Подготовка файла с ключом доступа в Google Workspace

Файл с ключом доступа (файл секрета) необходим для того, чтобы платформа VK WorkSpace могла подключиться к Google Workspace и выполнить миграцию файлов. Чтобы его подготовить, нужно создать сервисный аккаунт в Google Workspace, затем создать новый секрет и сохранить его в файл.

Шаг 1. Создание проекта, аккаунта и ключа

Создание проекта (если необходимо)

Перейдите в консоль управления сервисами и ресурсами Google console.cloud.google.com (вы должны быть авторизованы под учетной записью администратора домена) и создайте проект, если у вас его не было. Для этого перейдите на страницу Сервисные аккаунты и выполните действия:

1. Нажмите кнопку Create a project.

   Примечание

   Убедитесь, что создаете проект именно на том домене, который необходимо мигрировать.

2. В поле Project name укажите название проекта. В поле Organization выберите организацию, с которой хотите перенести данные.

   

3. Нажмите на кнопку Create. Дождитесь обновления страницы.

Создание сервисной учетной записи

1. На верхней панели нажмите на кнопку Create service account.

   

2. В поле Service account name укажите название учетной записи.

   

3. Нажмите Create and continue, затем нажмите на кнопку Done. Новая учетная запись отобразится в списке.

4. Откройте учетную запись, скопируйте идентификационный номер Unique ID и сохраните его в текстовом файле. Этот номер понадобится на следующем шаге.

   Пример идентификационного номера:

   105584782394262748693
   

Создание ключа

1. Перейдите на вкладку Keys и выберите Add key → Create new key.

   

2. В блоке Key type укажите формат JSON.

3. Нажмите на кнопку Create, чтобы скачать ключ на компьютер.

Шаг 2. Добавление ролей

1. В разделе IAM добавьте учетную запись администратора в проект:

   

2. Перейдите в консоль администраторa Google admin.google.com и добавьте сервисную учетную запись в роли:

   • Администратор групп
   • Пользователь групп (чтение)
   • Администратор аккаунтов пользователей
   • Администратор сервисов

   

   

Шаг 3. Включение доступа к проекту по API

Вернитесь в консоль управления сервисами и ресурсами Google console.cloud.google.com и выполните действия:

1. Перейдите на страницу Admin SDK API. В списке Select a project выберите ваш проект и нажмите Enable.

2. Перейдите на страницу Google Drive API. В списке Select a project выберите ваш проект и нажмите Enable.

3. Перейдите на страницу Gmail API. В списке Select a project выберите ваш проект и нажмите Enable

   

Шаг 4. Настройка прав доступа

1. Перейдите в консоль администраторa Google admin.google.com, выберите Безопасность → Управление доступом и данными → Управление API.

2. Нажмите на Настроить делегирование доступа к данным в домене.

   

3. В блоке Клиенты API нажмите Добавить. Откроется окно добавления областей действия.

   

   В поле Идентификатор клиента укажите идентификационный номер учетной записи, который скопировали и сохранили на шаге 1 (Unique ID).

   В поля Области действия OAuth вставьте адреса:

   https://www.googleapis.com/auth/drive.metadata.readonly
   https://www.googleapis.com/auth/drive.readonly
   https://www.googleapis.com/auth/admin.directory.user.readonly
   https://mail.google.com/
   https://www.googleapis.com/auth/userinfo.email
   https://www.googleapis.com/auth/userinfo.profile
   

4. Нажмите кнопку Авторизовать. Результат добавления областей действия:

   

На этом настройка проекта завершена, можно начать миграцию файлов и почты. Для миграции потребуется файл с ключом доступа в формате JSON, который вы скачали на шаге 1.

Меры по обеспечению безопасности данных

Внимание

Примите меры, чтобы файл с ключом доступа (JSON), логин и пароль от сервисной учетной записи Google не попали к третьим лицам. Внутри пространства Google Workspace этому аккаунту должны быть выданы только необходимые доступы. После окончания миграции сервисную учетную запись следует удалить.

Документация от Google

Статьи из документации Google, которые могут быть вам полезны при подготовке файла с ключом доступа:

• Создание сервисной учетной записи: developers.google.com/workspace/guides/create-credentials?hl=ru#create_a_service_account
• Назначение роли cервисной учетной записи: developers.google.com/workspace/guides/create-credentials?hl=ru#assign_a_role_to_a_service_account
• Делегирование полномочий на уровне домена сервисной учетной записи: developers.google.com/identity/protocols/oauth2/service-account?hl=ru#delegatingauthority