本指南介绍了开始使用 Document AI 所需的所有设置步骤。
控制台简介 Google Cloud
控制台是一个网页界面,用于预配、配置、管理、 和监控使用 Google Cloud 产品的系统。 Google Cloud console 您可以使用 Google Cloud 控制台设置和管理 Document AI 资源。
创建项目
如需使用 Google Cloud提供的服务,您必须创建一个项目,该项目 用于组织所有 Google Cloud 资源,并且包含以下 组件:
- 一组协作者
- 已启用的 API(以及其他资源)
- 监控工具
- 结算信息
- 身份验证和访问权限控制
- Document AI 处理器
您可以创建一个项目,也可以创建多个项目。您可以使用 项目按 Google Cloud 资源层次结构 组织资源。 如需详细了解项目,请参阅 Resource Manager 文档。
在 Google Cloud 控制台的项目选择器页面上, 选择或创建 Google Cloud 项目。
选择或创建项目所需角色
- 选择项目:选择项目不需要特定的 IAM 角色,您可以选择已获授予角色的任何项目。
-
创建项目:如需创建项目,您需要拥有 Project Creator 角色
(
roles/resourcemanager.projectCreator),该角色包含resourcemanager.projects.create权限。了解如何授予 角色。
启用 API
您必须为项目启用 Document AI API。 如需详细了解如何启用 API,请参阅 Service Usage 文档。
启用 Document AI API。
启用 API 所需的角色
如需启用 API,您需要拥有 Service Usage Admin IAM 角色 (roles/serviceusage.serviceUsageAdmin),该角色包含 serviceusage.services.enable 权限。了解如何授予角色。
启用结算功能
结算账号定义了一组给定资源的付款方。 结算账号可以关联到一个或多个项目。 项目的资源使用费将记在关联的结算账号名下。您应在创建项目时配置结算信息。 如需了解详情,请参阅 结算文档。
验证是否已为您的 Google Cloud 项目启用结算功能。
获取所需角色
如需获得向正文授予 Cloud Storage 中文件访问权限所需的权限,请让管理员向您授予存储桶的
Storage Admin (roles/storage.admin)
IAM 角色。
如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
您也可以通过自定义 角色或其他预定义 角色来获取所需的权限。
位置
借助 Document AI,您可以控制存储和处理项目资源的位置。具体而言,在创建处理器时,您必须选择一个位置来存储和处理数据。默认情况下,Document AI 会在美国境内存储和处理资源。如果您选择欧盟境内位置,则数据和处理流程仅存储在欧盟境内。
使用 API 设置位置
每当您使用 API 发送处理请求时,都必须指定处理器的位置。例如,如果您的处理器配置为在欧盟境内存储和处理数据,请使用 URI
eu-documentai.googleapis.com,如下所示:
Process |
|
batchProcess |
|
安装 Document AI API 客户端库
您可以通过以下三种方式调用 Document AI API:
- Google 支持的客户端库(推荐)
- REST
- gRPC
客户端库支持多种主流语言。如需了解如何安装客户端库,请参阅 Document AI API 客户端库。
安装并初始化 Google Cloud CLI
gcloud CLI 提供了一组工具,可用于管理 Google Cloud 上托管的资源和应用 Google Cloud。
以下链接提供了相关说明:
安装 Google Cloud CLI。 安装完成后,运行以下命令来初始化 Google Cloud CLI: 初始化 Google Cloud CLI:
gcloud init如果您使用的是外部身份提供方 (IdP),则必须先 使用联合身份登录 gcloud CLI。
设置身份验证
任何使用 API 的客户端应用都必须经过身份验证,并且拥有所请求资源的访问权限。设置身份验证的方式取决于您是在本地开发环境中工作还是在设置生产环境。如需了解详情,请参阅 设置应用默认凭证。
选择标签页以了解您打算如何访问 API:
gcloud
安装 Google Cloud CLI。 安装完成后,运行以下命令来初始化 Google Cloud CLI: 初始化 Google Cloud CLI:
gcloud init如果您使用的是外部身份提供方 (IdP),则必须先 使用联合身份登录 gcloud CLI。
客户端库
如需在本地开发环境中使用客户端库,请安装并初始化 gcloud CLI,然后使用您的用户凭证设置应用默认凭证。
-
安装 Google Cloud CLI。
-
如果您使用的是外部身份提供方 (IdP),则必须先 使用联合身份登录 gcloud CLI。
-
如果您使用的是本地 shell,请为您的用户 账号创建本地身份验证凭证:
gcloud auth application-default login
如果您使用的是 Cloud Shell,则无需执行此操作。
如果返回了身份验证错误,并且您使用的是外部身份提供方 (IdP),请确认您已 使用联合身份登录 gcloud CLI。
如需了解详情,请参阅 身份验证文档中的 为本地开发环境设置 ADC Google Cloud
REST
如需在本地开发环境中使用 REST API,请使用您提供给 gcloud CLI 的凭证。
安装 Google Cloud CLI。
如果您使用的是外部身份提供方 (IdP),则必须先 使用联合身份登录 gcloud CLI。
如需了解详情,请参阅 身份验证文档 中的 Google Cloud 使用 REST 时进行身份验证。
如需了解如何为生产环境设置身份验证,请参阅身份验证文档中的 为在 Google Cloud 上运行的代码设置应用默认凭据 Google Cloud 。 Google Cloud
角色简介
当经过身份验证的主账号尝试访问资源时,IAM 会检查主账号是否具有所需权限。 Google Cloud您可以通过在 IAM 允许政策中授予角色来向主账号授予权限。如需详细了解主账号、角色、资源和允许政策,请参阅 IAM 概览。
在向主账号授予资源的角色时,请遵循最小权限原则。Google Cloud 请勿向主账号授予超出其完成请求所需的权限。如需详细了解 访问权限控制的最佳实践,请参阅 安全使用 IAM。
如需访问 Document AI 中的资源,请使用具有所需特定权限的角色。如需了解详情,请参阅 Document AI 权限和 Document AI 角色。
跨项目文件访问权限设置
在一个项目中设置 Document AI 处理器后,您可能希望此项目能够访问存储在同一组织中托管 Document AI 处理器的不同项目中的输入文件。
如需允许跨项目访问,您必须向 Document AI 服务代理授予 Storage Object Viewer 角色 (roles/storage.objectViewer),如下图所示。
示例
- 假设项目 A 托管 Document AI 处理器,并且可以选择性地托管一个存储桶,处理器输出将写入该存储桶。
- 项目 B 拥有包含 Document AI 处理器输入文件的存储桶。
如需使项目 A可以访问项目 B中的文件,您必须向项目 A的 Document AI 服务代理授予项目 B中输入存储桶的 Storage Object Viewer 角色 (
roles/storage.objectViewer)。
如需详细了解 IAM 和 Storage Object Viewer 角色,请参阅适用于 Cloud Storage 的 IAM 角色。
内置服务账号
Document AI 服务代理遵循以下命名惯例:
service-{project number}@gcp-sa-prod-dai-core.iam.gserviceaccount.com
示例:service-361747088407@gcp-sa-prod-dai-core.iam.gserviceaccount.com
后续步骤:用例
启用 Document AI API 后,即可创建和使用 Document AI 处理器。哪种类型的处理器最适合取决于您的用例。