Diese Anleitung enthält alle erforderlichen Einrichtungsschritte für die Verwendung von Document AI.
Informationen zur Google Cloud Console
Die Google Cloud console ist eine Web-UI zur Bereitstellung, Konfiguration, Verwaltung, und Überwachung von Systemen, die Google Cloud Produkte verwenden. Sie verwenden die Google Cloud Console, um Document AI-Ressourcen einzurichten und zu verwalten.
Projekt erstellen
Wenn Sie Dienste von Google Cloudnutzen möchten, müssen Sie ein Projekt erstellen, in dem alleIhre Google Cloud Ressourcen organisiert sind und das aus den folgenden Komponenten besteht:
- einer Gruppe von Mitarbeitern
- aktivierten APIs und anderen Ressourcen
- Monitoring-Tools
- Zahlungsinformationen
- Authentifizierungs- und Zugriffssteuerungen
- Document AI-Prozessoren
Sie können ein Projekt oder mehrere Projekte erstellen. Sie können mit Ihren Projekten Ihre Google Cloud Ressourcen in einer Ressourcenhierarchieorganisieren. Weitere Informationen zu Projekten finden Sie in der Resource Manager-Dokumentation.
Wählen Sie in der Google Cloud Console auf der Seite für die Projektauswahl ein Projekt vonaus oder erstellen Sie eines Google Cloud .
Rollen, die zum Auswählen oder Erstellen eines Projekts erforderlich sind
- Projekt auswählen: Für die Auswahl eines Projekts ist keine bestimmte IAM-Rolle erforderlich. Sie können ein beliebiges Projekt auswählen, für das Ihnen eine Rolle zugewiesen wurde.
-
Projekt erstellen: Zum Erstellen eines Projekts benötigen Sie die Rolle „Projektersteller“
(
roles/resourcemanager.projectCreator), die dieresourcemanager.projects.createBerechtigung enthält. Rollen zuweisen.
API aktivieren
Sie müssen die Document AI API für Ihr Projekt aktivieren. Weitere Informationen zur Aktivierung von APIs finden Sie in der Service Usage-Dokumentation.
Document AI API aktivieren
Rollen, die zum Aktivieren von APIs erforderlich sind
Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“
(roles/serviceusage.serviceUsageAdmin) mit der
Berechtigung serviceusage.services.enable. Rollen zuweisen.
Abrechnung aktivieren
In Rechnungskonten ist festgelegt, wer für eine bestimmte Gruppe von Ressourcen bezahlt. Abrechnungskonten können mit einem oder mehreren Projekten verknüpft werden. Die Gebühren für die Projektnutzung werden dem verknüpften Rechnungskonto belastet. Sie konfigurieren die Abrechnung, wenn Sie ein Projekt erstellen. Weitere Informationen finden Sie in der Dokumentation zur Abrechnung.
Prüfen Sie, ob die Abrechnung für Ihr Google Cloud Projekt aktiviert ist.
Erforderliche Rollen erhalten
Bitten Sie Ihren Administrator, Ihnen die
Storage Admin (roles/storage.admin)
IAM-Rolle für den Bucket zuzuweisen, um die Berechtigungen zu erhalten, die
Sie benötigen, um einem Prinzipal Zugriff auf Dateien in Cloud Storage zu gewähren.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Standorte
In Document AI können Sie steuern, wo die Ressourcen für Ihr Projekt gespeichert und verarbeitet werden. Wenn Sie einen Prozessor erstellen, müssen Sie einen Standort für die Speicherung und Verarbeitung Ihrer Daten auswählen. Standardmäßig speichert und verarbeitet Document AI Ressourcen an einem Standort in den USA. Wenn Sie den Standort „Europäische Union“ auswählen, werden Ihre Daten und Prozesse nur in der Europäischen Union gespeichert.
Standort mit der API festlegen
Sie müssen den Standort Ihres Prozessors angeben, wenn Sie eine Verarbeitungsanfrage über die API senden. Wenn Ihr Prozessor beispielsweise so konfiguriert ist, dass Ihre Daten in der Europäischen Union gespeichert und verarbeitet werden, verwenden Sie den URI eu-documentai.googleapis.com wie folgt:
Process |
|
batchProcess |
|
Document AI API-Clientbibliothek installieren
Sie haben drei Möglichkeiten, die Document AI API aufzurufen:
- Von Google unterstützte Clientbibliotheken (empfohlen)
- REST
- gRPC
Die Clientbibliotheken sind für verschiedene gängige Sprachen verfügbar. Informationen zum Installieren der Clientbibliotheken finden Sie unter Document AI API-Clientbibliotheken.
Google Cloud CLI installieren und initialisieren
Die gcloud CLI umfasst mehrere Tools, mit denen Sie bei gehostete Ressourcen und Anwendungen verwalten können Google Cloud.
Unter folgendem Link finden Sie eine Anleitung:
Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl:
gcloud initWenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.
Authentifizierung einrichten
Jede Clientanwendung, die die API verwendet, muss authentifiziert sein und Zugriff auf die angeforderten Ressourcen haben. Wie Sie die Authentifizierung einrichten, hängt davon ab, ob Sie in einer lokalen Entwicklungsumgebung arbeiten oder eine Produktionsumgebung einrichten. Weitere Informationen finden Sie unter Standardanmeldedaten für Anwendungen einrichten.
