Google Workspace 服务密钥获取指南：Synology 数据迁移授权实操手册

当需要将 Google Workspace（原G Suite）中的邮件、联系人或日历数据迁移到 Synology 的 MailPlus、Contacts 或 Calendar 时，Google Workspace 服务密钥是实现授权访问的核心凭证——没有该密钥，Synology 套件无法获取 Google Workspace 的数据访问权限，迁移任务会直接失败。本文基于 Synology 官方技术指南，分“配置 Drive SDK API”和“创建服务密钥”两大核心环节，详细拆解每一步操作细节，同时解答实操中的高频疑问，帮你高效完成迁移授权。

一、前置说明：为什么需要获取Google Workspace服务密钥？

在 Synology 与 Google Workspace 的数据迁移场景中，服务密钥的作用是“建立信任桥梁”： 

- Google Workspace 出于安全考虑，默认禁止第三方工具（如 Synology MailPlus）直接访问域内用户数据； 

- 服务密钥本质是 Google 颁发给“特定服务账号”的授权文件，通过它，Synology 套件可在“无需收集每个用户密码”的前提下，基于 Google OAuth 2.0 协议访问迁移所需的数据（如邮件、云端硬盘文件）； 

- 整个获取过程需完成“API启用”“账号创建”“权限委派”三步，缺一不可，否则会因权限不足导致迁移中断。

适用场景：仅用于 Synology MailPlus、Contacts、Calendar 从 Google Workspace 迁移数据，其他迁移场景（如迁移到第三方邮箱）不适用本流程。

二、第一步：配置Drive SDK API——解锁云端硬盘访问权限

迁移过程中需通过 Drive SDK API 访问 Google 云端硬盘中的关联数据（如邮件附件、日历附件），因此需先在 Google 管理控制台中启用该 API 权限。

操作步骤（共5步，需域管理员权限）

1. 登录 Google 管理控制台 

- 打开浏览器，访问 Google 管理控制台官网（建议使用 Chrome 浏览器，避免兼容性问题）； 

- 使用待迁移域的管理员凭据登录（需是“域超级管理员”账号，普通用户账号无配置权限）。

2. 导航至“Google Workspace”配置页 

- 登录后，在左侧导航栏找到并点击「应用」选项； 

- 在展开的子菜单中，选择「Google Workspace」（若看不到该选项，需确认账号已拥有“Google Workspace 管理权限”）。

3. 进入“云端硬盘和文档”设置 

- 在 Google Workspace 的服务列表中，滚动查找「云端硬盘和文档」（英文：Drive and Docs），点击进入； 

- 此时页面会显示“云端硬盘和文档”的全局状态（默认应为“对所有人开启”），无需修改状态，直接进入下一步。

4. 配置“功能和应用程序” 

- 在“云端硬盘和文档”页面的左侧菜单中，点击「功能和应用程序」（英文：Features and Applications）； 

- 页面会列出所有与云端硬盘相关的功能模块，向下滚动找到「Drive SDK」区域（通常在页面中下部）。

5. 启用 Drive SDK API 并保存 

- 勾选「允许用户使用 Drive SDK API 访问 Google 云端硬盘」前方的复选框； 

- 点击页面底部的「保存」按钮（若有“取消”按钮，需确认无误后再保存）； 

- ⚠️ 重要注意事项：该设置生效可能需要 24 小时（Google 系统需同步域内所有用户权限），建议配置后等待1天再进行后续操作，避免因 API 未生效导致迁移失败。

三、第二步：创建服务密钥——生成迁移授权凭证

服务密钥通过“Google API Console”创建，需完成“新建项目→启用API→创建服务账号→生成密钥→全网域委派”5个关键环节，每一步需严格按顺序操作。

环节1：登录Google API Console并新建项目

1. 登录控制台 

- 打开浏览器访问 Google API Console 官网，使用域超级管理员账号登录（与 Google 管理控制台账号一致）； 

- 若首次登录，页面会提示“选择项目”，直接进入下一步。

2. 新建项目 

- 点击页面顶部的「选择项目」下拉框，在弹出的窗口右上角点击「新建项目」； 

- 在“新建项目”页面中，输入「项目名称」（建议命名为“Synology迁移授权”，便于后续识别）； 

- 「组织」和「位置」按实际情况选择（若无需特定组织，可选择“无组织”）； 

- 点击「创建」按钮，系统会自动生成项目（耗时约1-2分钟）； 

- 项目创建完成后，页面右上角会出现“通知”，点击通知中的「选择项目」，进入新建的项目页面。

环节2：启用6个核心API——保障迁移功能完整

迁移需依赖 Google 的多个 API 接口，需逐一搜索并启用，缺失任一 API 都会导致对应功能迁移失败（如未启用 Gmail API 则无法迁移邮件）。

操作步骤

1. 进入API库 

- 在项目页面的左侧导航栏，点击「API 和服务」→「库」（英文：APIs & Services → Library）； 

- 页面顶部有搜索框，输入 API 名称即可快速查找。

2. 搜索并启用以下6个API 

建议按顺序启用，避免遗漏，可通过表格核对：

| API名称                | 核心作用                                  | 迁移场景关联                  |

