创建个人版 Google Cloud 项目

若要通过使用专用的 Google Cloud 项目将 Google Workspace 组织添加到 网络安全保护 服务,需要执行以下操作:

  1. 创建新 Google Cloud 项目。

  2. 为此项目启用所需的 API。

  3. 为此项目配置凭据。

    1. 配置 OAuth 同意屏幕。

    2. 网络安全保护 服务创建和配置服务帐户。

  4. 将新项目访问权限授予 Google Workspace 帐户。

本主题包含第三方用户界面的描述,该用户界面可能在不提前通知的情况下进行更改。

创建新 Google Cloud 项目

  1. 作为超级管理员登录到 Google Cloud Platform (console.cloud.google.com)。

  2. 在 Google Cloud Platform 中控台中,单击选择项目 > 新建项目

  3. 为新项目指定一个名称。

  4. 单击创建

结果将创建新的 Google Cloud 项目。

为此项目启用所需的 API

  1. 在 Google Cloud Platform 中控台中,选择新项目。

  2. 从导航菜单中,选择 API 和服务 > 仪表板

  3. 在此项目中依次禁用默认启用的 API。

    1. 向下滚动仪表板页面,然后单击启用的 API 的名称。将打开
      选定 API 的概述页面。

    2. 单击禁用 API,然后通过单击禁用来确认选择。

    3. 返回到 API 和服务 > 仪表板,并禁用下一个 API。

  4. 从导航菜单中,选择 API 和服务 >

  5. 在 API 库中,依次启用以下 API:

    • Gmail API

    • Google Drive API

    • Admin SDK

    • Google Calendar API

    • People API

    使用搜索栏查找所需的 API。要启用 API,请单击其名称,然后单击启用。要搜索下一个 API,请返回到 API 库,方法是从导航菜单中,选择 API 和服务 >

配置 OAuth 同意屏幕

  1. 从 Google Cloud Platform 的导航菜单中,选择 API 和服务 > OAuth 同意屏幕

  2. 在打开的窗口中,为用户类型选择内部,然后单击创建

  3. 应用程序名称字段中,为应用程序指定一个名称。

  4. 用户支持电子邮件字段中,输入超级管理员的电子邮件。

  5. 开发人员联系信息字段中,输入超级管理员的电子邮件。

  6. 将所有其他字段保持空白,然后单击保存并继续

  7. 范围页面上,单击保存并继续,无需更改任何内容。

  8. 概要页面中,验证您的设置,然后单击返回到仪表板

网络安全保护 服务创建和配置服务帐户

  1. 从 Google Cloud Platform 的导航菜单中,选择 IAM 和管理员 > 服务帐户

  2. 单击创建服务帐户

  3. 指定服务帐户的名称。

  4. 指定服务帐户的描述。

  5. 单击创建

  6. 授予此服务帐户对项目的访问权限授予用户对此服务帐户的访问权限步骤中,不要更改任何内容。

  7. 单击完成。将打开
    服务帐户页面。

  8. 服务帐户页面中,选择新的服务帐户,然后在操作下,单击编辑

  9. 展开显示域范围的委托部分,然后选中启用 Google Workspace 域范围的委托复选框。

  10. 密钥下,单击添加密钥 > 创建新密钥,然后选择 JSON 密钥类型。

  11. 单击创建

    结果是,具有服务帐户的私钥的 JSON 文件将自动下载到您的计算机。请安全存储此文件,因为需要它来将 Google Workspace 组织添加到 网络安全保护 服务。

将新项目访问权限授予 Google Workspace 帐户

  1. 从 Google Cloud Platform 的导航菜单中,选择 API 和服务 > 凭据

  2. OAuth 2.0 客户端 ID 部分中,在客户端 ID 下,复制服务帐户客户端的客户端 ID。

  3. 作为超级管理员登录到 Google Admin 中控台 (admin.google.com)。

  4. 从导航菜单中,选择安全性 > API 控件

  5. 向下滚动 API 控件页面,然后在域范围的委托下,单击管理域范围的委托。将打开
    域范围的委托页面。

  6. 域范围的委托页面上,单击添加新...。将打开
    添加新客户端 ID 窗口。

  7. 客户端 ID 字段中,输入服务帐户客户端的客户端 ID。

  8. OAuth 范围字段中,依次添加以下范围:

    • https://mail.google.com

    • https://www.googleapis.com/auth/contacts

    • https://www.googleapis.com/auth/calendar

    • https://www.googleapis.com/auth/admin.directory.user.readonly

    • https://www.googleapis.com/auth/admin.directory.domain.readonly

    • https://www.googleapis.com/auth/drive

    • https://www.googleapis.com/auth/gmail.modify

  9. 单击授权

结果是,新的 Google Cloud 项目可以访问 Google Workspace 帐户中的数据。若要备份数据,需要将此项目链接到 网络安全保护 服务。有关如何执行此操作的详细信息,请参阅 通过使用专用的个人版 Google Cloud 项目添加 Google Workspace 组织

如果需要吊销 Google Cloud 项目对 Google Workspace 帐户的访问权限,以及各自的 网络安全保护 服务访问权限,则删除项目所使用的 API 客户端。

吊销对 Google Workspace 帐户的访问权限

  1. 在 Google Admin 中控台 (admin.google.com) 中,作为超级管理员登录。

  2. 从导航菜单中,选择安全性 > API 控件

  3. 向下滚动 API 控件页面,然后在域范围的委托下,单击管理域范围的委托。将打开
    域范围的委托页面。

  4. 域范围的委托页面上,选择项目所使用的 API 客户端,然后单击删除
    结果是,Google Cloud 项目和 网络安全保护 服务将不能访问 Google Workspace 帐户并备份其中的数据。