本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定 Google 工作區
<a name="google-drive-kb-google-config"></a>

若要將 Amazon Quick 連線至 Google Drive，請在 Google Cloud 主控台和 Google Workspace Admin 主控台中完成下列任務。您可以建立 Google Cloud 專案、開啟所需的 APIs、產生服務帳戶登入資料，以及設定全網域委派。您也可以為服務帳戶建立專用管理員使用者來模擬。

**先決條件**  
開始前，請確定您有下列項目：  
具有管理員存取權的 Google Workspace 帳戶
在 Google Cloud 主控台中建立專案的許可

## 建立 Google Cloud 專案
<a name="google-drive-kb-create-project"></a>

1. 開啟 Google Cloud 主控台。

1. 從頁面頂端的專案選擇器中，選擇**新專案**。

1. 輸入專案名稱，然後選擇**建立**。

1. 建立專案之後，請選擇**選取專案**以切換到專案。這可能需要一些時間。

## 開啟所需的 APIs
<a name="google-drive-kb-enable-apis"></a>

Amazon Quick 需要三個 Google APIs。從 API Library 開啟每個項目。

1. 在導覽功能表中，選擇 **APIs和服務**，然後選擇**程式庫**。

1. 搜尋下列每個 APIs然後選擇**啟用**：
   + Google Drive API
   + Google Drive 活動 API
   + 管理員 SDK API

## 建立服務帳戶
<a name="google-drive-kb-create-service-account"></a>

1. 在導覽功能表中，選擇 **APIs & Services**，然後選擇**登入**資料。

1. 選擇**建立登入**資料，然後選擇**服務帳戶**。

1. 輸入服務帳戶的名稱和選用描述，然後選擇**完成**。

## 產生私有金鑰
<a name="google-drive-kb-generate-key"></a>

1. 在**登入**資料頁面上，選擇您建立的服務帳戶。

1. 選擇**金鑰**索引標籤，然後選擇**新增金鑰**、**建立新金鑰**。

1. 確認已選取 **JSON**，然後選擇**建立**。

瀏覽器會下載包含私有金鑰的 JSON 檔案。安全地存放此檔案。您可以在後續步驟中將其上傳至 Amazon Quick。

**注意**  
如果您收到錯誤，指出組織政策已停用服務帳戶金鑰建立，請參閱 [解決組織政策限制](#google-drive-kb-admin-troubleshooting-org-policy)。

## 記錄服務帳戶唯一 ID
<a name="google-drive-kb-record-unique-id"></a>

1. 在服務帳戶詳細資訊頁面上，選擇**詳細資訊**索引標籤。

1. 複製**唯一 ID** 欄位中的值。設定全網域委派時，您需要此值。

## 設定全網域委派
<a name="google-drive-kb-domain-delegation"></a>

全網域委派可讓服務帳戶代表您組織中的使用者存取 Google Workspace 資料。

1. 在服務帳戶詳細資訊頁面上，展開**進階設定**。

1. 選擇**檢視 Google Workspace Admin Console**。管理員主控台會在新索引標籤中開啟。

1. 在管理員主控台導覽窗格中，選擇**安全性**、**存取和資料控制**、**API 控制**。

1. 選擇**管理全網域委派**，然後選擇**新增**。

1. 針對**用戶端 ID**，輸入您先前複製的唯一 ID。

1. 針對 **OAuth 範圍**，輸入下列逗號分隔值：

   ```
   https://www.googleapis.com/auth/drive.readonly,https://www.googleapis.com/auth/drive.metadata.readonly,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.group.readonly,https://www.googleapis.com/auth/cloud-platform,https://www.googleapis.com/auth/forms.body.readonly
   ```

1. 選擇 **Authorize** (授權)。

## 建立委派的管理員使用者
<a name="google-drive-kb-create-admin-user"></a>

服務帳戶代表 Google Workspace 管理員使用者。為此目的建立專用使用者，並指派所需的最低角色。

1. 在 Google Workspace Admin Console 中，選擇**目錄**，然後選擇**使用者**。

1. 選擇**新增使用者**。

1. 輸入新使用者的名字、姓氏和主要電子郵件地址，然後選擇**新增新使用者**。

1. 選擇**完成**。

1. 從使用者清單中，選擇您建立的使用者。如果使用者未出現，請重新整理頁面。

1. 在使用者詳細資訊頁面上，展開**管理員角色和權限**區段。

1. 在**角色**下，指派下列角色：
   + Groups Reader
   + 使用者管理管理員
   + 儲存管理員

1. 選擇**儲存**。

記錄此使用者的電子郵件地址。在 Amazon Quick 中建立知識庫時需要它。

## 故障診斷 Google Workspace 組態
<a name="google-drive-kb-google-config-troubleshooting"></a>

### 解決組織政策限制
<a name="google-drive-kb-admin-troubleshooting-org-policy"></a>

如果您在建立服務帳戶金鑰時收到下列錯誤：

```
The organization policy constraint iam.disableServiceAccountKeyCreation
is enforced on your organization.
```

**注意**  
對於在 2024 年 5 月 3 日當天或之後建立的 Google Cloud 組織，預設會強制執行此限制。

您必須覆寫專案的政策。

1. 開啟 Google Cloud 主控台並確認已選取正確的專案。

1. 在導覽功能表中，選擇 **IAM & Admin**，然後選擇**組織政策**。

1. 在**篩選條件**欄位中，輸入 `iam.disableServiceAccountKeyCreation`。然後，在政策清單中，選擇**停用服務帳戶金鑰建立**。

1. 選擇**管理政策**。
**注意**  
如果**管理政策**無法使用，您需要組織層級的組織政策管理員角色 (`roles/orgpolicy.policyAdmin`)。請參閱 [授予組織政策管理員角色](#google-drive-kb-admin-troubleshooting-org-admin-role)。

1. 在**政策來源**區段中，確定已選取**覆寫父系的政策**。

1. 在**強制執行**下，關閉此組織政策限制的強制執行。

1. 選擇**設定政策**。

變更可能需要幾分鐘的時間才能傳播。

### 授予組織政策管理員角色
<a name="google-drive-kb-admin-troubleshooting-org-admin-role"></a>

組織政策管理員角色 (`roles/orgpolicy.policyAdmin`) 必須授予組織層級，而非專案層級。將角色指派給專案時，不會出現在角色清單中。

若要授予此角色，請從 Google Cloud 主控台的專案選擇器中選取您的組織 （而非專案）。然後，選擇 **IAM & Admin**、**IAM**，並將角色指派給您的帳戶。如需詳細說明，請參閱 Google Cloud 文件中的[管理對專案、資料夾和組織的存取](https://cloud.google.com/iam/docs/granting-changing-revoking-access)。

角色指派可能需要幾分鐘的時間才能傳播。