Wählen Sie die Tabs für die Art des Zugriffs auf die API aus:
gcloud
Installieren Sie die Google Cloud CLI. Initialisieren Sie die Google Cloud CLI nach der Installation mit dem folgenden Befehl:
gcloud initWenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.
Clientbibliotheken
Wenn Sie Clientbibliotheken in einer lokalen Entwicklungsumgebung verwenden möchten, installieren und initialisieren Sie die gcloud CLI und richten Sie dann die Standardanmeldedaten für Anwendungen mit Ihren Nutzer anmeldedaten ein.
-
Installieren Sie die Google Cloud CLI.
-
Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.
-
Wenn Sie eine lokale Shell verwenden, erstellen Sie lokale Anmeldedaten zur Authentifizierung für Ihr Nutzerkonto:
gcloud auth application-default login
Wenn Sie Cloud Shell verwenden, ist dies nicht erforderlich.
Wenn ein Authentifizierungsfehler zurückgegeben wird und Sie einen externen Identitätsanbieter (IdP) verwenden, prüfen Sie, ob Sie sich mit Ihrer föderierten Identität in der gcloud CLI angemeldet haben.
Weitere Informationen finden Sie in der Dokumentation zur-Authentifizierung unter ADC für eine lokale Entwicklungsumgebung einrichten Google Cloud .
REST
Wenn Sie die REST API in einer lokalen Entwicklungsumgebung verwenden möchten, verwenden Sie die Anmeldedaten, die Sie der gcloud CLI bereitstellen.
Installieren Sie die Google Cloud CLI.
Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.
Weitere Informationen finden Sie in der Google Cloud Authentifizierungsdokumentation unter Für die Verwendung von REST authentifizieren.
Informationen zum Einrichten der Authentifizierung für eine Produktionsumgebung finden Sie in der Google Cloud Dokumentation zur-Authentifizierung unter Standardanmeldedaten für Anwendungen für Code einrichten, der auf Google Cloud ausgeführt wird.
Informationen zu Rollen
Wenn ein authentifiziertes Hauptkonto versucht, auf eine Google Cloud Ressource zuzugreifen, prüft IAM, ob das Hauptkonto die erforderlichen Berechtigungen hat. Sie gewähren Hauptkonten Berechtigungen, indem Sie Rollen in IAM-Zulassungsrichtlinien zuweisen. Weitere Informationen zu Hauptkonten, Rollen, Ressourcen und Zulassungsrichtlinien finden Sie unter der IAM-Übersicht.
Beachten Sie beim Zuweisen von Rollen für Google Cloud Ressourcen an Hauptkonten das Prinzip der geringsten Berechtigung. Gewähren Sie einem Hauptkonto nicht mehr Berechtigungen als für die Ausführung der Anfrage erforderlich sind. Weitere Informationen zu Best Practices für die Zugriffssteuerung finden Sie unter IAM sicher verwenden.
Wenn Sie auf Ressourcen in Document AI zugreifen möchten, verwenden Sie eine Rolle mit den erforderlichen Berechtigungen. Weitere Informationen finden Sie unter Document AI-Berechtigungen und Document AI-Rollen.
Einrichtung des projektübergreifenden Dateizugriffs
Wenn Sie Ihren Document AI-Prozessor in einem Projekt einrichten, möchten Sie möglicherweise, dass dieses Projekt auf Eingabedateien zugreift, die in einem anderen Projekt in derselben Organisation gespeichert sind, in der Document AI-Prozessoren gehostet werden.
Um projektübergreifenden Zugriff zu ermöglichen, müssen Sie dem Document AI-Dienst-Agenten die Rolle „Storage-Objekt-Betrachter“ (roles/storage.objectViewer) zuweisen, wie in der folgenden Abbildung dargestellt.
Beispiel
- Angenommen, in Projekt A werden Document AI-Prozessoren gehostet und optional ein Bucket, in das die Prozessor-Ausgabe geschrieben wird.
- In Projekt B befindet sich der Bucket mit den Eingabedateien für Document AI-Prozessoren.
Damit Projekt A auf Dateien in Projekt B zugreifen kann, müssen Sie dem Document AI-Dienst-Agent von Projekt A die Rolle „Storage-Objekt-Betrachter“ (
roles/storage.objectViewer) für den Eingabe-Bucket in Projekt B zuweisen.
Weitere Informationen zu IAM und der Rolle „Storage-Objekt-Betrachter“ finden Sie unter IAM-Rollen für Cloud Storage.
Integrierte Dienstkonten
Ein Document AI-Dienst-Agent folgt dieser Namenskonvention:
service-{project number}@gcp-sa-prod-dai-core.iam.gserviceaccount.com
Beispiel: service-361747088407@gcp-sa-prod-dai-core.iam.gserviceaccount.com
Nächste Schritte: Anwendungsfälle
Nachdem die Document AI API aktiviert wurde, können Document AI-Prozessoren erstellt und verwendet werden. Welcher Prozessortyp am besten geeignet ist, hängt von Ihrem Anwendungsfall ab.