

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Configurare l'autenticazione dell'account di servizio per Google Drive
<a name="kb-managed-googledrive-service-account-setup"></a>

L'autenticazione dell'account di servizio (`SERVICE_ACCOUNT`) è il metodo consigliato per un'origine dati di Google Drive. Un account del servizio Google Cloud si autentica con una chiave privata, quindi impersona un utente amministratore di Google Workspace per eseguire la scansione dei contenuti di Drive per qualsiasi utente del tuo dominio. Questo è l'unico metodo che supporta il controllo degli accessi a livello di documento (ACL).

**È richiesto l'accesso amministrativo**  
Questa configurazione richiede che un amministratore di Google Workspace abiliti le API, crei l'account di servizio, configuri la delega a livello di dominio e crei un utente amministratore delegato. Il AWS lato richiede l'accesso da amministratore a e IAM. AWS Secrets Manager 

## Passaggio 1: crea un progetto Google Cloud
<a name="kb-managed-googledrive-sa-step1"></a>

1. Apri la [console Google Cloud](https://console.cloud.google.com/).

1. Dal selettore di progetto nella parte superiore della pagina, scegli **Nuovo progetto**.

1. Inserisci un nome per il progetto e scegli **Crea**.

1. Dopo aver creato il progetto, passate ad esso dal selettore del progetto.

## Fase 2: Abilitare le API richieste
<a name="kb-managed-googledrive-sa-step2"></a>

1. **Nel menu di navigazione della console Google Cloud, scegli **API e servizi**, quindi Libreria.**

1. Cerca e abilita ciascuna delle seguenti API:
   + **API di Google Drive**
   + **API di attività di Google Drive**
   + **API SDK di amministrazione**

## Fase 3: Creare l'account di servizio
<a name="kb-managed-googledrive-sa-step3"></a>

1. Nel menu di navigazione, scegli **API e servizi**, quindi **Credenziali**.

1. **Scegli **Crea credenziali**, quindi Account di servizio.**

1. Inserisci un nome (ad esempio`bedrock-google-drive-connector`) e una descrizione opzionale, quindi scegli **Fine.**

1. Nella pagina **Credenziali**, scegli l'account di servizio che hai appena creato.

1. Nella scheda **Dettagli**, copia l'**ID univoco.** Lo usi nel passaggio 5 per concedere la delega a livello di dominio.

## Fase 4: Generazione di una chiave privata
<a name="kb-managed-googledrive-sa-step4"></a>

1. Nella pagina dei dettagli dell'account di servizio, scegli la scheda **Chiavi**.

1. Scegli **Aggiungi chiave**, quindi **Crea nuova chiave**.

1. Seleziona **JSON** e scegli **Crea**. Il browser scarica un file JSON contenente l'account del `client_email` servizio e. `private_key` Archivia il file in modo sicuro.

**Nota**  
Se ricevi un errore che indica che la creazione delle chiavi dell'account di servizio è disabilitata da una politica dell'organizzazione, devi ignorare il `iam.disableServiceAccountKeyCreation` vincolo per il tuo progetto. Per i dettagli, consulta [Limitazione dell'utilizzo degli account di servizio](https://cloud.google.com/resource-manager/docs/organization-policy/restricting-service-accounts) nella documentazione di Google Cloud.

## Passaggio 5: configurare la delega a livello di dominio
<a name="kb-managed-googledrive-sa-step5"></a>

Domain-wide la delega consente all'account del servizio di agire per conto degli utenti di Google Workspace.

1. Accedi alla [Console di amministrazione di Google Workspace come amministratore](https://admin.google.com/) di Google Workspace.

1. Nel riquadro di navigazione, scegli **Sicurezza**, **Accesso e controllo dei dati, Controlli** **API**.

1. Scegli **Gestisci delega a livello di dominio**, quindi **Aggiungi nuova**.

1. Per **Client ID**, inserisci l'ID univoco dell'account di servizio dal passaggio 3.

1. Per gli **ambiti OAuth**, inserisci i seguenti valori separati da virgole:

   ```
   https://www.googleapis.com/auth/drive.readonly,
   https://www.googleapis.com/auth/drive.metadata.readonly,
   https://www.googleapis.com/auth/admin.directory.user.readonly,
   https://www.googleapis.com/auth/admin.directory.group.readonly,
   https://www.googleapis.com/auth/cloud-platform,
   https://www.googleapis.com/auth/forms.body.readonly
   ```

1. Seleziona **Authorize** (Autorizza).

## Passaggio 6: creare un utente amministratore delegato
<a name="kb-managed-googledrive-sa-step6"></a>

L'account del servizio impersona un utente amministratore di Google Workspace durante la scansione dei contenuti. Ti consigliamo di creare un utente amministratore dedicato a questo scopo con i ruoli minimi richiesti.

1. Nella Console di amministrazione di Google Workspace, scegli **Directory**, quindi **Utenti**.

1. Scegli **Aggiungi nuovo utente**, inserisci nome, cognome e indirizzo email principale e scegli **Aggiungi nuovo utente**.

1. Dall'elenco degli utenti, apri l'utente che hai creato.

1. Espandi la sezione **Ruoli e privilegi di amministratore** e assegna i seguenti ruoli:
   + **Lettore di gruppi**
   + **Amministratore della gestione degli utenti**
   + **Amministratore dello storage**

1. Scegli **Save** (Salva). Registra l'indirizzo e-mail di questo utente; lo memorizzi nella cartella segreta come`adminAccountEmail`.

## Passaggio 7: Creare il segreto di Secrets Manager
<a name="kb-managed-googledrive-sa-step7"></a>

Memorizza le credenziali in un luogo AWS Secrets Manager segreto con le seguenti coppie chiave-valore. Copia `clientEmail` e `privateKey` recupera dal file di chiave JSON scaricato nel passaggio 4 (usa i `client_email` valori and). `private_key`

```
{
    "adminAccountEmail": "{{admin@your-domain.com}}",
    "clientEmail": "{{your-service-account@your-project.iam.gserviceaccount.com}}",
    "privateKey": "{{your-private-key-from-the-json-key-file}}"
}
```

Crea il segreto con: AWS Command Line Interface

```
aws secretsmanager create-secret \
  --name {{bedrock-google-drive-sa-creds}} \
  --secret-string file://secret.json
```

Registra l'ARN segreto della risposta. Lo usi come fonte `secretArn` di dati.

**Nota**  
Il `privateKey` valore contiene sequenze di `\n` escape letterali dal file di chiave JSON. Conservali così come sono quando copi il valore nel segreto.

## Fasi successive
<a name="kb-managed-googledrive-sa-next"></a>

Dopo aver archiviato il segreto, crea l'origine dati con `authType` set to. `SERVICE_ACCOUNT` Per informazioni, consulta [Connect una fonte di dati Google Drive](kb-managed-ds-googledrive-connect.md). Per filtrare i risultati delle query in base alle autorizzazioni degli utenti, consulta[Document-level controlli di accesso](kb-managed-ds-googledrive-acl.md).