View a markdown version of this page

Configurare l'autenticazione dell'account di servizio per Google Drive - Amazon Bedrock

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurare l'autenticazione dell'account di servizio per Google Drive

L'autenticazione dell'account di servizio (SERVICE_ACCOUNT) è il metodo consigliato per un'origine dati di Google Drive. Un account del servizio Google Cloud si autentica con una chiave privata, quindi impersona un utente amministratore di Google Workspace per eseguire la scansione dei contenuti di Drive per qualsiasi utente del tuo dominio. Questo è l'unico metodo che supporta il controllo degli accessi a livello di documento (ACL).

È richiesto l'accesso amministrativo

Questa configurazione richiede che un amministratore di Google Workspace abiliti le API, crei l'account di servizio, configuri la delega a livello di dominio e crei un utente amministratore delegato. Il AWS lato richiede l'accesso da amministratore a e IAM. AWS Secrets Manager

Passaggio 1: crea un progetto Google Cloud

  1. Apri la console Google Cloud.

  2. Dal selettore di progetto nella parte superiore della pagina, scegli Nuovo progetto.

  3. Inserisci un nome per il progetto e scegli Crea.

  4. Dopo aver creato il progetto, passate ad esso dal selettore del progetto.

Fase 2: Abilitare le API richieste

  1. Nel menu di navigazione della console Google Cloud, scegli API e servizi, quindi Libreria.

  2. Cerca e abilita ciascuna delle seguenti API:

    • API di Google Drive

    • API di attività di Google Drive

    • API SDK di amministrazione

Fase 3: Creare l'account di servizio

  1. Nel menu di navigazione, scegli API e servizi, quindi Credenziali.

  2. Scegli Crea credenziali, quindi Account di servizio.

  3. Inserisci un nome (ad esempiobedrock-google-drive-connector) e una descrizione opzionale, quindi scegli Fine.

  4. Nella pagina Credenziali, scegli l'account di servizio che hai appena creato.

  5. Nella scheda Dettagli, copia l'ID univoco. Lo usi nel passaggio 5 per concedere la delega a livello di dominio.

Fase 4: Generazione di una chiave privata

  1. Nella pagina dei dettagli dell'account di servizio, scegli la scheda Chiavi.

  2. Scegli Aggiungi chiave, quindi Crea nuova chiave.

  3. Seleziona JSON e scegli Crea. Il browser scarica un file JSON contenente l'account del client_email servizio e. private_key Archivia il file in modo sicuro.

Nota

Se ricevi un errore che indica che la creazione delle chiavi dell'account di servizio è disabilitata da una politica dell'organizzazione, devi ignorare il iam.disableServiceAccountKeyCreation vincolo per il tuo progetto. Per i dettagli, consulta Limitazione dell'utilizzo degli account di servizio nella documentazione di Google Cloud.

Passaggio 5: configurare la delega a livello di dominio

Domain-wide la delega consente all'account del servizio di agire per conto degli utenti di Google Workspace.

  1. Accedi alla Console di amministrazione di Google Workspace come amministratore di Google Workspace.

  2. Nel riquadro di navigazione, scegli Sicurezza, Accesso e controllo dei dati, Controlli API.

  3. Scegli Gestisci delega a livello di dominio, quindi Aggiungi nuova.

  4. Per Client ID, inserisci l'ID univoco dell'account di servizio dal passaggio 3.

  5. Per gli ambiti OAuth, inserisci i seguenti valori separati da virgole:

    https://www.googleapis.com/auth/drive.readonly, https://www.googleapis.com/auth/drive.metadata.readonly, https://www.googleapis.com/auth/admin.directory.user.readonly, https://www.googleapis.com/auth/admin.directory.group.readonly, https://www.googleapis.com/auth/cloud-platform, https://www.googleapis.com/auth/forms.body.readonly
  6. Seleziona Authorize (Autorizza).

Passaggio 6: creare un utente amministratore delegato

L'account del servizio impersona un utente amministratore di Google Workspace durante la scansione dei contenuti. Ti consigliamo di creare un utente amministratore dedicato a questo scopo con i ruoli minimi richiesti.

  1. Nella Console di amministrazione di Google Workspace, scegli Directory, quindi Utenti.

  2. Scegli Aggiungi nuovo utente, inserisci nome, cognome e indirizzo email principale e scegli Aggiungi nuovo utente.

  3. Dall'elenco degli utenti, apri l'utente che hai creato.

  4. Espandi la sezione Ruoli e privilegi di amministratore e assegna i seguenti ruoli:

    • Lettore di gruppi

    • Amministratore della gestione degli utenti

    • Amministratore dello storage

  5. Scegli Save (Salva). Registra l'indirizzo e-mail di questo utente; lo memorizzi nella cartella segreta comeadminAccountEmail.

Passaggio 7: Creare il segreto di Secrets Manager

Memorizza le credenziali in un luogo AWS Secrets Manager segreto con le seguenti coppie chiave-valore. Copia clientEmail e privateKey recupera dal file di chiave JSON scaricato nel passaggio 4 (usa i client_email valori and). private_key

{ "adminAccountEmail": "admin@your-domain.com", "clientEmail": "your-service-account@your-project.iam.gserviceaccount.com", "privateKey": "your-private-key-from-the-json-key-file" }

Crea il segreto con: AWS Command Line Interface

aws secretsmanager create-secret \ --name bedrock-google-drive-sa-creds \ --secret-string file://secret.json

Registra l'ARN segreto della risposta. Lo usi come fonte secretArn di dati.

Nota

Il privateKey valore contiene sequenze di \n escape letterali dal file di chiave JSON. Conservali così come sono quando copi il valore nel segreto.

Fasi successive

Dopo aver archiviato il segreto, crea l'origine dati con authType set to. SERVICE_ACCOUNT Per informazioni, consulta Connect una fonte di dati Google Drive. Per filtrare i risultati delle query in base alle autorizzazioni degli utenti, consultaDocument-level controlli di accesso.