Ce guide décrit toutes les étapes de configuration nécessaires pour commencer à utiliser Document AI.
À propos de la console Google Cloud
Google Cloud console est une interface utilisateur Web permettant de provisionner, configurer, gérer et surveiller les systèmes qui utilisent des produits Google Cloud . Vous utilisez la console Google Cloud pour configurer et gérer les ressources Document AI.
Créer un projet
Pour utiliser les services fournis par Google Cloud, vous devez créer un projet qui organise toutes vos ressources Google Cloud et qui se compose des éléments suivants :
- Un ensemble de collaborateurs
- Des API activées (et autres ressources)
- Outils de surveillance
- Informations bancaires
- L'authentification et le contrôle des accès
- Processeurs Document AI
Vous pouvez créer un projet ou en créer plusieurs. Vous pouvez utiliser vos projets pour organiser vos ressources Google Cloud dans une hiérarchie des ressources. Pour en savoir plus sur les projets, consultez la documentation concernant Resource Manager.
Dans la console Google Cloud , sur la page de sélection du projet, sélectionnez ou créez un projet Google Cloud .
Rôles requis pour sélectionner ou créer un projet
- Sélectionnez un projet : la sélection d'un projet ne nécessite pas de rôle IAM spécifique. Vous pouvez sélectionner n'importe quel projet pour lequel un rôle vous a été attribué.
-
Créer un projet : pour créer un projet, vous devez disposer du rôle Créateur de projet (
roles/resourcemanager.projectCreator), qui contient l'autorisationresourcemanager.projects.create. Découvrez comment attribuer des rôles.
Accéder au sélecteur de projet
Activer l'API
Vous devez activer l'API Document AI pour votre projet. Pour en savoir plus sur l'activation des API, consultez la documentation concernant Service Usage.
Activer l'API Document AI
Rôles requis pour activer les API
Pour activer les API, vous avez besoin du rôle IAM Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin), qui contient l'autorisation serviceusage.services.enable. Découvrez comment attribuer des rôles.
Activer la facturation
Un compte de facturation sert à déterminer qui assume les frais pour un ensemble de ressources donné. Il peut être associé à un ou plusieurs projets. Les frais d'utilisation du projet sont imputés au compte de facturation associé. Vous configurez la facturation lorsque vous créez un projet. Pour en savoir plus, consultez la documentation concernant la facturation.
Vérifiez que la facturation est activée pour votre projet Google Cloud .
Obtenir les rôles requis
Pour obtenir les autorisations nécessaires pour accorder à un principal l'accès aux fichiers dans Cloud Storage, demandez à votre administrateur de vous accorder le rôle IAM Administrateur Storage (roles/storage.admin) sur le bucket.
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
Emplacements
Document AI vous permet de contrôler où les ressources de votre projet sont stockées et traitées. En particulier, lorsque vous créez un processeur, vous devez choisir un emplacement pour stocker et traiter vos données. Par défaut, Document AI stocke et traite les ressources aux États-Unis. Si vous choisissez l'Union européenne comme emplacement, vos données et processus ne sont stockés que dans l'Union européenne.
Définir l'emplacement à l'aide de l'API
Vous devez spécifier l'emplacement de votre processeur chaque fois que vous envoyez une demande de traitement à l'aide de l'API. Par exemple, si votre processeur est configuré pour stocker et traiter vos données dans l'Union européenne, utilisez l'URI eu-documentai.googleapis.com comme suit :
Process |
|
batchProcess |
|
Installer la bibliothèque cliente de l'API Document AI
Vous disposez de trois options pour appeler l'API Document AI :
- Bibliothèques clientes acceptées par Google (recommandé)
- REST
- gRPC
Les bibliothèques clientes sont disponibles pour plusieurs langages courants. Pour plus d'informations sur l'installation des bibliothèques clientes, consultez la page Bibliothèques clientes de l'API Document AI.
Installer et initialiser la Google Cloud CLI
La gcloud CLI fournit un ensemble d'outils qui vous permet de gérer les ressources et les applications hébergées sur Google Cloud.
Le lien suivant fournit des instructions :
Installez la Google Cloud CLI. Une fois que la Google Cloud CLI est installée, initialisez-la en exécutant la commande suivante :
gcloud initSi vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.
