Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration de Google Workspace
Pour connecter Amazon Quick à Google Drive, effectuez les tâches suivantes dans la console Google Cloud et dans la console d'administration Google Workspace. Vous créez un projet Google Cloud, activez les API requises, générez les informations d'identification du compte de service et configurez la délégation à l'échelle du domaine. Vous créez également un utilisateur administrateur dédié pour que le compte de service se fasse passer pour lui.
**Conditions préalables**
Avant de commencer, assurez-vous de disposer des éléments suivants :
Un compte Google Workspace avec accès administrateur
Autorisation de créer des projets dans la console Google Cloud
## Création d'un projet Google Cloud
1. Ouvrez la console Google Cloud.
1. Dans le sélecteur de projet en haut de la page, choisissez **Nouveau projet**.
1. Entrez le nom du projet, puis choisissez **Create**.
1. Une fois le projet créé, choisissez **Sélectionner un projet** pour y accéder. Cela peut prendre quelques instants.
## Activation des API requises
Amazon Quick nécessite trois API Google. Activez chacune d'entre elles depuis la bibliothèque d'API.
1. Dans le menu de navigation, choisissez **APIs & Services**, puis **Library**.
1. Recherchez chacune des API suivantes et choisissez **Activer** :
+ API Google Drive
+ API d'activité Google Drive
+ API du SDK d'administration
## Création du compte de service
1. Dans le menu de navigation, choisissez **APIs & Services**, puis **Credentials**.
1. Choisissez **Create Credentials**, puis choisissez **Service account**.
1. Entrez un nom et une description facultative pour le compte de service, puis choisissez **OK**.
## Génération d'une clé privée
1. Sur la page **Informations d'identification**, choisissez le compte de service que vous avez créé.
1. Choisissez l'onglet **Clés**, puis choisissez **Ajouter une clé**, **Créer une nouvelle clé**.
1. Vérifiez que **JSON** est sélectionné, puis choisissez **Create**.
Le navigateur télécharge un fichier JSON contenant la clé privée. Stockez ce fichier en toute sécurité. Vous le chargez sur Amazon Quick ultérieurement.
**Note**
Si vous recevez un message d'erreur indiquant que la création de clés de compte de service est désactivée par une politique de l'entreprise, consultez[Résolution des restrictions liées aux politiques de l'organisation](#google-drive-kb-admin-troubleshooting-org-policy).
## Enregistrement de l'identifiant unique du compte de service
1. Sur la page détaillée du compte de service, choisissez l'onglet **Détails**.
1. Copiez la valeur dans le champ **ID unique**. Vous avez besoin de cette valeur lorsque vous configurez la délégation à l'échelle du domaine.
## Configuration de la délégation à l'échelle du domaine
Domain-wide La délégation permet au compte de service d'accéder aux données de Google Workspace pour le compte des utilisateurs de votre organisation.
1. Sur la page détaillée du compte de service, développez **les paramètres avancés**.
1. Choisissez **Afficher la console d'administration Google Workspace**. La console d'administration s'ouvre dans un nouvel onglet.
1. Dans le volet de navigation de la console d'administration, choisissez **Security**, **Access and data control**, **API controls**.
1. Choisissez **Gérer la délégation à l'échelle du domaine**, puis sélectionnez **Ajouter un nouveau**.
1. Dans le **champ ID client**, entrez l'identifiant unique que vous avez copié précédemment.
1. Pour les **étendues OAuth**, entrez les valeurs suivantes séparées par des virgules :
```
https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/forms.body.readonly
```
1. Choisissez **Authorize** (Autoriser).
## Création d'un utilisateur administrateur délégué
Le compte de service agit pour le compte d'un utilisateur administrateur de Google Workspace. Créez un utilisateur dédié à cet effet et attribuez les rôles minimaux requis.
1. Dans la console d'administration Google Workspace, sélectionnez **Annuaire**, puis **Utilisateurs**.
1. Choisissez **Ajouter un nouvel utilisateur**.
1. Entrez le prénom, le nom de famille et l'adresse e-mail principale du nouvel utilisateur, puis choisissez **Ajouter un nouvel utilisateur**.
1. Sélectionnez **Exécuté**.
1. Dans la liste des utilisateurs, sélectionnez l'utilisateur que vous avez créé. Si l'utilisateur n'apparaît pas, actualisez la page.
1. Sur la page détaillée de l'utilisateur, développez la section **Rôles et privilèges d'administrateur**.
1. Sous **Rôles**, attribuez les rôles suivants :
+ Lecteur de groupes
+ Administrateur de la gestion des utilisateurs
+ Administrateur du stockage
1. Choisissez **Enregistrer**.
Enregistrez l'adresse e-mail de cet utilisateur. Vous en avez besoin lorsque vous créez la base de connaissances dans Amazon Quick.
## Résolution des problèmes liés à la configuration de Google Workspace
### Résolution des restrictions liées aux politiques de l'organisation
Si le message d'erreur suivant s'affiche lors de la création d'une clé de compte de service :
```
The organization policy constraint iam.disableServiceAccountKeyCreation
is enforced on your organization.
```
**Note**
Pour les organisations Google Cloud créées le 3 mai 2024 ou après cette date, cette contrainte est appliquée par défaut.
Vous devez annuler la politique de votre projet.
1. Ouvrez la console Google Cloud et vérifiez que le bon projet est sélectionné.
1. Dans le menu de navigation, choisissez **IAM & Admin**, puis choisissez **Organization Policies**.
1. Dans le champ **Filtre**, entrez`iam.disableServiceAccountKeyCreation`. Ensuite, dans la liste des politiques, choisissez **Désactiver la création de clés de compte de service**.
1. Choisissez **Gérer la politique**.
**Note**
Si l'**option Gérer la politique** n'est pas disponible, vous avez besoin du rôle d'administrateur des politiques d'organisation (`roles/orgpolicy.policyAdmin`) au niveau de l'organisation. Consultez [Octroi du rôle d'administrateur des politiques de l'organisation](#google-drive-kb-admin-troubleshooting-org-admin-role).
1. Dans la section **Source de la politique**, assurez-vous que l'option **Remplacer la politique du parent** est sélectionnée.
1. Sous **Application**, désactivez l'application de cette contrainte de politique d'organisation.
1. Choisissez **Définir une politique**.
La propagation de la modification peut prendre plusieurs minutes.
### Octroi du rôle d'administrateur des politiques de l'organisation
Le rôle d'administrateur des politiques de l'organisation (`roles/orgpolicy.policyAdmin`) doit être accordé au niveau de l'organisation, et non au niveau du projet. Il n'apparaît pas dans la liste des rôles lors de l'attribution de rôles à un projet.
Pour attribuer ce rôle, sélectionnez votre organisation (et non un projet) dans le sélecteur de projets de la console Google Cloud. Choisissez ensuite **IAM & Admin**, **IAM** et attribuez le rôle à votre compte. Pour obtenir des instructions détaillées, consultez la section [Gérer l'accès aux projets, aux dossiers et aux organisations](https://cloud.google.com/iam/docs/granting-changing-revoking-access) dans la documentation de Google Cloud.
La propagation de l'attribution du rôle peut prendre plusieurs minutes.