创建个人版 Google Cloud 项目

若要通过使用专用的 Google Cloud 项目将 Google Workspace 组织添加到 Cyber Protection 服务,需要执行以下操作:

  1. 创建新 Google Cloud 项目。
  2. 为此项目启用所需的 API。

  3. 为此项目配置凭据。

    1. 配置 OAuth 同意屏幕。

    2. Cyber Protection 服务创建和配置服务帐户。

  4. 将新项目访问权限授予 Google Workspace 帐户。
本主题包含第三方用户界面的描述,该用户界面可能在不提前通知的情况下进行更改。

创建新 Google Cloud 项目

  1. 作为超级管理员登录到 Google Cloud Platform (console.cloud.google.com)。

  2. 在 Google Cloud Platform 中控台中,单击左上角的项目选择器。

  3. 在打开的屏幕中,选择一个组织,然后单击新建项目

  4. 为新项目指定一个名称。
  5. 单击创建

结果将创建新的 Google Cloud 项目。

为此项目启用所需的 API

  1. 在 Google Cloud Platform 中控台中,选择新项目。
  2. 从导航菜单,选择 API 和服务 > 启用的 API 和服务

  3. 在此项目中依次禁用默认启用的 API。

    1. 向下滚动启用的 API 和服务页面,然后单击启用的 API 的名称。
      将打开选定 API 的 API/服务详细信息页面。

    2. 单击禁用 API,然后通过单击禁用来确认选择。

    3. [如果提示] 单击确认以确认选择。

    4. 返回到 API 和服务 > 启用的 API 和服务,然后禁用下一个 API。

  4. 从导航菜单,选择 API 和服务 >

  5. 在 API 库中,依次启用以下 API:

    • Admin SDK API

    • Gmail API

    • Google Calendar API

    • Google Drive API

    • Google People API

    使用搜索栏查找所需的 API。要启用 API,请单击其名称,然后单击启用。要搜索下一个 API,请返回到 API 库,方法是从导航菜单选择 API 和服务 >

配置 OAuth 同意屏幕

  1. 从 Google Cloud Platform 中的导航菜单,选择 API 和服务 > OAuth 同意屏幕
  2. 在打开的窗口中,为用户类型选择内部,然后单击创建
  3. 应用程序名称字段中,为应用程序指定一个名称。
  4. 用户支持电子邮件字段中,输入超级管理员的电子邮件。
  5. 开发人员联系信息字段中,输入超级管理员的电子邮件。
  6. 将所有其他字段保持空白,然后单击保存并继续
  7. 范围页面上,单击保存并继续,无需更改任何内容。
  8. 概要页面中,验证您的设置,然后单击返回到仪表板

Cyber Protection 服务创建和配置服务帐户

  1. 从 Google Cloud Platform 的导航菜单中,选择 IAM 和管理员 > 服务帐户
  2. 单击创建服务帐户
  3. 指定服务帐户的名称。

  4. 指定服务帐户的描述。

  5. 单击创建并继续
  6. 授予此服务帐户对项目的访问权限授予用户对此服务帐户的访问权限步骤中,不要更改任何内容。

  7. 单击完成

    服务帐户页面即会打开。

  8. 服务帐户页面中,选择新的服务帐户,然后在操作下,单击管理密钥
  9. 密钥下,单击添加密钥 > 创建新密钥,然后选择 JSON 密钥类型。

  10. 单击创建

    结果是,具有服务帐户的私钥的 JSON 文件将自动下载到您的计算机。请安全存储此文件,因为需要它来将 Google Workspace 组织添加到 Cyber Protection 服务。

将新项目访问权限授予 Google Workspace 帐户

  1. 从 Google Cloud Platform 的导航菜单,选择 IAM 和管理员 > 服务帐户
  2. 在列表中,找到您创建的服务帐户,然后复制在 OAuth 2.0 客户端 ID 列中显示的客户端 ID。
  3. 作为超级管理员登录到 Google Admin 中控台 (admin.google.com)。
  4. 从导航菜单,选择安全性 > 访问和数据控制 > API 控件
  5. 向下滚动 API 控件页面,然后在域范围的委托下,单击管理域范围的委托。将打开
    域范围的委托页面。

  6. 域范围的委托页面上,单击添加新委托

    添加新客户端 ID 窗口即会打开。

  7. 客户端 ID 字段中,输入服务帐户客户端的客户端 ID。

  8. OAuth 范围字段中,复制并粘贴以下逗号分隔的范围列表:

    https://mail.google.com,https://www.googleapis.com/auth/contacts,https://www.googleapis.com/auth/calendar,https://www.googleapis.com/auth/admin.directory.user.readonly,https://www.googleapis.com/auth/admin.directory.domain.readonly,https://www.googleapis.com/auth/drive,https://www.googleapis.com/auth/gmail.modify

    或者,可以每行添加一个范围:

    • https://mail.google.com
    • https://www.googleapis.com/auth/contacts
    • https://www.googleapis.com/auth/calendar
    • https://www.googleapis.com/auth/admin.directory.user.readonly
    • https://www.googleapis.com/auth/admin.directory.domain.readonly
    • https://www.googleapis.com/auth/drive
    • https://www.googleapis.com/auth/gmail.modify

  9. 单击授权

结果是,新的 Google Cloud 项目可以访问 Google Workspace 帐户中的数据。若要备份数据,需要将此项目链接到 Cyber Protection 服务。有关如何执行此操作的详细信息,请参阅 通过使用专用的个人版 Google Cloud 项目添加 Google Workspace 组织

如果需要吊销 Google Cloud 项目对 Google Workspace 帐户的访问权限,以及各自的 Cyber Protection 服务访问权限,则删除项目所使用的 API 客户端。

吊销对 Google Workspace 帐户的访问权限

  1. 在 Google Admin 中控台 (admin.google.com) 中,作为超级管理员登录。

  2. 从导航菜单,选择安全性 > 访问和数据控制 > API 控件

  3. 向下滚动 API 控件页面,然后在域范围的委托下,单击管理域范围的委托。将打开
    域范围的委托页面。

  4. 域范围的委托页面上,选择项目所使用的 API 客户端,然后单击删除
    结果是,Google Cloud 项目和 Cyber Protection 服务将不能访问 Google Workspace 帐户并备份其中的数据。