Configurer l'authentification
Toute application cliente qui utilise l'API doit être authentifiée et se voir accorder l'accès aux ressources demandées. La façon dont vous configurez l'authentification dépend de l'environnement dans lequel vous travaillez (environnement de développement local ou environnement de production). Pour en savoir plus, consultez la page Configurer les identifiants par défaut de l'application.
Sélectionnez les onglets correspondant à la manière dont vous prévoyez d'accéder à l'API :
gcloud
Installez la Google Cloud CLI. Une fois que la Google Cloud CLI est installée, initialisez-la en exécutant la commande suivante :
gcloud initSi vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.
Bibliothèques clientes
Pour utiliser des bibliothèques clientes dans un environnement de développement local, installez et initialisez la gcloud CLI, puis configurez le service Identifiants par défaut de l'application avec vos identifiants utilisateur.
-
Installez la Google Cloud CLI.
-
Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.
-
Si vous utilisez un shell local, créez des identifiants d'authentification locaux pour votre compte utilisateur :
gcloud auth application-default login
Vous n'avez pas besoin de le faire si vous utilisez Cloud Shell.
Si une erreur d'authentification est renvoyée et que vous utilisez un fournisseur d'identité (IdP) externe, vérifiez que vous vous êtes connecté à la gcloud CLI avec votre identité fédérée.
Pour en savoir plus, consultez Configurer les ADC pour un environnement de développement local dans la documentation sur l'authentification Google Cloud .
REST
Pour utiliser l'API REST dans un environnement de développement local, vous devez utiliser les identifiants que vous fournissez à la gcloud CLI.
Installez la Google Cloud CLI.
Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.
Pour en savoir plus, consultez la section S'authentifier pour utiliser REST dans la documentation sur l'authentification Google Cloud .
Pour en savoir plus sur la configuration de l'authentification dans un environnement de production, consultez Configurer les Identifiants par défaut de l'application pour le code s'exécutant sur Google Cloud dans la documentation sur l'authentification Google Cloud .
À propos des rôles
Lorsqu'un compte principal authentifié tente d'accéder à une ressource Google Cloud, IAM vérifie si le compte principal dispose des autorisations requises. Vous accordez des autorisations aux comptes principaux en attribuant des rôles dans les stratégies d'autorisation IAM. Pour en savoir plus sur les principaux, les rôles, les ressources et les stratégies d'autorisation, consultez la présentation d'IAM.
Respectez le principe du moindre privilège lorsque vous accordez des rôles sur les ressourcesGoogle Cloud aux principaux. N'accordez pas à un principal plus d'autorisations que nécessaire pour répondre à la demande. Pour en savoir plus sur les bonnes pratiques concernant le contrôle des accès, consultez Utiliser IAM en toute sécurité.
Pour accéder aux ressources dans Document AI, utilisez un rôle disposant des autorisations spécifiques dont vous avez besoin. Pour en savoir plus, consultez Autorisations Document AI et Rôles Document AI.
Configurer l'accès aux fichiers entre projets
Lorsque vous configurez votre processeur Document AI dans un projet, vous pouvez souhaiter que ce projet accède aux fichiers d'entrée stockés dans un autre projet de la même organisation qui héberge les processeurs Document AI.
Pour autoriser l'accès inter-projets, vous devez attribuer le rôle Lecteur des objets de l'espace de stockage (roles/storage.objectViewer) à l'agent de service Document AI, comme illustré dans la figure suivante.
Exemple
- Supposons que le projet A héberge des processeurs Document AI et, éventuellement, un bucket dans lequel le résultat du processeur est écrit.
- Le projet B est propriétaire du bucket contenant les fichiers d'entrée pour les processeurs Document AI.
Pour rendre les fichiers du projet B accessibles au projet A, vous devez attribuer le rôle Lecteur des objets Storage (
roles/storage.objectViewer) pour le bucket d'entrée du projet B à l'agent de service Document AI du projet A.
Pour en savoir plus sur IAM et le rôle Lecteur d'objets Storage, consultez Rôles IAM pour Cloud Storage.
Comptes de service intégrés
Un agent de service Document AI suit la convention de nommage suivante :
service-{project number}@gcp-sa-prod-dai-core.iam.gserviceaccount.com
Exemple : service-361747088407@gcp-sa-prod-dai-core.iam.gserviceaccount.com
Étapes suivantes : cas d'utilisation
Une fois l'API Document AI activée, vous pouvez créer et utiliser des processeurs Document AI. Le type de processeur le plus adapté dépend de votre cas d'utilisation.