配置谷歌工作空间 - Amazon Quick
创建谷歌云项目打开所需的 APIs创建服务帐号生成私钥记录服务账号的唯一 ID配置全网域授权创建委派管理员用户Google 工作空间配置疑难解答

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置谷歌工作空间

要将 Amazon Quick 连接到 Google 云端硬盘,请在谷歌云控制台和 Google Workspace 管理控制台中完成以下任务。您可以创建 Google Cloud 项目,打开所需的项目 APIs,生成服务帐号凭据并配置全网域授权。您还可以为服务帐号创建一个专门的管理员用户来模仿。

先决条件

开始之前,请确保您拥有:

  • 具有管理员权限的 Google 工作空间账号

  • 在 Google Cloud 控制台中创建项目的权限

创建谷歌云项目

  1. 打开谷歌云控制台。

  2. 从页面顶部的项目选择器中选择 “新建项目”。

  3. 输入项目名称,然后选择 “创建”。

  4. 创建项目后,选择 “选择项目” 以切换到该项目。这可能需要一点时间。

打开所需的 APIs

Amazon Quick 需要三个谷歌 APIs。打开 API 库中的每一个。

  1. 在导航菜单中,选择 “APIs 与服务”,然后选择 “资源库”。

  2. 搜索以下各项, APIs 然后选择 “启用”:

    • 谷歌云硬盘 API

    • 谷歌云端硬盘活动 API

    • 管理员 SDK API

创建服务帐号

  1. 在导航菜单中,选择APIs 和服务,然后选择凭据

  2. 选择 “创建凭据”,然后选择 “服务帐户”。

  3. 输入服务帐号的名称和可选描述,然后选择完成

生成私钥

  1. 在 “凭据” 页面上,选择您创建的服务帐号。

  2. 选择 “密钥” 选项卡,然后选择 “添加密钥”、“创建新密钥”。

  3. 确认已选择 JSON,然后选择创建

浏览器下载包含私钥的 JSON 文件。安全地存储此文件。您将在稍后的步骤中将其上传到 Amazon Quick。

注意

如果您收到一条错误消息,指出服务帐号密钥创建已被组织政策禁用,请参阅解决组织政策限制

记录服务账号的唯一 ID

  1. 在服务账号详细信息页面上,选择详细信息选项卡。

  2. 复制 “唯一 ID” 字段中的值。配置全域委托时需要此值。

配置全网域授权

全网域授权允许服务帐号代表贵组织中的用户访问 Google Workspace 数据。

  1. 在服务帐号详细信息页面上,展开高级设置

  2. 选择查看 Google 工作空间管理员控制台。管理员控制台将在新选项卡中打开。

  3. 在管理员控制台导航窗格中,选择安全访问和数据控制API 控件

  4. 选择 “管理全域授权”,然后选择 “新增”。

  5. 在 “客户端 ID” 中,输入您之前复制的唯一 ID。

  6. 对于OAuth 作用域,请输入以下以逗号分隔的值:

    https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/forms.body.readonly

  7. 选择授权

创建委派管理员用户

服务帐号代表 Google Workspace 管理员用户行事。为此目的创建专门用户并分配所需的最低角色。

  1. 在 Google Workspace 管理员控制台中,选择目录,然后选择用户

  2. 选择 “添加新用户”

  3. 输入新用户的名字、姓氏和主电子邮件地址,然后选择添加新用户

  4. 选择完成

  5. 从用户列表中选择您创建的用户。如果用户未出现,请刷新页面。

  6. 在用户详细信息页面上,展开管理员角色和权限部分。

  7. 在 “角色” 下,分配以下角色:

    • 群组阅读器

    • 用户管理管理员

    • 存储管理员

  8. 选择保存

记录该用户的电子邮件地址。当你在 Amazon Quick 中创建知识库时,你需要它。

Google 工作空间配置疑难解答

解决组织政策限制

如果您在创建服务帐号密钥时收到以下错误:

The organization policy constraint iam.disableServiceAccountKeyCreation
is enforced on your organization.
注意

对于 2024 年 5 月 3 日当天或之后创建的 Google Cloud 组织,默认情况下会强制执行此限制。

您必须改写项目的政策。

  1. 打开 Google Cloud 控制台并确认选择了正确的项目。

  2. 在导航菜单中,选择 IAM 和管理员,然后选择组织政策

  3. 在 “筛选器” 字段中输入iam.disableServiceAccountKeyCreation。然后,在策略列表中,选择禁用服务帐号密钥创建

  4. 选择 “管理政策”。

    注意

    如果 “管理策略” 不可用,则需要组织级别的组织策略管理员角色 (roles/orgpolicy.policyAdmin)。请参阅授予组织策略管理员角色

  5. 在 “策略来源” 部分中,确保选中 “覆盖父母的策略”。

  6. 在 “执行” 下,关闭该组织政策限制的强制执行。

  7. 选择 “设置策略”。

更改可能需要几分钟才能传播。

授予组织策略管理员角色

组织政策管理员角色 (roles/orgpolicy.policyAdmin) 必须在组织级别授予,而不是在项目级别。为项目分配角色时,它不会出现在角色列表中。

要授予此角色,请从 Google Cloud 控制台的项目选择器中选择您的组织(不是项目)。然后,选择 IAM 和管理员IAM,并将该角色分配给您的账户。有关详细说明,请参阅 Google Cloud 文档中的管理项目、文件夹和组织的访问权限

角色分配可能需要几分钟才能传播。