当然可以实现！你想要用Python脚本借助GCP连接多个Google Workspace域名（比如domain1.com和domain2.com），完成向群组添加成员/管理员这类操作完全可行，我来给你梳理清楚具体的落地思路和关键步骤：

核心依赖：Google Workspace Admin SDK #

首先你得依赖Google Workspace的Admin SDK，其中的Groups API就是专门用来处理群组成员添加、权限设置这类操作的。在Python中，你可以通过google-api-python-client这个官方库来调用这些API，先通过pip install google-api-python-client google-auth-httplib2 google-auth-oauthlib安装好依赖。

多实例认证：为每个域名配置独立的服务账号 #

因为每个Google Workspace域名都是独立的管理实例，你需要为每个域名分别创建服务账号，并完成域范围授权（Domain-Wide Delegation），这是跨实例操作的关键：

• 在GCP控制台中，为每个Workspace域名创建对应的服务账号；
• 给每个服务账号授予Groups API的必要权限，比如admin.directory.group.member.create（添加成员）、admin.directory.group.member.update（设置管理员权限）等；
• 登录对应域名的Google Workspace Admin控制台，找到「API和服务」→「域范围授权」，为该域名的服务账号启用授权，并指定所需的OAuth2范围，比如https://www.googleapis.com/auth/admin.directory.group和https://www.googleapis.com/auth/admin.directory.group.member。

Python脚本中切换域名的操作逻辑 #

在你的工具脚本里，可以根据用户选择的域名，加载对应服务账号的密钥文件，模拟该域名下的超级管理员身份来调用API。这里给你一个简化的代码示例：

from google.oauth2 import service_account
from googleapiclient.discovery import build

def get_workspace_group_service(domain, service_account_key_path):
    # 定义需要的API权限范围
    SCOPES = [
        'https://www.googleapis.com/auth/admin.directory.group',
        'https://www.googleapis.com/auth/admin.directory.group.member'
    ]
    # 加载对应域名的服务账号密钥
    credentials = service_account.Credentials.from_service_account_file(
        service_account_key_path, scopes=SCOPES
    )
    # 模拟该域名的超级管理员身份（替换成你实际的超级管理员邮箱）
    delegated_creds = credentials.with_subject(f'your-superadmin@{domain}')
    # 构建Groups API的服务对象
    return build('admin', 'directory_v1', credentials=delegated_creds)

# 示例：操作domain1.com的群组，添加普通成员
domain1_service = get_workspace_group_service('domain1.com', './domain1-service-key.json')
domain1_service.members().insert(
    groupKey='marketing-team@domain1.com',
    body={'email': 'jane@domain1.com', 'role': 'MEMBER'}
).execute()

# 示例：操作domain2.com的群组，添加管理员
domain2_service = get_workspace_group_service('domain2.com', './domain2-service-key.json')
domain2_service.members().insert(
    groupKey='admin-team@domain2.com',
    body={'email': 'john@domain2.com', 'role': 'ADMIN'}
).execute()

几个关键注意点 #

• 每个域名的服务账号密钥文件要单独存储，不要混用，避免权限混乱；
• 用来模拟的管理员账号必须是对应Google Workspace域名的超级管理员，否则会因权限不足无法执行操作；
• 确保在GCP控制台中已经启用了Admin SDK API（如果用同一个GCP项目管理多个服务账号，只需启用一次即可）。

内容的提问来源于stack exchange，提问作者Joshua Casper