Enterprise Knowledge Graph API einrichten

Diese Anleitung enthält alle erforderlichen Einrichtungsschritte für die Verwendung von Enterprise Knowledge Graph.

Informationen zur Google Cloud console

Die Google Cloud console ist eine Web-UI zur Bereitstellung, Konfiguration, Verwaltung, und Überwachung von Systemen, die Google Cloud Produkte verwenden. Sie verwenden die Google Cloud console, um Enterprise Knowledge Graph-Ressourcen einzurichten und zu verwalten.

Projekt erstellen

Wenn Sie Dienste von Google Cloudnutzen möchten, müssen Sie ein Projekt erstellen.

In Projekten sind alle Ihre Ressourcen von Google Cloud organisiert. Ein Projekt besteht aus den folgenden Komponenten:

einer Gruppe von Mitarbeitern
aktivierten APIs und anderen Ressourcen
Monitoring-Tools
Zahlungsinformationen
Authentifizierungs- und Zugriffssteuerungen

Sie können ein Projekt oder mehrere Projekte erstellen. Sie können mit Ihren Projekten Ihre Google Cloud Ressourcen in einer Ressourcenhierarchieorganisieren. Weitere Informationen zu Projekten finden Sie in der Resource Manager-Dokumentation.

Wählen Sie in der Google Cloud console auf der Seite für die Projektauswahl ein Projekt vonaus oder erstellen Sie eines. Google Cloud

Rollen, die zum Auswählen oder Erstellen eines Projekts erforderlich sind

Projekt auswählen: Für die Auswahl eines Projekts ist keine bestimmte IAM-Rolle erforderlich. Sie können ein beliebiges Projekt auswählen, für das Ihnen eine Rolle zugewiesen wurde.
Projekt erstellen: Zum Erstellen eines Projekts benötigen Sie die Rolle „Projektersteller“ (roles/resourcemanager.projectCreator), die die resourcemanager.projects.create Berechtigung enthält. Rollen zuweisen.

Zur Projektauswahl

API aktivieren

Sie müssen die Enterprise Knowledge Graph API für Ihr Projekt aktivieren. Weitere Informationen zur Aktivierung von APIs finden Sie in der Service Usage-Dokumentation.

Enterprise Knowledge Graph API aktivieren

Rollen, die zum Aktivieren von APIs erforderlich sind

Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Rollen zuweisen.

API aktivieren

Authentifizierung einrichten

Jede Client-Anwendung, die die API verwendet, muss authentifiziert sein und Zugriff auf die angeforderten Ressourcen haben. In diesem Abschnitt werden wichtige Konzepte der Authentifizierung erklärt und Schritte für die Einrichtung beschrieben. Weitere Informationen finden Sie in der Authentifizierungsübersicht.

Informationen zu Dienstkonten

Für die Authentifizierung gibt es mehrere Möglichkeiten. Wir empfehlen jedoch, für die Authentifizierung und die Zugriffssteuerung Dienstkonten zu verwenden. Die Anmeldedaten für ein Dienstkonto werden für Anwendungen vergeben, nicht für Endnutzer. Projekte haben ihre Dienstkonten. Sie können viele Dienstkonten für ein Projekt erstellen. Weitere Informationen finden Sie unter Dienstkonten.

Informationen zu Rollen

Wenn Sie ineine API aufrufen, Google Cloud muss die aufrufende Identität (alle anwendbaren Personen, Entitäten oder Prozesse und ihre definierten Attribute) die entsprechenden Berechtigungen haben. Sie können Berechtigungen gewähren durch Zuweisen von Rollen für Dienstkonten. Weitere Informationen finden Sie in der Dokumentation zur Identitäts- und Zugriffsverwaltung (IAM).

Zum Testen der Enterprise Knowledge Graph API können Sie in den folgenden Schritten die Rolle Projekt > Inhaber verwenden. Die Rolle Projekt > Inhaber gewährt dem Dienstkonto vollständige Berechtigung für Ressourcen in Ihrem Projekt. Wenn für Ihr Dienstkonto keine vollständigen Berechtigungen erforderlich sind, geben Sie mit der Google Cloud Consoleeine restriktivere Rolle an. Eine Liste der Berechtigungen und Rollen für Enterprise Knowledge Graph finden Sie unter Enterprise Knowledge Graph-Berechtigungen und Enterprise Knowledge Graph-Rollen. Informationen zum Verwalten von Berechtigungen mithilfe von IAM-Rollen finden Sie unter Dienstkonten Rollen zuweisen.

