View a markdown version of this page

Google Drive에 대한 서비스 계정 인증 설정 - Amazon Bedrock

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Google Drive에 대한 서비스 계정 인증 설정

서비스 계정 인증(SERVICE_ACCOUNT)은 Google Drive 데이터 소스에 권장되는 방법입니다. Google Cloud 서비스 계정은 프라이빗 키로 인증한 다음 Google Workspace 관리자 사용자를 가장하여 도메인의 모든 사용자에 대해 드라이브 콘텐츠를 크롤링합니다. 이는 문서 수준 액세스 제어(ACLs를 지원하는 유일한 방법입니다.

관리 액세스 필요

이 설정을 수행하려면 Google Workspace 관리자가 APIs를 활성화하고, 서비스 계정을 생성하고, 도메인 전체 위임을 구성하고, 위임된 관리자 사용자를 생성해야 합니다. AWS 측에는 AWS Secrets Manager 및 IAM에 대한 관리자 액세스 권한이 필요합니다.

1단계: Google Cloud 프로젝트 생성

  1. Google Cloud 콘솔을 엽니다.

  2. 페이지 상단의 프로젝트 선택기에서 새 프로젝트를 선택합니다.

  3. 프로젝트 이름을 입력하고 생성을 선택합니다.

  4. 프로젝트가 생성된 후 프로젝트 선택기에서 프로젝트로 전환합니다.

2단계: 필요한 APIs 활성화

  1. Google Cloud 콘솔 탐색 메뉴에서 APIs 및 서비스를 선택한 다음 라이브러리를 선택합니다.

  2. 다음 각 APIs를 검색하고 활성화합니다.

    • Google Drive API

    • Google Drive 활동 API

    • 관리자 SDK API

3단계: 서비스 계정 생성

  1. 탐색 메뉴에서 APIs 및 서비스, 자격 증명을 차례로 선택합니다.

  2. 자격 증명 생성을 선택한 다음 서비스 계정을 선택합니다.

  3. 이름(예: bedrock-google-drive-connector)과 선택적 설명을 입력하고 완료를 선택합니다.

  4. 자격 증명 페이지에서 방금 생성한 서비스 계정을 선택합니다.

  5. 세부 정보 탭에서 고유 ID를 복사합니다. 5단계에서 이를 사용하여 도메인 전체의 위임을 부여합니다.

4단계: 프라이빗 키 생성

  1. 서비스 계정 세부 정보 페이지에서 탭을 선택합니다.

  2. 키 추가를 선택한 다음 새 키 생성을 선택합니다.

  3. JSON을 선택하고 생성을 선택합니다. 브라우저는 서비스 계정의 client_email 및가 포함된 JSON 파일을 다운로드합니다private_key. 파일을 안전하게 저장합니다.

참고

조직 정책에 의해 서비스 계정 키 생성이 비활성화되었다는 오류가 수신되면 프로젝트의 제약 iam.disableServiceAccountKeyCreation 조건을 재정의해야 합니다. 자세한 내용은 Google Cloud 설명서의 서비스 계정 사용 제한을 참조하세요.

5단계: 도메인 전체 위임 구성

도메인 전체 위임을 사용하면 서비스 계정이 Google Workspace의 사용자를 대신하여 작동할 수 있습니다.

  1. Google Workspace 관리자로 Google Workspace Admin Console에 로그인합니다.

  2. 탐색 창에서 보안, 액세스 및 데이터 제어, API 제어를 선택합니다.

  3. 도메인 전체 위임 관리를 선택한 다음 새로 추가를 선택합니다.

  4. 클라이언트 ID에 3단계의 서비스 계정 고유 ID를 입력합니다.

  5. OAuth 범위에 다음 쉼표로 구분된 값을 입력합니다.

    https://www.googleapis.com/auth/drive.readonly, https://www.googleapis.com/auth/drive.metadata.readonly, https://www.googleapis.com/auth/admin.directory.user.readonly, https://www.googleapis.com/auth/admin.directory.group.readonly, https://www.googleapis.com/auth/cloud-platform, https://www.googleapis.com/auth/forms.body.readonly
  6. Authorize를 선택합니다.

6단계: 위임된 관리자 생성

서비스 계정은 콘텐츠를 크롤링할 때 Google Workspace 관리자 사용자를 가장합니다. 최소 필수 역할을 사용하여이 용도로 전용 관리자 사용자를 생성하는 것이 좋습니다.

  1. Google Workspace 관리 콘솔에서 디렉터리, 사용자를 차례로 선택합니다.

  2. 새 사용자 추가를 선택하고 이름, 성 및 기본 이메일 주소를 입력한 다음 새 사용자 추가를 선택합니다.

  3. 사용자 목록에서 생성한 사용자를 엽니다.

  4. 관리자 역할 및 권한 섹션을 확장하고 다음 역할을 할당합니다.

    • 그룹 리더

    • 사용자 관리 관리자

    • 스토리지 관리자

  5. 저장을 선택합니다. 이 사용자의 이메일 주소를 기록합니다. 보안 암호에 로 저장합니다adminAccountEmail.

7단계: Secrets Manager 보안 암호 생성

다음 키-값 페어를 사용하여 보안 인증 정보를 AWS Secrets Manager 보안 암호에 저장합니다. 4단계에서 다운로드한 JSON 키 파일privateKey에서 clientEmail 및를 복사합니다( client_emailprivate_key 값 사용).

{ "adminAccountEmail": "admin@your-domain.com", "clientEmail": "your-service-account@your-project.iam.gserviceaccount.com", "privateKey": "your-private-key-from-the-json-key-file" }

AWS Command Line Interface다음을 사용하여 보안 암호를 생성합니다.

aws secretsmanager create-secret \ --name bedrock-google-drive-sa-creds \ --secret-string file://secret.json

응답의 보안 암호 ARN을 기록합니다. 이를 데이터 소스 로 사용합니다secretArn.

참고

privateKey 값에는 JSON 키 파일의 리터럴이\n스케이프 시퀀스가 포함됩니다. 값을 보안 암호에 복사할 때 그대로 유지합니다.

다음 단계

보안 암호를 저장한 후가 로 authType 설정된 데이터 소스를 생성합니다SERVICE_ACCOUNT. Google Drive 데이터 소스 연결을(를) 참조하세요. 사용자 권한별로 쿼리 결과를 필터링하려면 섹션을 참조하세요문서 수준 액세스 제어.