設定 Google 工作區 - Amazon Quick
建立 Google Cloud 專案開啟所需的 APIs建立服務帳戶產生私有金鑰記錄服務帳戶唯一 ID設定全網域委派建立委派的管理員使用者故障診斷 Google Workspace 組態

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 Google 工作區

若要將 Amazon Quick 連線至 Google Drive,請在 Google Cloud 主控台和 Google Workspace Admin 主控台中完成下列任務。您可以建立 Google Cloud 專案、開啟所需的 APIs、產生服務帳戶登入資料,以及設定全網域委派。您也可以為服務帳戶建立專用管理員使用者來模擬。

先決條件

開始前,請確定您有下列項目:

  • 具有管理員存取權的 Google Workspace 帳戶

  • 在 Google Cloud 主控台中建立專案的許可

建立 Google Cloud 專案

  1. 開啟 Google Cloud 主控台。

  2. 從頁面頂端的專案選擇器中,選擇新專案

  3. 輸入專案名稱,然後選擇建立

  4. 建立專案之後,請選擇選取專案以切換到專案。這可能需要一些時間。

開啟所需的 APIs

Amazon Quick 需要三個 Google APIs。從 API Library 開啟每個項目。

  1. 在導覽功能表中,選擇 APIs和服務,然後選擇程式庫

  2. 搜尋下列每個 APIs然後選擇啟用

    • Google Drive API

    • Google Drive 活動 API

    • 管理員 SDK API

建立服務帳戶

  1. 在導覽功能表中,選擇 APIs & Services,然後選擇登入資料。

  2. 選擇建立登入資料,然後選擇服務帳戶

  3. 輸入服務帳戶的名稱和選用描述,然後選擇完成

產生私有金鑰

  1. 登入資料頁面上,選擇您建立的服務帳戶。

  2. 選擇金鑰索引標籤,然後選擇新增金鑰建立新金鑰

  3. 確認已選取 JSON,然後選擇建立

瀏覽器會下載包含私有金鑰的 JSON 檔案。安全地存放此檔案。您稍後會將其上傳至 Amazon Quick。

注意

如果您收到錯誤,指出組織政策已停用服務帳戶金鑰建立,請參閱 解決組織政策限制

記錄服務帳戶唯一 ID

  1. 在服務帳戶詳細資訊頁面上,選擇詳細資訊索引標籤。

  2. 複製唯一 ID 欄位中的值。設定全網域委派時,您需要此值。

設定全網域委派

全網域委派可讓服務帳戶代表您組織中的使用者存取 Google Workspace 資料。

  1. 在服務帳戶詳細資訊頁面上,展開進階設定

  2. 選擇檢視 Google Workspace Admin Console。管理員主控台會在新索引標籤中開啟。

  3. 在管理員主控台導覽窗格中,選擇安全性存取和資料控制API 控制

  4. 選擇管理全網域委派,然後選擇新增

  5. 針對用戶端 ID,輸入您先前複製的唯一 ID。

  6. 針對 OAuth 範圍,輸入下列逗號分隔值:

    https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/forms.body.readonly

  7. 選擇 Authorize (授權)。

建立委派的管理員使用者

服務帳戶代表 Google Workspace 管理員使用者。為此目的建立專用使用者,並指派所需的最低角色。

  1. 在 Google Workspace Admin Console 中,選擇目錄,然後選擇使用者

  2. 選擇新增使用者

  3. 輸入新使用者的名字、姓氏和主要電子郵件地址,然後選擇新增新使用者

  4. 選擇完成

  5. 從使用者清單中,選擇您建立的使用者。如果使用者未出現,請重新整理頁面。

  6. 在使用者詳細資訊頁面上,展開管理員角色和權限區段。

  7. 角色下,指派下列角色:

    • Groups Reader

    • 使用者管理管理員

    • 儲存管理員

  8. 選擇儲存

記錄此使用者的電子郵件地址。在 Amazon Quick 中建立知識庫時需要它。

故障診斷 Google Workspace 組態

解決組織政策限制

如果您在建立服務帳戶金鑰時收到下列錯誤:

The organization policy constraint iam.disableServiceAccountKeyCreation
is enforced on your organization.
注意

對於在 2024 年 5 月 3 日當天或之後建立的 Google Cloud 組織,預設會強制執行此限制。

您必須覆寫專案的政策。

  1. 開啟 Google Cloud 主控台並確認已選取正確的專案。

  2. 在導覽功能表中,選擇 IAM & Admin,然後選擇組織政策

  3. 篩選條件欄位中,輸入 iam.disableServiceAccountKeyCreation。然後,在政策清單中,選擇停用服務帳戶金鑰建立

  4. 選擇管理政策

    注意

    如果管理政策無法使用,您需要組織層級的組織政策管理員角色 (roles/orgpolicy.policyAdmin)。請參閱 授予組織政策管理員角色

  5. 政策來源區段中,確定已選取覆寫父系的政策

  6. 強制執行下,關閉此組織政策限制的強制執行。

  7. 選擇設定政策

變更可能需要幾分鐘的時間才能傳播。

授予組織政策管理員角色

組織政策管理員角色 (roles/orgpolicy.policyAdmin) 必須授予組織層級,而非專案層級。將角色指派給專案時,不會出現在角色清單中。

若要授予此角色,請從 Google Cloud 主控台的專案選取器中選取您的組織 (而非專案)。然後,選擇 IAM & AdminIAM,並將角色指派給您的帳戶。如需詳細說明,請參閱 Google Cloud 文件中的管理對專案、資料夾和組織的存取

角色指派可能需要幾分鐘的時間才能傳播。