Informationen zu Dienstkontoschlüsseln

Dienstkonten sind mit einem oder mehreren öffentlichen oder privaten Schlüsselpaaren verbunden. Wenn Sie ein neues Schlüsselpaar erstellen, laden Sie den privaten Schlüssel herunter. Die Google Cloud-CLI verwendet beim Aufrufen der API Ihren privaten Schlüssel, um Anmeldedaten zu generieren.

Hinweis: Dienstkontoschlüssel stellen ein Sicherheitsrisiko dar, wenn sie nicht ordnungsgemäß verwaltet werden. Sie sollten nach Möglichkeit eine sicherere Alternative zu Dienstkontoschlüsseln auswählen. Wenn Sie sich mit einem Dienstkontoschlüssel authentifizieren müssen, sind Sie für die Sicherheit des privaten Schlüssels und für andere Vorgänge verantwortlich, die unter Best Practices für die Verwaltung von Dienstkontoschlüsseln beschrieben werden. Wenn Sie keinen Dienstkontoschlüssel erstellen können, ist das Erstellen von Dienstkontoschlüsseln für Ihre Organisation möglicherweise deaktiviert. Weitere Informationen finden Sie unter Standardmäßig sichere Organisationsressourcen verwalten.

Wenn Sie den Dienstkontoschlüssel von einer externen Quelle erhalten haben, müssen Sie ihn vor der Verwendung validieren. Weitere Informationen finden Sie unter Sicherheitsanforderungen für Anmeldedaten aus externen Quellen.

Dienstkonto erstellen und Datei mit dem privaten Schlüssel herunterladen

Erstellen Sie ein Dienstkonto:

Sie benötigen die IAM-Rolle „Dienstkonto-Ersteller“ (roles/iam.serviceAccountCreator) und die Rolle „Projekt-IAM-Administrator“ (roles/resourcemanager.projectIamAdmin). Rollen zuweisen.
Wechseln Sie in der Google Cloud console zur Seite Dienstkonto erstellen.
Zur Seite „Dienstkonto erstellen“
Wählen Sie Ihr Projekt aus.
Geben Sie im Feld Dienstkontoname einen Namen ein. Die Google Cloud console füllt das Feld Dienstkonto-ID anhand dieses Namens aus.

Geben Sie im Feld Dienstkontobeschreibung eine Beschreibung ein. Beispiel: Service account for quickstart.
Klicken Sie auf Erstellen und fortfahren.
Weisen Sie dem Dienstkonto die Rolle Projekt > Inhaber zu.

Wenn Sie die Rolle zuweisen möchten, suchen Sie die Rolle auswählen-Liste und wählen Sie Projekt > Inhaber aus.

Hinweis: Das Feld Rolle hat Einfluss darauf, auf welche Ressourcen in Ihrem Projekt das Dienstkonto zugreifen kann. Sie können diese Rollen später widerrufen oder zusätzliche Rollen erteilen. In Produktionsumgebungen sollten Sie die Inhaber-, Bearbeiter- und Betrachterrolle nicht zuweisen. Gewähren Sie stattdessen eine vordefinierte Rolle oder eine benutzerdefinierte Rolle, die Ihren Anforderungen entspricht.
Klicken Sie auf Weiter.
Klicken Sie auf Fertig, um das Erstellen des Dienstkontos abzuschließen.

Schließen Sie das Browserfenster nicht. Sie verwenden es in der nächsten Aufgabe.

Erstellen Sie einen Dienstkontoschlüssel:

Klicken Sie in der Google Cloud console auf die E-Mail-Adresse des von Ihnen erstellten Dienstkontos.
Klicken Sie auf Schlüssel.
Klicken Sie auf Schlüssel hinzufügen und dann auf Neuen Schlüssel erstellen.
Klicken Sie auf Erstellen. Daraufhin wird eine JSON-Schlüsseldatei auf Ihren Computer heruntergeladen.
Klicken Sie auf Schließen.

Enterprise Knowledge Graph API einrichten Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Informationen zur Google Cloud console

Projekt erstellen

API aktivieren

Authentifizierung einrichten

Informationen zu Dienstkonten

Informationen zu Rollen

Informationen zu Dienstkontoschlüsseln

Dienstkonto erstellen und Datei mit dem privaten Schlüssel herunterladen

Schlüsseldatei des Dienstkontos in Ihrer Umgebung verwenden

Enterprise Knowledge Graph API einrichten