クイックスタート: Document AI API を設定する

このガイドでは、Document AI の使用を開始するために必要なすべての設定手順を説明します。

コンソールについて Google Cloud

は、 プロダクトを使用するシステムのプロビジョニング、構成、管理、 モニタリングに使用されるウェブ UI です。 Google Cloud console Google Cloud コンソールを使用して、Document AI リソースを設定および管理します。 Google Cloud

プロジェクトを作成

Google Cloudが提供するサービスを使用するには、プロジェクトを作成する必要があります。プロジェクトは、すべての Google Cloud リソースを整理し、次の コンポーネントで構成されます。

  • 共同編集者
  • 有効な API とその他のリソース
  • モニタリング ツール
  • お支払い情報
  • 認証とアクセス制御
  • Document AI プロセッサ

1 つのプロジェクトを作成することも、複数のプロジェクトを作成することもできます。プロジェクトを使用して、リソース階層内でリソースを整理することもできます。 Google Cloud プロジェクトの詳細については、 Resource Manager ドキュメントをご覧ください。

コンソールのプロジェクト セレクタページで、プロジェクトを選択または作成します。 Google Cloud Google Cloud

プロジェクトを選択または作成するために必要なロール

  • プロジェクトを選択する: プロジェクトの選択には特定の IAM ロールは必要ありません。ロールが付与されているプロジェクトを選択できます。
  • プロジェクトを作成する: プロジェクトを作成するには、プロジェクト作成者ロール (roles/resourcemanager.projectCreator)が必要です。これには resourcemanager.projects.create 権限が含まれています。詳しくは、ロールを付与する方法をご覧ください。

プロジェクト セレクタに移動

API を有効にする

プロジェクトで Document AI API を有効にする必要があります。 API の有効化の詳細については、 Service Usage のドキュメントをご覧ください。

Document AI API を有効にする。

API を有効にするために必要なロール

API を有効にするには、serviceusage.services.enable 権限を含む Service Usage 管理者 IAM ロール(roles/serviceusage.serviceUsageAdmin)が必要です。詳しくは、ロールを付与する方法をご覧ください。

API を有効にする

課金を有効にする

請求先アカウントは、特定のリソースセットに対する支払いを誰が行うかを定義します。 請求先アカウントは 1 つ以上のプロジェクトにリンクできます。プロジェクトの利用料金は、リンクされた請求先アカウントに請求されます。課金は、プロジェクトの作成時に構成します。詳細については、 お支払いとご請求に関するドキュメントをご覧ください。

プロジェクトに対して課金が有効になっていることを確認します Google Cloud 。

必要なロールを取得する

プリンシパルに Cloud Storage 内のファイルへのアクセス権を付与するために必要な権限を取得するには、バケットに対するストレージ管理者 roles/storage.admin)IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織に対するアクセス権の管理をご覧ください。

必要な権限は、カスタム ロールや他の事前定義 ロールから取得することもできます。

ロケーション

Document AI では、プロジェクトのリソースが保存、処理されるロケーションをある程度制御できます。特に、プロセッサを作成するときは、データを保存して処理するロケーションを選択する必要があります。デフォルトでは、Document AI はリソースを米国のロケーションに保存して処理します。ロケーションとして欧州連合を選択した場合、データとプロセスは欧州連合でのみ保存されます。

API を使用してロケーションを設定する

API を使用して処理リクエストを送信するときは、プロセッサのロケーションを指定する必要があります。たとえば、プロセッサが欧州連合でデータを保存して処理するように構成されている場合は、次のように URI eu-documentai.googleapis.com を使用します。

Process
  • https://eu-documentai.googleapis.com/v1/projects/$PROJECT_ID/locations/eu/processors/$PROCESSOR_ID:process
  • https://eu-documentai.googleapis.com/v1beta3/projects/$PROJECT_ID/locations/eu/processors/$PROCESSOR_ID:process
batchProcess
  • https://eu-documentai.googleapis.com/v1/projects/$PROJECT_ID/locations/eu/processors/$PROCESSOR_ID:batchProcess
  • https://eu-documentai.googleapis.com/v1beta3/projects/$PROJECT_ID/locations/eu/processors/$PROCESSOR_ID:batchProcess

Document AI API クライアント ライブラリをインストールする

Document AI API を呼び出すには、次の 3 つのオプションがあります。

クライアント ライブラリは複数のよく使われている言語で利用できます。クライアント ライブラリのインストールについては、 Document AI API クライアント ライブラリをご覧ください。