|------------------------|-------------------------------------------|-------------------------------|

| Admin SDK API          | 访问 Google Workspace 域内用户管理数据    | 迁移联系人、用户信息          |

| Google People API      | 获取用户个人资料、联系人关系数据          | 迁移 Contacts 联系人列表       |

| Gmail API              | 读取和导出用户邮件数据（含附件）          | 迁移 MailPlus 邮件            |

| Google Calendar API    | 访问日历事件、日程数据                    | 迁移 Calendar 日历             |

| Google Drive API       | 读取云端硬盘中的迁移相关附件              | 邮件/日历附件迁移              |

| Tasks API              | 同步用户任务数据（若需迁移任务）          | 迁移任务列表（可选，按需启用） |

- 启用方法：输入 API 名称后，点击搜索结果中的 API 条目，再点击页面中的「启用」按钮（启用后按钮会变为“管理”，表示已生效）； 

- 若搜索不到某 API，需确认“项目”已正确选择（回到“选择项目”页面重新切换）。

环节3：创建服务账号——关联迁移权限

服务账号是“服务密钥的载体”，需为其分配“所有者”角色，确保拥有足够权限访问迁移数据。

1. 进入服务账号页面 

- 在左侧导航栏，点击「IAM 和管理」→「服务帐号」（英文：IAM & Admin → Service Accounts）； 

- 页面显示“项目中无服务账号”（首次创建），点击「+ 创建服务账号」按钮。

2. 填写服务账号基本信息 

- 「服务账号名称」：输入便于识别的名称（如“Synology迁移服务账号”）； 

- 「服务账号ID」：系统会自动生成（无需修改，格式为“名称@项目ID.iam.gserviceaccount.com”）； 

- 「服务账号描述」：可选，建议填写“用于Synology MailPlus/Contacts/Calendar从Google Workspace迁移数据”； 

- 点击「创建并继续」。

3. 分配“所有者”角色 

- 在“授予此服务账号访问项目的权限”页面，点击「选择角色」下拉框； 

- 在弹出的菜单中，展开「项目」分类，选择「所有者」（⚠️ 必须选择“所有者”，低权限角色如“编辑者”“查看者”会导致权限不足）； 

- 无需设置“条件”，直接点击「继续」。

4. 跳过可选步骤并完成创建 

- 第三步“授予用户访问此服务账号的权限”为可选操作，直接点击「完成」； 

- 此时页面会自动返回服务账号列表，新创建的服务账号已显示在列表中。

环节4：生成JSON格式服务密钥

服务密钥是实际用于授权的文件，需下载并妥善保存（丢失后无法恢复，需重新生成）。

1. 进入服务账号密钥管理页面 

- 在服务账号列表中，找到刚创建的账号，点击其右侧「操作」列的「⋮」（更多选项）； 

- 在下拉菜单中，选择「管理密钥」（英文：Manage Keys）。

2. 创建新密钥 

- 在“密钥”页面，点击「添加密钥」→「创建新密钥」； 

- 在弹出的“创建私钥”窗口中，「密钥类型」默认选择「JSON」（⚠️ 推荐JSON格式，P12格式仅用于旧版兼容性，Synology套件优先支持JSON）； 

- 点击「创建」，浏览器会自动下载JSON格式的密钥文件（文件名通常为“项目ID-随机字符串.json”）。

3. 保存密钥文件 

- 下载完成后，立即将文件保存到安全的位置（如加密U盘、本地私密文件夹）； 

- ⚠️ 重要提醒：该文件包含访问Google Workspace数据的核心权限，不可泄露给他人，若丢失需重新生成（原密钥会自动失效）； 

- 点击「关闭」，返回服务账号页面。

4. 复制服务账号“唯一ID” 

