Google CDE の BYOK (Bring Your Own Key) を設定する

Google Custom Document Extractor (CDE) プロセッサーの BYOK (Bring Your Own Key) ライセンスを利用する場合は、以下の手順で設定を行ってください。

前提条件

  1. [Document AI Viewer] または [Document AI Editor] ロールが割り当てられていること、および Google Cloud Platform にサービス アカウントが作成されていることを確認してください。「Create service accounts」および「IAM roles for Document AI」を参照してください。
  2. Google プロジェクトのサービス アカウント キーを作成し、.json ファイルを Google Cloud Platform からダウンロードしていることを確認してください。「Create a service account key」を参照してください。
  3. AAE_Locker_Admin ユーザー タイプとしてログインします。

手順

  1. Credential Vault ロッカー用カスタム ロールを作成します。
    1. ロールの名前を指定します (google-cde-credential-role など)。Manage my credentials and lockers 権限が自動的に選択されます。
    2. [作成] ロールをクリックします。

      ロールを Bot creator および Unattended Bot Runner ユーザー タイプに割り当てます。

  2. Google サービス アカウント用の Credential Vault に 資格情報を作成します。
    1. [マネージ] > [資格情報] > [資格情報を作成] の順に移動します。
    2. 資格情報の名前を指定します (google-cde-credential など)。
    3. 属性の名前を指定します (ServiceAccount など)。
    4. [標準] 入力オプションを選択します。
    5. プロジェクト用に作成した Google Document AI API キーまたはサービス アカウント キーの内容をコピーし、.json ファイルとしてダウンロードし、[] フィールドに貼り付けます。
      注: Google はセキュリティ上の理由から、一定の間隔で .json ファイル内のプライベート キーの値を更新します。中断もエラーも起きずにオートメーションを実行するため、プライベート キーの値が更新されるたびにこの値を更新するようにしてください。
    6. [資格情報を作成] をクリックします。
  3. キーを格納するロッカーを作成します。
    1. [ロッカー] タブに移動し、[ロッカーを作成] をクリックします。
    2. ロッカーの名前を指定します (google-cde-locker など)。
    3. google-cde-credential を選択し、右矢印をクリックして、資格情報を [選択済み] 列に移動します。
    4. [コンシューマー] タブで、google-cde-credential-role を選択し、右矢印をクリックして、資格情報を [選択済み] 列に移動します。
    5. [ロッカーを作成] をクリックします。