Google Cloud CLI をインストールして初期化する

gcloud CLI は、 でホストされるリソースやアプリケーションの管理に使用できるツールのセットを提供します Google Cloud。

次のリンクで手順を説明します。

Google Cloud CLI をインストールします。 インストール後、 初期化するには、次のコマンドを実行して Google Cloud CLI を初期化します。 

gcloud init

外部 ID プロバイダ(IdP)を使用している場合は、まず フェデレーション ID を使用して gcloud CLI にログインする必要があります

認証を設定する

API を使用するクライアント アプリケーションはすべて、認証の対象であり、リクエストされるリソースへのアクセス権が付与されている必要があります。認証の設定方法は、ローカル開発環境で作業しているか、本番環境を設定しているのかによって異なります。詳細については、 アプリケーションのデフォルト認証情報を設定するをご覧ください。

API へのアクセス方法に応じてタブを選択してください。

gcloud

Google Cloud CLI をインストールします。 インストール後、 初期化するには、次のコマンドを実行して Google Cloud CLI を初期化します。 

gcloud init

外部 ID プロバイダ(IdP)を使用している場合は、まず フェデレーション ID を使用して gcloud CLI にログインする必要があります

クライアント ライブラリ

ローカル開発環境でクライアント ライブラリを使用するには、gcloud CLI をインストールして初期化し、ユーザー認証情報を使用してアプリケーションのデフォルト認証情報を設定します。

  1. Google Cloud CLI をインストールします。

  2. 外部 ID プロバイダ(IdP)を使用している場合は、まず フェデレーション ID を使用して gcloud CLI にログインする必要があります

  3. ローカルシェルを使用している場合は、ユーザー アカウントのローカル認証情報を作成します。 

    gcloud auth application-default login

    Cloud Shell を使用している場合は、この操作を行う必要はありません。

    認証エラーが返され、外部 ID プロバイダ (IdP)を使用している場合は、フェデレーション ID を使用して gcloud CLI にログインしていることを確認します。

詳細については、 認証ドキュメントのローカル開発環境の ADC の設定 をご覧ください。 Google Cloud

REST

ローカル開発環境で REST API を使用するには、gcloud CLI に指定した認証情報を使用します。

    Google Cloud CLI をインストールします。

    外部 ID プロバイダ(IdP)を使用している場合は、まず フェデレーション ID を使用して gcloud CLI にログインする必要があります

詳細については、 REST を使用して認証する 認証ドキュメントの Google Cloud をご覧ください。

本番環境での認証の設定については、 認証ドキュメントの Google Cloud で実行されるコードのアプリケーションのデフォルト認証情報を設定する Google Cloud をご覧ください。

ロールについて

認証されたプリンシパルがリソースにアクセスしようとすると、IAM はプリンシパルに必要な権限があるかどうかを確認します。 Google CloudIAM 許可ポリシーでロールを付与することで、プリンシパルに権限を付与します。プリンシパル、ロール、リソース、許可ポリシーの詳細については、 IAM の概要をご覧ください。

プリンシパルにリソースに対するロールを付与する際は、最小権限の原則に従ってください。Google Cloud リクエストを完了するために必要な権限よりも多くの権限をプリンシパルに付与しないでください。アクセス制御のベスト プラクティスについては、 IAM を安全に使用するをご覧ください。

Document AI のリソースにアクセスするには、必要な特定の権限を持つロールを使用します。詳細については、 Document AI の権限Document AI のロールをご覧ください。

プロジェクト間のファイル アクセスを設定する

1 つのプロジェクトで Document AI プロセッサを設定する場合、このプロジェクトが、Document AI プロセッサをホストする同じ組織内の別のプロジェクトに保存されている入力ファイルにアクセスできるようにすることが必要になることがあります。

プロジェクト間のアクセスを許可するには、次の図に示すように、Document AI サービス エージェントにストレージ オブジェクト閲覧者ロール (roles/storage.objectViewer)を付与する必要があります。

setup-1

  • プロジェクト A は Document AI プロセッサをホストし、必要に応じてバケットをホストします。バケットにはプロセッサの出力が書き込まれます。
  • プロジェクト B は、Document AI プロセッサの入力ファイルを含むバケットを所有しています。

  • プロジェクト B のファイルをプロジェクト A からアクセスできるようにするには、プロジェクト B の入力バケットに対するストレージ オブジェクト閲覧者ロール(roles/storage.objectViewer)をプロジェクト A の Document AI サービス エージェントに付与する必要があります。

    setup-2

IAM とストレージ オブジェクト閲覧者 ロールの詳細については、Cloud Storage に適用される IAM ロールをご覧ください。

組み込みサービス アカウント

Document AI サービス エージェントは、次の命名規則に従います。

service-{project number}@gcp-sa-prod-dai-core.iam.gserviceaccount.com

例: service-361747088407@gcp-sa-prod-dai-core.iam.gserviceaccount.com

setup-3

次のステップ: ユースケース

Document AI API が有効になると、Document AI プロセッサを作成して使用できます。最適なプロセッサのタイプは、ユースケースによって異なります。

次へ
拡充