- 在服务账号列表中，点击刚创建的服务账号名称，进入“服务账号详情”页面； 

- 找到「唯一ID」（英文：Unique ID）字段，点击右侧的「复制」按钮，将ID粘贴到记事本中（后续“全网域委派”需使用）。

环节5：配置全网域委派——授权访问域内所有用户数据

仅创建服务账号和密钥还不够，需通过“全网域委派”让服务账号拥有访问域内所有用户数据的权限（而非仅访问自身数据）。

1. 返回Google管理控制台 

- 重新打开浏览器标签页，进入 Google 管理控制台（仍使用域管理员账号登录）； 

- 在左侧导航栏，点击「安全性」→「访问权限和数据控制」→「API 控制」（英文：Security → Access and data control → API controls）。

2. 进入全网域委派管理 

- 在“API 控制”页面的底部，找到「全网域委派」（英文：Domain wide delegation）区域； 

- 点击「管理全网域委派」（英文：Manage Domain wide delegation）按钮。

3. 添加新的客户端ID 

- 在“API 客户端”页面，点击「新增」（英文：Add new）； 

- 在弹出的“添加新客户端ID”窗口中，填写两个核心信息： 

- 「客户端ID」：粘贴步骤4中复制的“服务账号唯一ID”； 

- 「OAuth 范围」：复制并粘贴以下完整链接（⚠️ 不可遗漏或修改，逗号分隔，无多余空格）： 

`https://www.googleapis.com/auth/admin.directory.user, https://www.googleapis.com/auth/admin.directory.domain.readonly, https://www.googleapis.com/auth/drive, https://mail.google.com, https://www.googleapis.com/auth/calendar, https://www.googleapis.com/auth/contacts, https://www.googleapis.com/auth/contacts.other.readonly, https://sites.google.com/feeds, https://www.googleapis.com/auth/tasks` 

- 确认信息无误后，点击「授权」按钮。

4. 验证委派状态 

- 授权后，新的客户端ID会显示在“API 客户端”列表中，状态为“已授权”； 

- 若显示“待授权”，需刷新页面重试（通常立即生效，若延迟可等待5-10分钟）。

四、关键注意事项：避免授权失败的5个核心要点

1. 账号权限必须足够 

- 所有操作需使用“Google Workspace 域超级管理员”账号，普通管理员或用户账号无“新建项目”“全网域委派”权限，会导致步骤中断。

2. 密钥文件安全第一 

- JSON密钥文件下载后，建议立即备份到2个以上安全位置，同时删除浏览器下载记录（避免他人通过下载记录获取）； 

- 迁移完成后，可在“服务账号密钥管理”页面删除该密钥（避免长期留存风险）。

3. API启用不可遗漏 

- 6个核心API需全部启用，若遗漏“Google People API”会导致联系人迁移失败，遗漏“Gmail API”会导致邮件无法导出，需在“API库”中再次核对。

4. 角色必须选择“所有者” 

- 服务账号的角色若选择“编辑者”或“查看者”，会因“无数据导出权限”导致迁移报错，需在“IAM和管理”中修改角色（进入服务账号详情→「权限」→编辑角色）。

5. 生效时间需等待 

- Drive SDK API 配置后可能需要24小时生效，若配置后立即进行迁移提示“API未启用”，可等待1天后重试。

五、常见问题解答（FAQ）

Q1：生成服务密钥后，Synology套件如何使用该密钥？

A1：在 Synology DSM 中打开 MailPlus/Contacts/Calendar，进入“数据迁移”页面，选择“Google Workspace”作为源，按提示上传下载的JSON密钥文件，系统会自动验证授权，验证通过后即可选择迁移数据类型（邮件/联系人/日历）。

Q2：全网域委派的OAuth范围能否精简？

A2：不建议精简。每个范围对应特定的数据访问权限（如`https://mail.google.com`对应邮件访问，`https://www.googleapis.com/auth/contacts`对应联系人访问），精简后会导致部分数据无法迁移，需按官方提供的完整范围复制。

Q3：服务账号能否重复用于多次迁移？

A3：可以。只要密钥未被删除、权限未被修改，同一服务账号可用于多次迁移（如首次迁移邮件，后续补充迁移日历），无需重新创建。

总结：服务密钥获取的核心逻辑与后续操作

获取 Google Workspace 服务密钥的本质是“通过 Google 官方控制台，为 Synology 套件创建一个‘有权限的访问身份’”，核心流程可概括为“解锁API→创建身份→生成凭证→授予全域权限”。完成所有步骤后，你手中的 JSON 密钥文件就是迁移授权的“钥匙”，后续只需在 Synology 套件中上传该文件，即可启动数据迁移任务。

若在操作中遇到“API启用失败”“全网域委派授权报错”等问题，可优先检查账号权限（是否为超级管理员）、项目选择（是否为新建的迁移项目），或联系 Google Workspace 技术支持确认域配置是否正常。