Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Google Workspace konfigurieren
Um Amazon Quick mit Google Drive zu verbinden, führen Sie die folgenden Aufgaben in der Google Cloud Console und der Google Workspace Admin Console aus. Sie erstellen ein Google Cloud-Projekt, aktivieren die erforderlichen APIs, generieren Anmeldeinformationen für das Dienstkonto und konfigurieren die domänenweite Delegierung. Sie erstellen auch einen dedizierten Admin-Benutzer für das Dienstkonto, der sich als Benutzer ausgeben kann.
**Voraussetzungen**
Stellen Sie vor dem Beginn sicher, dass Sie über Folgendes verfügen:
Ein Google Workspace-Konto mit Administratorzugriff
Erlaubnis zum Erstellen von Projekten in der Google Cloud Console
## Ein Google Cloud-Projekt erstellen
1. Öffnen Sie die Google Cloud-Konsole.
1. Wählen Sie in der Projektauswahl oben auf der Seite die Option **Neues Projekt** aus.
1. Geben Sie einen Projektnamen ein und wählen Sie dann **Erstellen**.
1. Nachdem das Projekt erstellt wurde, wählen Sie **„Projekt auswählen“**, um zu dem Projekt zu wechseln. Dieser Vorgang kann einige Minuten dauern.
## Die erforderlichen APIs einschalten
Amazon Quick benötigt drei Google-APIs. Schalten Sie jede aus der API-Bibliothek ein.
1. Wählen Sie im Navigationsmenü **APIs & Services und** anschließend **Library** aus.
1. Suchen Sie nach jeder der folgenden APIs und wählen Sie **Aktivieren** aus:
+ Google Drive-API
+ Google Drive-Aktivitäts-API
+ SDK-API für Administratoren
## Das Dienstkonto wird erstellt
1. Wählen Sie im Navigationsmenü **APIs & Services und** anschließend **Credentials** aus.
1. Wählen Sie **Credentials erstellen** und anschließend **Service-Konto** aus.
1. Geben Sie einen Namen und optional eine Beschreibung für das Dienstkonto ein und wählen Sie dann **Fertig**.
## Generieren eines privaten Schlüssels
1. Wählen Sie auf der Seite „**Anmeldeinformationen**“ das Dienstkonto aus, das Sie erstellt haben.
1. Wählen Sie die Registerkarte „**Schlüssel**“ und dann „**Schlüssel hinzufügen**“, „**Neuen Schlüssel erstellen**“.
1. Vergewissern Sie sich, dass **JSON** ausgewählt ist, und wählen Sie dann **Create**.
Der Browser lädt eine JSON-Datei herunter, die den privaten Schlüssel enthält. Speichern Sie diese Datei sicher. Sie laden es in einem späteren Schritt auf Amazon Quick hoch.
**Anmerkung**
Wenn Sie eine Fehlermeldung erhalten, die besagt, dass die Erstellung von Dienstkontoschlüsseln durch eine Unternehmensrichtlinie deaktiviert wurde, finden Sie weitere Informationen unter[Behebung von Einschränkungen durch Unternehmensrichtlinien](#google-drive-kb-admin-troubleshooting-org-policy).
## Eindeutige ID des Dienstkontos aufzeichnen
1. Wählen Sie auf der Detailseite des Dienstkontos die Registerkarte **Details** aus.
1. Kopieren Sie den Wert im Feld **Eindeutige ID**. Sie benötigen diesen Wert, wenn Sie die domänenweite Delegierung konfigurieren.
## Konfiguration der domänenweiten Delegierung
Domain-wide Durch die Delegierung kann das Dienstkonto im Namen von Nutzern in Ihrer Organisation auf Google Workspace-Daten zugreifen.
1. Erweitern Sie auf der Detailseite des Dienstkontos die **Option Erweiterte Einstellungen**.
1. Wählen Sie „**Google Workspace Admin Console anzeigen**“. Die Admin-Konsole wird in einem neuen Tab geöffnet.
1. Wählen Sie im Navigationsbereich der Admin-Konsole die Optionen **Sicherheit**, **Zugriffs- und Datenkontrolle**, **API-Steuerung** aus.
