本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 配置谷歌工作空间
<a name="google-drive-kb-google-config"></a>

要将 Amazon Quick 连接到 Google 云端硬盘，请在谷歌云控制台和 Google Workspace 管理控制台中完成以下任务。您可以创建 Google Cloud 项目，打开所需的项目 APIs，生成服务帐号凭据并配置全网域授权。您还可以为服务帐号创建一个专门的管理员用户来模仿。

**先决条件**  
开始之前，请确保您拥有：  
具有管理员权限的 Google 工作空间账号
在 Google Cloud 控制台中创建项目的权限

## 创建谷歌云项目
<a name="google-drive-kb-create-project"></a>

1. 打开谷歌云控制台。

1. 从页面顶部的项目选择器中选择 “**新建项目**”。

1. 输入项目名称，然后选择 “**创建**”。

1. 创建项目后，选择 **“选择项目”** 以切换到该项目。这可能需要一点时间。

## 打开所需的 APIs
<a name="google-drive-kb-enable-apis"></a>

Amazon Quick 需要三个谷歌 APIs。打开 API 库中的每一个。

1. 在导航菜单中，选择 “**APIs 与服务**”，然后选择 “**资源库**”。

1. 搜索以下各项， APIs 然后选择 “**启用**”：
   + 谷歌云硬盘 API
   + 谷歌云端硬盘活动 API
   + 管理员 SDK API

## 创建服务帐号
<a name="google-drive-kb-create-service-account"></a>

1. 在导航菜单中，选择**APIs 和服务**，然后选择**凭据**。

1. 选择 “**创建凭据**”，然后选择 “**服务帐户**”。

1. 输入服务帐号的名称和可选描述，然后选择**完成**。

## 生成私钥
<a name="google-drive-kb-generate-key"></a>

1. 在 “**凭据**” 页面上，选择您创建的服务帐号。

1. 选择 “**密钥**” 选项卡，然后选择 “**添加密钥**”、“**创建新密钥**”。

1. 确认已选择 **JSON**，然后选择**创建**。

浏览器下载包含私钥的 JSON 文件。安全地存储此文件。您将在稍后的步骤中将其上传到 Amazon Quick。

**注意**  
如果您收到一条错误消息，指出服务帐号密钥创建已被组织政策禁用，请参阅[解决组织政策限制](#google-drive-kb-admin-troubleshooting-org-policy)。

## 记录服务账号的唯一 ID
<a name="google-drive-kb-record-unique-id"></a>

1. 在服务账号详细信息页面上，选择**详细信息**选项卡。

1. 复制 “**唯一 ID**” 字段中的值。配置全域委托时需要此值。

## 配置全网域授权
<a name="google-drive-kb-domain-delegation"></a>

全网域授权允许服务帐号代表贵组织中的用户访问 Google Workspace 数据。

1. 在服务帐号详细信息页面上，展开**高级设置**。

1. 选择**查看 Google 工作空间管理员控制台**。管理员控制台将在新选项卡中打开。

1. 在管理员控制台导航窗格中，选择**安全**、**访问和数据控制**、**API 控件**。

1. 选择 “**管理全域授权**”，然后选择 “**新增**”。

1. 在 “**客户端 ID**” 中，输入您之前复制的唯一 ID。

1. 对于**OAuth 作用域**，请输入以下以逗号分隔的值：

   ```
   https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/forms.body.readonly
   ```

1. 选择**授权**。

## 创建委派管理员用户
<a name="google-drive-kb-create-admin-user"></a>

服务帐号代表 Google Workspace 管理员用户行事。为此目的创建专门用户并分配所需的最低角色。

1. 在 Google Workspace 管理员控制台**中，选择目录**，然后选择**用户**。

1. 选择 “**添加新用户”**。

1. 输入新用户的名字、姓氏和主电子邮件地址，然后选择**添加新用户**。

1. 选择**完成**。

1. 从用户列表中选择您创建的用户。如果用户未出现，请刷新页面。

1. 在用户详细信息页面上，展开**管理员角色和权限**部分。

1. 在 “**角色**” 下，分配以下角色：
   + 群组阅读器
   + 用户管理管理员
   + 存储管理员

1. 选择**保存**。

记录该用户的电子邮件地址。当你在 Amazon Quick 中创建知识库时，你需要它。

## Google 工作空间配置疑难解答
<a name="google-drive-kb-google-config-troubleshooting"></a>

### 解决组织政策限制
<a name="google-drive-kb-admin-troubleshooting-org-policy"></a>

如果您在创建服务帐号密钥时收到以下错误：

```
The organization policy constraint iam.disableServiceAccountKeyCreation
is enforced on your organization.
```

**注意**  
对于 2024 年 5 月 3 日当天或之后创建的 Google Cloud 组织，默认情况下会强制执行此限制。

您必须改写项目的政策。

1. 打开 Google Cloud 控制台并确认选择了正确的项目。

1. 在导航菜单中，选择 **IAM 和管理员**，然后选择**组织政策**。

1. 在 “**筛选器**” 字段中输入`iam.disableServiceAccountKeyCreation`。然后，在策略列表中，选择**禁用服务帐号密钥创建**。

1. 选择 “**管理政策**”。
**注意**  
如果 **“管理策略**” 不可用，则需要组织级别的组织策略管理员角色 (`roles/orgpolicy.policyAdmin`)。请参阅[授予组织策略管理员角色](#google-drive-kb-admin-troubleshooting-org-admin-role)。

1. 在 “**策略来源**” 部分中，确保选中 **“覆盖父母的策略**”。

1. 在 “**执行**” 下，关闭该组织政策限制的强制执行。

1. 选择 “**设置策略**”。

更改可能需要几分钟才能传播。

### 授予组织策略管理员角色
<a name="google-drive-kb-admin-troubleshooting-org-admin-role"></a>

组织政策管理员角色 (`roles/orgpolicy.policyAdmin`) 必须在组织级别授予，而不是在项目级别。为项目分配角色时，它不会出现在角色列表中。

要授予此角色，请从 Google Cloud 控制台的项目选择器中选择您的组织（不是项目）。然后，选择 **IAM 和管理员**、**IAM**，并将该角色分配给您的账户。有关详细说明，请参阅 Google Cloud 文档中的[管理项目、文件夹和组织的访问权限](https://cloud.google.com/iam/docs/granting-changing-revoking-access)。

角色分配可能需要几分钟才能传播。