翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Google Workspace を設定する
Amazon Quick を Google Drive に接続するには、Google クラウドコンソールと Google Workspace 管理コンソールで次のタスクを実行します。Google Cloud プロジェクトを作成し、必要な APIs を有効にして、サービスアカウントの認証情報を生成し、ドメイン全体の委任を設定します。また、サービスアカウントが偽装する専用の管理者ユーザーを作成します。
**前提条件**
作業を開始する前に、以下の準備が整っていることを確認します。
管理者アクセス権を持つ Google Workspace アカウント
Google Cloud コンソールでプロジェクトを作成するアクセス許可
## Google Cloud プロジェクトの作成
1. Google Cloud コンソールを開きます。
1. ページ上部のプロジェクトセレクターから、**新しいプロジェクト**を選択します。
1. プロジェクト名を入力し、**作成**を選択します。
1. プロジェクトを作成したら、**プロジェクトの選択**を選択して切り替えます。これにはしばらく時間がかかることがあります。
## 必要な APIs を有効にする
Amazon Quick には 3 つの Google APIsが必要です。API ライブラリからそれぞれをオンにします。
1. ナビゲーションメニューで、**APIsとサービス**を選択し、**ライブラリ**を選択します。
1. 次の各 APIsし、**有効化**を選択します。
+ Google Drive API
+ Google Drive アクティビティ API
+ 管理者 SDK API
## サービスアカウントの作成
1. ナビゲーションメニューで、**APIsとサービス**を選択し、**認証情報**を選択します。
1. **認証情報の作成**を選択し、**サービスアカウント**を選択します。
1. サービスアカウントの名前とオプションの説明を入力し、**完了**を選択します。
## プライベートキーの生成
1. **認証情報**ページで、作成したサービスアカウントを選択します。
1. **キー**タブを選択し、**キーの追加**、**新しいキーの作成**を選択します。
1. **JSON** が選択されていることを確認してから、**作成**を選択します。
ブラウザは、プライベートキーを含む JSON ファイルをダウンロードします。このファイルを安全に保存します。後のステップで Amazon Quick にアップロードします。
**注記**
サービスアカウントキーの作成が組織ポリシーによって無効になっていることを示すエラーが表示された場合は、「」を参照してください[組織ポリシーの制限の解決](#google-drive-kb-admin-troubleshooting-org-policy)。
## サービスアカウントの一意の ID の記録
1. サービスアカウントの詳細ページで、**詳細**タブを選択します。
1. Unique **ID **フィールドの値をコピーします。この値は、ドメイン全体の委任を設定するときに必要です。
## ドメイン全体の委任の設定
ドメイン全体の委任により、サービスアカウントは組織内のユーザーに代わって Google Workspace データにアクセスできます。
1. サービスアカウントの詳細ページで、**詳細設定**を展開します。
1. **Google Workspace 管理コンソールの表示**を選択します。管理者コンソールが新しいタブで開きます。
1. 管理者コンソールのナビゲーションペインで、**セキュリティ**、**アクセスとデータ管理**、**API コントロール**を選択します。
1. **Manage Domain Wide Delegation** を選択し、Add **new **を選択します。
1. **クライアント ID** には、前にコピーした一意の ID を入力します。
1. **OAuth スコープの場合は**、次のカンマ区切り値を入力します。
```
https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/forms.body.readonly
```
1. [**承認**] を選択します。
## 委任管理者ユーザーの作成
サービスアカウントは、Google Workspace 管理者ユーザーに代わって動作します。この目的のために専用ユーザーを作成し、最低限必要なロールを割り当てます。
1. Google Workspace 管理コンソールで、**ディレクトリ**を選択し、**ユーザー**を選択します。
1. **新しいユーザーの追加** を選択します。
1. 新しいユーザーの名、姓、プライマリ E メールアドレスを入力し、**新しいユーザーの追加**を選択します。
1. **[Done]** (完了) をクリックします。
1. ユーザーリストから、作成したユーザーを選択します。ユーザーが表示されない場合は、ページを更新します。
1. ユーザーの詳細ページで、**管理者のロールと権限**セクションを展開します。
1. **ロール**で、次のロールを割り当てます。
+ グループリーダー
+ ユーザー管理管理者
+ ストレージ管理者
1. **[保存]** を選択します。
このユーザーの E メールアドレスを記録します。Amazon Quick でナレッジベースを作成するときに必要になります。
## Google Workspace 設定のトラブルシューティング
### 組織ポリシーの制限の解決
サービスアカウントキーの作成時に次のエラーが発生した場合:
```
The organization policy constraint iam.disableServiceAccountKeyCreation
is enforced on your organization.
```
**注記**
2024 年 5 月 3 日以降に作成された Google クラウド組織の場合、この制約はデフォルトで適用されます。
プロジェクトのポリシーを上書きする必要があります。
1. Google Cloud コンソールを開き、正しいプロジェクトが選択されていることを確認します。
1. ナビゲーションメニューで、**IAM & Admin** を選択し、**組織ポリシー**を選択します。
1. Filter ****フィールドに と入力します`iam.disableServiceAccountKeyCreation`。次に、ポリシーリストで、**サービスアカウントキーの作成を無効にする**を選択します。
1. **ポリシーの管理**を選択します。
**注記**
**管理ポリシー**が利用できない場合は、組織レベルで組織ポリシー管理者ロール (`roles/orgpolicy.policyAdmin`) が必要です。「[組織ポリシー管理者ロールの付与](#google-drive-kb-admin-troubleshooting-org-admin-role)」を参照してください。
1. **ポリシーソース**セクションで、**親のポリシーを上書き**が選択されていることを確認します。
1. **強制**では、この組織のポリシー制約の強制をオフにします。
1. **ポリシーの設定** を選択します。
変更が反映されるまでに数分かかる場合があります。
### 組織ポリシー管理者ロールの付与
組織ポリシー管理者ロール (`roles/orgpolicy.policyAdmin`) は、プロジェクトレベルではなく、組織レベルで付与する必要があります。プロジェクトにロールを割り当てるときに、ロールリストに表示されません。
このロールを付与するには、Google Cloud コンソールのプロジェクトセレクタから組織 (プロジェクトではない) を選択します。次に、**IAM & Admin**、**IAM** を選択し、アカウントにロールを割り当てます。詳細な手順については、Google Cloud ドキュメントの[「プロジェクト、フォルダ、組織へのアクセスを管理する](https://cloud.google.com/iam/docs/granting-changing-revoking-access)」を参照してください。
ロールの割り当ての伝播には数分かかる場合があります。