

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Richten Sie die Dienstkontoauthentifizierung für Google Drive ein
<a name="kb-managed-googledrive-service-account-setup"></a>

Die Dienstkontoauthentifizierung (`SERVICE_ACCOUNT`) ist die empfohlene Methode für eine Google Drive-Datenquelle. Ein Google Cloud-Dienstkonto authentifiziert sich mit einem privaten Schlüssel und gibt sich dann als Google Workspace-Admin-Nutzer aus, um Drive-Inhalte für jeden Nutzer in Ihrer Domain zu crawlen. Dies ist die einzige Methode, die die Zugriffskontrolle auf Dokumentebene (ACLs) unterstützt.

**Administratorzugriff erforderlich**  
Für dieses Setup muss ein Google Workspace-Administrator APIs aktivieren, das Dienstkonto erstellen, die domänenweite Delegierung konfigurieren und einen delegierten Administratorbenutzer erstellen. Die AWS Seite benötigt Administratorzugriff auf und IAM. AWS Secrets Manager 

## Schritt 1: Erstellen Sie ein Google Cloud-Projekt
<a name="kb-managed-googledrive-sa-step1"></a>

1. Öffnen Sie die [Google Cloud-Konsole](https://console.cloud.google.com/).

1. Wählen Sie in der Projektauswahl oben auf der Seite die Option **Neues Projekt** aus.

1. Geben Sie einen Projektnamen ein und wählen Sie **Erstellen**.

1. Nachdem das Projekt erstellt wurde, wechseln Sie in der Projektauswahl zu diesem.

## Schritt 2: Aktivieren Sie die erforderlichen APIs
<a name="kb-managed-googledrive-sa-step2"></a>

1. Wählen Sie im Navigationsmenü der Google Cloud-Konsole **APIs & Services und** dann **Library** aus.

1. Suchen Sie nach jeder der folgenden APIs und aktivieren Sie sie:
   + **Google Drive-API**
   + **Google Drive-Aktivitäts-API**
   + **SDK-API für Administratoren**

## Schritt 3: Erstellen Sie das Dienstkonto
<a name="kb-managed-googledrive-sa-step3"></a>

1. Wählen Sie im Navigationsmenü **APIs & Services und** dann **Credentials** aus.

1. Wählen Sie **Credentials erstellen** und dann **Dienstkonto** aus.

1. Geben Sie einen Namen (z. B.`bedrock-google-drive-connector`) und eine optionale Beschreibung ein und wählen Sie **Fertig**.

1. Wählen Sie auf der Seite „**Anmeldeinformationen**“ das Dienstkonto aus, das Sie gerade erstellt haben.

1. Kopieren Sie auf der Registerkarte **Details** die **eindeutige ID**. Sie verwenden dies in Schritt 5, um die domänenweite Delegierung zu gewähren.

## Schritt 4: Generieren Sie einen privaten Schlüssel
<a name="kb-managed-googledrive-sa-step4"></a>

1. Wählen Sie auf der Detailseite des Dienstkontos die Registerkarte **Schlüssel** aus.

1. Wählen Sie „**Schlüssel hinzufügen**“ und dann „**Neuen Schlüssel erstellen**“.

1. Wählen Sie **JSON** und dann **Create** aus. Ihr Browser lädt eine JSON-Datei herunter, die die Daten `client_email` und des Dienstkontos enthält`private_key`. Speichern Sie die Datei sicher.

**Anmerkung**  
Wenn Sie eine Fehlermeldung erhalten, die besagt, dass die Erstellung von Dienstkontoschlüsseln durch eine Organisationsrichtlinie deaktiviert wurde, müssen Sie die `iam.disableServiceAccountKeyCreation` Einschränkung für Ihr Projekt außer Kraft setzen. Einzelheiten finden Sie in der Google Cloud-Dokumentation unter [Einschränken der Nutzung von Dienstkonten](https://cloud.google.com/resource-manager/docs/organization-policy/restricting-service-accounts).

## Schritt 5: Konfigurieren Sie die domänenweite Delegierung
<a name="kb-managed-googledrive-sa-step5"></a>

Domain-wide Durch die Delegierung kann das Dienstkonto im Namen der Nutzer in Ihrem Google Workspace handeln.

