

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 Google Drive 的 OAuth 2.0 身分驗證
<a name="kb-managed-googledrive-oauth2-setup"></a>

OAuth 2.0 身分驗證 (`OAUTH2`) 會使用 OAuth 2.0 用戶端 ID 和秘密進行身分驗證，以及您從單一 Google 使用者登入取得的重新整理字符。連接器只會存取使用者可存取的內容：自己的磁碟機、與其共用的檔案，以及他們所屬的任何共用磁碟機。

**重要**  
OAuth 2.0 不支援文件層級存取控制 (ACLs)。若要依使用者許可篩選查詢結果，請使用服務帳戶身分驗證。請參閱 [設定 Google Drive 的服務帳戶身分驗證](kb-managed-googledrive-service-account-setup.md)。

## 步驟 1：啟用 Google Drive API
<a name="kb-managed-googledrive-oauth2-step1"></a>

1. 開啟 [Google Cloud 主控台](https://console.cloud.google.com/)，然後選取或建立專案。

1. 在導覽功能表中，選擇 **APIs & Services**，然後選擇**程式庫**。

1. 搜尋 **Google Drive API**，然後選擇**啟用**。

## 步驟 2：建立 OAuth 2.0 登入資料
<a name="kb-managed-googledrive-oauth2-step2"></a>

1. 在導覽功能表中，選擇 **APIs & Services**，然後選擇**登入資料**。

1. 如果出現提示，請先設定 **OAuth 同意畫面**。如果您的 Google Workspace 管理員允許，請選取**內部**，否則選取**外部**。新增名稱、支援電子郵件和`https://www.googleapis.com/auth/drive.readonly`範圍。

1. 在**登入**資料頁面上，選擇**建立登入**資料，然後選擇 **OAuth 用戶端 ID**。

1. 針對**應用程式類型**，選擇 **Web 應用程式**。

1. 在**授權重新導向 URIs**下，新增 `https://developers.google.com/oauthplayground`，讓您可以在步驟 3 中取得重新整理權杖。

1. 選擇**建立**。複製**用戶端 ID** 和**用戶端秘密**。

## 步驟 3：取得重新整理權杖
<a name="kb-managed-googledrive-oauth2-step3"></a>

使用 OAuth 2.0 遊樂場為連接器應使用其存取權的 Google 使用者取得重新整理權杖。使用者必須能夠存取您要爬取的所有磁碟機內容。

1. 開啟 [OAuth 2.0 遊樂場。](https://developers.google.com/oauthplayground/)

1. 選擇齒輪圖示 (**OAuth 2.0 組態**)，選取**使用您自己的 OAuth 登入**資料，然後從步驟 2 輸入用戶端 ID 和用戶端秘密。

1. 在**步驟 1：選取並授權 APIs** `https://www.googleapis.com/auth/drive.readonly`中，在**輸入您自己的範圍欄位中輸入 **，然後選擇**授權 APIs**。

1. 以連接器應使用其存取權的 Google 使用者身分登入，並授予請求的許可。

1. 在**步驟 2：權杖的交換授權碼**中，選擇**權杖的交換授權碼**。從回應複製**重新整理字符**。

## 步驟 4：建立 Secrets Manager 秘密
<a name="kb-managed-googledrive-oauth2-step4"></a>

使用下列鍵/值對將登入資料存放在 AWS Secrets Manager 秘密中：

```
{
    "clientId": "{{your-client-id}}",
    "clientSecret": "{{your-client-secret}}",
    "refreshToken": "{{your-refresh-token}}"
}
```

使用 建立秘密 AWS Command Line Interface：

```
aws secretsmanager create-secret \
  --name {{bedrock-google-drive-oauth2-creds}} \
  --secret-string file://secret.json
```

從回應記錄秘密 ARN。您可以使用它做為資料來源 `secretArn`。

**注意**  
如果重新整理字符被撤銷或過期，同步會失敗並出現身分驗證錯誤。使用者、Google Workspace 管理員或長時間閒置後，都可以撤銷重新整理字符。重新執行 OAuth 2.0 遊樂場流程以取得新的重新整理字符，並更新秘密。

## 後續步驟
<a name="kb-managed-googledrive-oauth2-next"></a>

存放秘密之後，請建立將 `authType` 設為 的資料來源`OAUTH2`。請參閱[連接 Google Drive 資料來源](kb-managed-ds-googledrive-connect.md)。