Configuration de Google Workspace - Amazon Quick
Création d'un projet Google CloudActiver le requis APIsCréation du compte de serviceGénération d'une clé privéeEnregistrement de l'identifiant unique du compte de serviceConfiguration de la délégation à l'échelle du domaineCréation d'un utilisateur administrateur déléguéRésolution des problèmes liés à la configuration de Google Workspace

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de Google Workspace

Pour connecter Amazon Quick à Google Drive, effectuez les tâches suivantes dans la console Google Cloud et dans la console d'administration Google Workspace. Vous créez un projet Google Cloud, activez les paramètres requis APIs, générez les informations d'identification du compte de service et configurez la délégation à l'échelle du domaine. Vous créez également un utilisateur administrateur dédié pour que le compte de service se fasse passer pour lui.

Conditions préalables

Avant de commencer, assurez-vous de disposer des éléments suivants :

  • Un compte Google Workspace avec accès administrateur

  • Autorisation de créer des projets dans la console Google Cloud

Création d'un projet Google Cloud

  1. Ouvrez la console Google Cloud.

  2. Dans le sélecteur de projet en haut de la page, choisissez Nouveau projet.

  3. Entrez le nom du projet, puis choisissez Create.

  4. Une fois le projet créé, choisissez Sélectionner un projet pour y accéder. Cela peut prendre quelques instants.

Activer le requis APIs

Amazon Quick nécessite trois Google APIs. Activez chacune d'entre elles depuis la bibliothèque d'API.

  1. Dans le menu de navigation, choisissez APIs & Services, puis Bibliothèque.

  2. Recherchez chacune des options suivantes, APIs puis sélectionnez Activer :

    • API Google Drive

    • API d'activité Google Drive

    • API du SDK d'administration

Création du compte de service

  1. Dans le menu de navigation, choisissez APIs & Services, puis Credentials.

  2. Choisissez Create Credentials, puis choisissez Service account.

  3. Entrez un nom et une description facultative pour le compte de service, puis choisissez OK.

Génération d'une clé privée

  1. Sur la page Informations d'identification, choisissez le compte de service que vous avez créé.

  2. Choisissez l'onglet Clés, puis choisissez Ajouter une clé, Créer une nouvelle clé.

  3. Vérifiez que JSON est sélectionné, puis choisissez Create.

Le navigateur télécharge un fichier JSON contenant la clé privée. Stockez ce fichier en toute sécurité. Vous le chargez sur Amazon Quick ultérieurement.

Note

Si vous recevez un message d'erreur indiquant que la création de clés de compte de service est désactivée par une politique de l'entreprise, consultezRésolution des restrictions liées aux politiques de l'organisation.

Enregistrement de l'identifiant unique du compte de service

  1. Sur la page détaillée du compte de service, choisissez l'onglet Détails.

  2. Copiez la valeur dans le champ ID unique. Vous avez besoin de cette valeur lorsque vous configurez la délégation à l'échelle du domaine.

Configuration de la délégation à l'échelle du domaine

La délégation à l'échelle du domaine permet au compte de service d'accéder aux données de Google Workspace au nom des utilisateurs de votre organisation.

  1. Sur la page détaillée du compte de service, développez les paramètres avancés.

  2. Choisissez Afficher la console d'administration Google Workspace. La console d'administration s'ouvre dans un nouvel onglet.

  3. Dans le volet de navigation de la console d'administration, choisissez Security, Access and data control, API controls.

  4. Choisissez Gérer la délégation à l'échelle du domaine, puis sélectionnez Ajouter un nouveau.

  5. Dans le champ ID client, entrez l'identifiant unique que vous avez copié précédemment.

  6. Pour les OAuth étendues, entrez les valeurs suivantes séparées par des virgules :

    https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/forms.body.readonly

  7. Choisissez Authorize (Autoriser).

Création d'un utilisateur administrateur délégué

Le compte de service agit pour le compte d'un utilisateur administrateur de Google Workspace. Créez un utilisateur dédié à cet effet et attribuez les rôles minimaux requis.

  1. Dans la console d'administration Google Workspace, sélectionnez Annuaire, puis Utilisateurs.

  2. Choisissez Ajouter un nouvel utilisateur.

  3. Entrez le prénom, le nom de famille et l'adresse e-mail principale du nouvel utilisateur, puis choisissez Ajouter un nouvel utilisateur.

  4. Sélectionnez Exécuté.

  5. Dans la liste des utilisateurs, sélectionnez l'utilisateur que vous avez créé. Si l'utilisateur n'apparaît pas, actualisez la page.

  6. Sur la page détaillée de l'utilisateur, développez la section Rôles et privilèges d'administrateur.

  7. Sous Rôles, attribuez les rôles suivants :

    • Lecteur de groupes

    • Administrateur de la gestion des utilisateurs

    • Administrateur du stockage

  8. Choisissez Enregistrer.

Enregistrez l'adresse e-mail de cet utilisateur. Vous en avez besoin lorsque vous créez la base de connaissances dans Amazon Quick.

Résolution des problèmes liés à la configuration de Google Workspace

Résolution des restrictions liées aux politiques de l'organisation

Si le message d'erreur suivant s'affiche lors de la création d'une clé de compte de service :

The organization policy constraint iam.disableServiceAccountKeyCreation
is enforced on your organization.
Note

Pour les organisations Google Cloud créées le 3 mai 2024 ou après cette date, cette contrainte est appliquée par défaut.

Vous devez annuler la politique de votre projet.

  1. Ouvrez la console Google Cloud et vérifiez que le bon projet est sélectionné.

  2. Dans le menu de navigation, choisissez IAM & Admin, puis choisissez Organization Policies.

  3. Dans le champ Filtre, entreziam.disableServiceAccountKeyCreation. Ensuite, dans la liste des politiques, choisissez Désactiver la création de clés de compte de service.

  4. Choisissez Gérer la politique.

    Note

    Si l'option Gérer la politique n'est pas disponible, vous avez besoin du rôle d'administrateur des politiques d'organisation (roles/orgpolicy.policyAdmin) au niveau de l'organisation. Consultez Octroi du rôle d'administrateur des politiques de l'organisation.

  5. Dans la section Source de la politique, assurez-vous que l'option Remplacer la politique du parent est sélectionnée.

  6. Sous Application, désactivez l'application de cette contrainte de politique d'organisation.

  7. Choisissez Définir une politique.

La propagation de la modification peut prendre plusieurs minutes.

Octroi du rôle d'administrateur des politiques de l'organisation

Le rôle d'administrateur des politiques de l'organisation (roles/orgpolicy.policyAdmin) doit être accordé au niveau de l'organisation, et non au niveau du projet. Il n'apparaît pas dans la liste des rôles lors de l'attribution de rôles à un projet.

Pour attribuer ce rôle, sélectionnez votre organisation (et non un projet) dans le sélecteur de projets de la console Google Cloud. Choisissez ensuite IAM & Admin, IAM et attribuez le rôle à votre compte. Pour obtenir des instructions détaillées, consultez la section Gérer l'accès aux projets, aux dossiers et aux organisations dans la documentation de Google Cloud.

La propagation de l'attribution du rôle peut prendre plusieurs minutes.