1. Melden Sie sich als [Google Workspace-Administrator bei der Google Workspace Admin Console](https://admin.google.com/) an.

1. Wählen Sie im Navigationsbereich **Sicherheit**, **Zugriffs- und Datenkontrolle**, **API-Steuerung** aus.

1. Wählen Sie **Domainweite Delegation verwalten** und dann **Neu hinzufügen** aus.

1. Geben Sie als **Kunden-ID** die eindeutige ID des Dienstkontos aus Schritt 3 ein.

1. Geben Sie für **OAuth-Bereiche die folgenden kommagetrennten** Werte ein:

   ```
   https://www.googleapis.com/auth/drive.readonly,
   https://www.googleapis.com/auth/drive.metadata.readonly,
   https://www.googleapis.com/auth/admin.directory.user.readonly,
   https://www.googleapis.com/auth/admin.directory.group.readonly,
   https://www.googleapis.com/auth/cloud-platform,
   https://www.googleapis.com/auth/forms.body.readonly
   ```

1. Klicken Sie auf **Authorize**.

## Schritt 6: Erstellen Sie einen delegierten Admin-Benutzer
<a name="kb-managed-googledrive-sa-step6"></a>

Das Dienstkonto gibt sich beim Crawlen von Inhalten als Google Workspace-Admin-Nutzer aus. Wir empfehlen, zu diesem Zweck einen dedizierten Admin-Benutzer mit den mindestens erforderlichen Rollen zu erstellen.

1. Wählen Sie in der Google Workspace Admin Console **Verzeichnis** und dann **Nutzer** aus.

1. Wählen **Sie Neuen Nutzer hinzufügen**, geben Sie einen Vornamen, einen Nachnamen und eine primäre E-Mail-Adresse ein und wählen Sie **Neuen Nutzer hinzufügen**.

1. Öffnen Sie in der Benutzerliste den Benutzer, den Sie erstellt haben.

1. Erweitern Sie den Abschnitt **Admin-Rollen und -Rechte** und weisen Sie die folgenden Rollen zu:
   + **Gruppenleser**
   + **Benutzerverwaltung Admin**
   + **Speicheradministrator**

1. Wählen Sie **Speichern**. Notieren Sie sich die E-Mail-Adresse dieses Benutzers. Sie speichern sie geheim als`adminAccountEmail`.

## Schritt 7: Erstellen Sie das Secrets Manager Manager-Geheimnis
<a name="kb-managed-googledrive-sa-step7"></a>

Speichern Sie die Anmeldeinformationen in einem AWS Secrets Manager geheimen Ordner mit den folgenden Schlüssel-Wert-Paaren. Kopieren Sie `clientEmail` und `privateKey` aus der JSON-Schlüsseldatei, die Sie in Schritt 4 heruntergeladen haben (verwenden Sie die `private_key` Werte `client_email` und).

```
{
    "adminAccountEmail": "{{admin@your-domain.com}}",
    "clientEmail": "{{your-service-account@your-project.iam.gserviceaccount.com}}",
    "privateKey": "{{your-private-key-from-the-json-key-file}}"
}
```

Erstellen Sie das Geheimnis mit dem AWS Command Line Interface:

```
aws secretsmanager create-secret \
  --name {{bedrock-google-drive-sa-creds}} \
  --secret-string file://secret.json
```

Notieren Sie den geheimen ARN aus der Antwort. Sie verwenden es als Datenquelle`secretArn`.

**Anmerkung**  
Der `privateKey` Wert enthält wörtliche `\n` Escape-Sequenzen aus der JSON-Schlüsseldatei. Lassen Sie sie unverändert, wenn Sie den Wert in das Geheimnis kopieren.

## Nächste Schritte
<a name="kb-managed-googledrive-sa-next"></a>

Nachdem Sie das Geheimnis gespeichert haben, erstellen Sie die Datenquelle mit der `authType` Einstellung auf`SERVICE_ACCOUNT`. Siehe [Eine Google Drive-Datenquelle Connect](kb-managed-ds-googledrive-connect.md). Informationen zum Filtern von Abfrageergebnissen nach Benutzerberechtigungen finden Sie unter[Document-level Zugriffskontrollen](kb-managed-ds-googledrive-acl.md).