Google Admin SDK: Как использовать электронную почту учетной записи службы вместо привилегированного пользователя для получения журналов G Suite?

Question

Я использую бессерверную функцию Python для получения журналов G Suite.Для проверки подлинности с помощью Admin SDK я сделал следующее:

1) создал проект 2) создал учетную запись службы с ролью Project-> Owner 3) создал файл с закрытым ключом (JSON) 4) включил домен-широкое делегирование 5) Включил Admin SDK 6) Передавайте полномочия по всему домену с помощью «Одной или нескольких областей API», авторизовав мою учетную запись службы с помощью https://www.googleapis.com/auth/admin.reports.audit.readonly

Теперь при запуске моего авторизованного приложения я использую 1)имя пользователя (адрес электронной почты привилегированного пользователя) с доступом к созданной учетной записи службы и 2) файл личного ключа (JSON) для учетной записи службы.

При авторизации приложения я использую ServiceAccountCredentials из oauth2client.service_accountпакет.

Вопрос:

При запуске приложения я не могу авторизоваться с помощью G Suite, если не использую имя пользователя (адрес электронной почты) привилегированного пользователя.Когда я заменяю этот адрес электронной почты на адрес электронной почты учетной записи службы, я не могу получить журналы G Suite.

Можно ли настроить учетную запись службы для разрешения авторизации через адрес электронной почты учетной записи службы?Если так, как я могу это сделать?

Answer 1

Я нашел ответ на вопрос.Нельзя использовать адрес электронной почты учетной записи службы.

Для получения журналов G Suite необходимо выполнить следующие действия: 1) использовать или 2) создать пользователя с правами доступа для просмотра журналов.

Если пользователь должен быть создан, это можно сделать на консоли пользователя из Консоль администратора Google .После этого соответствующие роли могут быть созданы в Google IAM .Наконец, эти роли могут быть применены к пользователю в консоли администратора Google.