Google Workspace を設定する - Amazon Quick
Google Cloud プロジェクトの作成必要な APIs を有効にするサービスアカウントの作成プライベートキーの生成サービスアカウントの一意の ID の記録ドメイン全体の委任の設定委任管理者ユーザーの作成Google Workspace 設定のトラブルシューティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Google Workspace を設定する

Amazon Quick を Google Drive に接続するには、Google クラウドコンソールと Google Workspace 管理コンソールで次のタスクを実行します。Google Cloud プロジェクトを作成し、必要な APIs を有効にして、サービスアカウントの認証情報を生成し、ドメイン全体の委任を設定します。また、サービスアカウントが偽装する専用の管理者ユーザーを作成します。

前提条件

作業を開始する前に、以下の準備が整っていることを確認します。

  • 管理者アクセス権を持つ Google Workspace アカウント

  • Google Cloud コンソールでプロジェクトを作成するアクセス許可

Google Cloud プロジェクトの作成

  1. Google Cloud コンソールを開きます。

  2. ページ上部のプロジェクトセレクターから、新しいプロジェクトを選択します。

  3. プロジェクト名を入力し、作成を選択します。

  4. プロジェクトを作成したら、プロジェクトの選択を選択して切り替えます。これにはしばらく時間がかかることがあります。

必要な APIs を有効にする

Amazon Quick には 3 つの Google APIsが必要です。API ライブラリからそれぞれをオンにします。

  1. ナビゲーションメニューで、APIsとサービスを選択し、ライブラリを選択します。

  2. 次の各 APIsし、有効化を選択します。

    • Google Drive API

    • Google Drive アクティビティ API

    • 管理者 SDK API

サービスアカウントの作成

  1. ナビゲーションメニューで、APIsとサービスを選択し、認証情報を選択します。

  2. 認証情報の作成を選択し、サービスアカウントを選択します。

  3. サービスアカウントの名前とオプションの説明を入力し、完了を選択します。

プライベートキーの生成

  1. 認証情報ページで、作成したサービスアカウントを選択します。

  2. キータブを選択し、キーの追加新しいキーの作成を選択します。

  3. JSON が選択されていることを確認してから、作成を選択します。

ブラウザは、プライベートキーを含む JSON ファイルをダウンロードします。このファイルを安全に保存します。後のステップで Amazon Quick にアップロードします。

注記

サービスアカウントキーの作成が組織ポリシーによって無効になっていることを示すエラーが表示された場合は、「」を参照してください組織ポリシーの制限の解決

サービスアカウントの一意の ID の記録

  1. サービスアカウントの詳細ページで、詳細タブを選択します。

  2. Unique ID フィールドの値をコピーします。この値は、ドメイン全体の委任を設定するときに必要です。

ドメイン全体の委任の設定

ドメイン全体の委任により、サービスアカウントは組織内のユーザーに代わって Google Workspace データにアクセスできます。

  1. サービスアカウントの詳細ページで、詳細設定を展開します。

  2. Google Workspace 管理コンソールの表示を選択します。管理者コンソールが新しいタブで開きます。

  3. 管理者コンソールのナビゲーションペインで、セキュリティアクセスとデータ管理API コントロールを選択します。

  4. Manage Domain Wide Delegation を選択し、Add new を選択します。

  5. クライアント ID には、前にコピーした一意の ID を入力します。

  6. OAuth スコープの場合は、次のカンマ区切り値を入力します。

    https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/forms.body.readonly

  7. [承認] を選択します。

委任管理者ユーザーの作成

サービスアカウントは、Google Workspace 管理者ユーザーに代わって動作します。この目的のために専用ユーザーを作成し、最低限必要なロールを割り当てます。

  1. Google Workspace 管理コンソールで、ディレクトリを選択し、ユーザーを選択します。

  2. 新しいユーザーの追加 を選択します。

  3. 新しいユーザーの名、姓、プライマリ E メールアドレスを入力し、新しいユーザーの追加を選択します。

  4. [Done] (完了) をクリックします。

  5. ユーザーリストから、作成したユーザーを選択します。ユーザーが表示されない場合は、ページを更新します。

  6. ユーザーの詳細ページで、管理者のロールと権限セクションを展開します。

  7. ロール で、次のロールを割り当てます。

    • グループリーダー

    • ユーザー管理管理者

    • ストレージ管理者

  8. [保存] を選択します。

このユーザーの E メールアドレスを記録します。Amazon Quick でナレッジベースを作成するときに必要になります。

Google Workspace 設定のトラブルシューティング

組織ポリシーの制限の解決

サービスアカウントキーの作成時に次のエラーが発生した場合:

The organization policy constraint iam.disableServiceAccountKeyCreation
is enforced on your organization.
注記

2024 年 5 月 3 日以降に作成された Google クラウド組織の場合、この制約はデフォルトで適用されます。

プロジェクトのポリシーを上書きする必要があります。

  1. Google Cloud コンソールを開き、正しいプロジェクトが選択されていることを確認します。

  2. ナビゲーションメニューで、IAM & Admin を選択し、組織ポリシーを選択します。

  3. Filter フィールドに、 と入力しますiam.disableServiceAccountKeyCreation。次に、ポリシーリストで、サービスアカウントキーの作成を無効にするを選択します。

  4. ポリシーの管理を選択します。

    注記

    管理ポリシーが利用できない場合は、組織レベルで組織ポリシー管理者ロール (roles/orgpolicy.policyAdmin) が必要です。「組織ポリシー管理者ロールの付与」を参照してください。

  5. ポリシーソースセクションで、親のポリシーを上書きが選択されていることを確認します。

  6. 強制で、この組織のポリシー制約の強制をオフにします。

  7. ポリシーの設定 を選択します。

変更が反映されるまでに数分かかる場合があります。

組織ポリシー管理者ロールの付与

Organization Policy Administrator ロール (roles/orgpolicy.policyAdmin) は、プロジェクトレベルではなく、組織レベルで付与する必要があります。プロジェクトにロールを割り当てるときに、ロールリストに表示されません。

このロールを付与するには、Google Cloud コンソールのプロジェクトセレクタから組織 (プロジェクトではない) を選択します。次に、IAM & AdminIAM を選択し、アカウントにロールを割り当てます。詳細な手順については、Google Cloud ドキュメントの「プロジェクト、フォルダ、組織へのアクセスを管理する」を参照してください。

ロールの割り当ての伝播には数分かかる場合があります。