1. Wählen Sie **Domainweite Delegation verwalten** und anschließend **Neu hinzufügen** aus.
1. Geben Sie als **Client-ID** die eindeutige ID ein, die Sie zuvor kopiert haben.
1. Geben Sie für **OAuth-Bereiche die folgenden kommagetrennten** Werte ein:
```
https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/forms.body.readonly
```
1. Klicken Sie auf **Authorize**.
## Einen delegierten Admin-Benutzer erstellen
Das Dienstkonto handelt im Namen eines Google Workspace-Admin-Benutzers. Erstellen Sie zu diesem Zweck einen dedizierten Benutzer und weisen Sie ihm die mindestens erforderlichen Rollen zu.
1. Wählen Sie in der Google Workspace Admin Console **Verzeichnis** und dann **Benutzer** aus.
1. Wählen Sie **Neuen Nutzer hinzufügen** aus.
1. Geben Sie einen Vornamen, Nachnamen und eine primäre E-Mail-Adresse für den neuen Benutzer ein und wählen Sie dann **Neuen Benutzer hinzufügen**.
1. Wählen Sie **Fertig** aus.
1. Wählen Sie aus der Benutzerliste den Benutzer aus, den Sie erstellt haben. Wenn der Benutzer nicht angezeigt wird, aktualisieren Sie die Seite.
1. Erweitern Sie auf der Benutzerdetailseite den Abschnitt **Admin-Rollen und -Rechte**.
1. Weisen Sie unter **Rollen** die folgenden Rollen zu:
+ Gruppenleser
+ Benutzerverwaltung Admin
+ Speicheradministrator
1. Wählen Sie **Speichern**.
Notieren Sie sich die E-Mail-Adresse dieses Benutzers. Sie benötigen es, wenn Sie die Wissensdatenbank in Amazon Quick erstellen.
## Fehlerbehebung bei der Google Workspace-Konfiguration
### Behebung von Einschränkungen durch Unternehmensrichtlinien
Wenn Sie beim Erstellen eines Dienstkontoschlüssels die folgende Fehlermeldung erhalten:
```
The organization policy constraint iam.disableServiceAccountKeyCreation
is enforced on your organization.
```
**Anmerkung**
Für Google Cloud-Organisationen, die am oder nach dem 3. Mai 2024 gegründet wurden, wird diese Einschränkung standardmäßig durchgesetzt.
Sie müssen die Richtlinie für Ihr Projekt außer Kraft setzen.
1. Öffnen Sie die Google Cloud-Konsole und vergewissern Sie sich, dass das richtige Projekt ausgewählt ist.
1. Wählen Sie im Navigationsmenü **IAM & Admin und** anschließend **Organisationsrichtlinien** aus.
1. Geben `iam.disableServiceAccountKeyCreation` Sie im Feld **Filter** Folgendes ein. Wählen Sie dann in der Richtlinienliste die Option **Dienstkontoschlüsselerstellung deaktivieren** aus.
1. Wählen Sie **Richtlinie verwalten** aus.
**Anmerkung**
Wenn **„Richtlinie verwalten**“ nicht verfügbar ist, benötigen Sie die Rolle „Administrator für Organisationsrichtlinien“ (`roles/orgpolicy.policyAdmin`) auf Organisationsebene. Siehe [Gewährung der Rolle „Administrator für Organisationsrichtlinien“](#google-drive-kb-admin-troubleshooting-org-admin-role).
1. Vergewissern Sie sich, dass im Abschnitt **Richtlinienquelle** die Option **Richtlinie der übergeordneten Person außer Kraft setzen** ausgewählt ist.
1. Deaktivieren Sie unter **Durchsetzung** die Option Durchsetzung für diese Richtlinieneinschränkung der Organisation.
1. Wählen Sie **Richtlinie festlegen** aus.
Es kann mehrere Minuten dauern, bis die Änderung wirksam wird.
### Gewährung der Rolle „Administrator für Organisationsrichtlinien“
Die Rolle „Administrator für Organisationsrichtlinien“ (`roles/orgpolicy.policyAdmin`) muss auf Organisationsebene und nicht auf Projektebene erteilt werden. Sie erscheint nicht in der Rollenliste, wenn einem Projekt Rollen zugewiesen werden.
Um diese Rolle zuzuweisen, wählen Sie in der Projektauswahl in der Google Cloud-Konsole Ihre Organisation (kein Projekt) aus. Wählen Sie dann **IAM & Admin**, **IAM** und weisen Sie die Rolle Ihrem Konto zu. Eine ausführliche Anleitung finden Sie in der Google Cloud-Dokumentation unter [Zugriff auf Projekte, Ordner und Organisationen verwalten](https://cloud.google.com/iam/docs/granting-changing-revoking-access).
Die Weitergabe der Rollenzuweisung kann mehrere Minuten dauern.