekt aus.
-
Geben Sie einen Projektnamen ein und wählen Sie Erstellen.
-
Nachdem das Projekt erstellt wurde, wechseln Sie in der Projektauswahl zu diesem.
Schritt 2: Aktivieren Sie die erforderlichen APIs
-
Wählen Sie im Navigationsmenü der Google Cloud-Konsole APIs & Services und dann Library aus.
-
Suchen Sie nach jeder der folgenden APIs und aktivieren Sie sie:
Google Drive-API
Google Drive-Aktivitäts-API
SDK-API für Administratoren
Schritt 3: Erstellen Sie das Dienstkonto
-
Wählen Sie im Navigationsmenü APIs & Services und dann Credentials aus.
-
Wählen Sie Credentials erstellen und dann Dienstkonto aus.
-
Geben Sie einen Namen (z. B.
bedrock-google-drive-connector) und eine optionale Beschreibung ein und wählen Sie Fertig. -
Wählen Sie auf der Seite „Anmeldeinformationen“ das Dienstkonto aus, das Sie gerade erstellt haben.
-
Kopieren Sie auf der Registerkarte Details die eindeutige ID. Sie verwenden dies in Schritt 5, um die domänenweite Delegierung zu gewähren.
Schritt 4: Generieren Sie einen privaten Schlüssel
-
Wählen Sie auf der Detailseite des Dienstkontos die Registerkarte Schlüssel aus.
-
Wählen Sie „Schlüssel hinzufügen“ und dann „Neuen Schlüssel erstellen“.
-
Wählen Sie JSON und dann Create aus. Ihr Browser lädt eine JSON-Datei herunter, die die Daten
client_emailund des Dienstkontos enthältprivate_key. Speichern Sie die Datei sicher.
Anmerkung
Wenn Sie eine Fehlermeldung erhalten, die besagt, dass die Erstellung von Dienstkontoschlüsseln durch eine Organisationsrichtlinie deaktiviert wurde, müssen Sie die iam.disableServiceAccountKeyCreation Einschränkung für Ihr Projekt außer Kraft setzen. Einzelheiten finden Sie in der Google Cloud-Dokumentation unter Einschränken der Nutzung von Dienstkonten
Schritt 5: Konfigurieren Sie die domänenweite Delegierung
Domain-wide Durch die Delegierung kann das Dienstkonto im Namen der Nutzer in Ihrem Google Workspace handeln.
-
Melden Sie sich als Google Workspace-Administrator bei der Google Workspace Admin Console
an. -
Wählen Sie im Navigationsbereich Sicherheit, Zugriffs- und Datenkontrolle, API-Steuerung aus.
-
Wählen Sie Domainweite Delegation verwalten und dann Neu hinzufügen aus.
-
Geben Sie als Kunden-ID die eindeutige ID des Dienstkontos aus Schritt 3 ein.
-
Geben Sie für OAuth-Bereiche die folgenden kommagetrennten Werte ein:
https://www.googleapis.com/auth/drive.readonly, https://www.googleapis.com/auth/drive.metadata.readonly, https://www.googleapis.com/auth/admin.directory.user.readonly, https://www.googleapis.com/auth/admin.directory.group.readonly, https://www.googleapis.com/auth/cloud-platform, https://www.googleapis.com/auth/forms.body.readonly -
Klicken Sie auf Authorize.
Schritt 6: Erstellen Sie einen delegierten Admin-Benutzer
Das Dienstkonto gibt sich beim Crawlen von Inhalten als Google Workspace-Admin-Nutzer aus. Wir empfehlen, zu diesem Zweck einen dedizierten Admin-Benutzer mit den mindestens erforderlichen Rollen zu erstellen.
-
Wählen Sie in der Google Workspace Admin Console Verzeichnis und dann Nutzer aus.
-
Wählen Sie Neuen Nutzer hinzufügen, geben Sie einen Vornamen, einen Nachnamen und eine primäre E-Mail-Adresse ein und wählen Sie Neuen Nutzer hinzufügen.
-
Öffnen Sie in der Benutzerliste den Benutzer, den Sie erstellt haben.
-
Erweitern Sie den Abschnitt Admin-Rollen und -Rechte und weisen Sie die folgenden Rollen zu:
Gruppenleser
Benutzerverwaltung Admin
Speicheradministrator
-
Wählen Sie Speichern. Notieren Sie sich die E-Mail-Adresse dieses Benutzers. Sie speichern sie geheim als
adminAccountEmail.
Schritt 7: Erstellen Sie das Secrets Manager Manager-Geheimnis
Speichern Sie die Anmeldeinformationen in einem AWS Secrets Manager geheimen Ordner mit den folgenden Schlüssel-Wert-Paaren. Kopieren Sie clientEmail und privateKey aus der JSON-Schlüsseldatei, die Sie in Schritt 4 heruntergeladen haben (verwenden Sie die private_key Werte client_email und).
{ "adminAccountEmail": "admin@your-domain.com", "clientEmail": "your-service-account@your-project.iam.gserviceaccount.com", "privateKey": "your-private-key-from-the-json-key-file" }
Erstellen Sie das Geheimnis mit dem AWS Command Line Interface:
aws secretsmanager create-secret \ --namebedrock-google-drive-sa-creds\ --secret-string file://secret.json
Notieren Sie den geheimen ARN aus der Antwort. Sie verwenden es als DatenquellesecretArn.
Anmerkung
Der privateKey Wert enthält wörtliche \n Escape-Sequenzen aus der JSON-Schlüsseldatei. Lassen Sie sie unverändert, wenn Sie den Wert in das Geheimnis kopieren.
Nächste Schritte
Nachdem Sie das Geheimnis gespeichert haben, erstellen Sie die Datenquelle mit der authType Einstellung aufSERVICE_ACCOUNT. Siehe Eine Google Drive-Datenquelle Connect. Informationen zum Filtern von Abfrageergebnissen nach Benutzerberechtigungen finden Sie unterDocument-level Zugriffskontrollen.