O Looker (Google Cloud Core) usa o Identity and Access Management (IAM) para provisionar o acesso de usuários e administradores por meio de um conjunto de papéis predefinidos. Para uma descrição detalhada do Google Cloud IAM, consulte a documentação do IAM.
Comparação entre os papéis de IAM e os do Looker
Dois tipos diferentes de papéis concedem permissões para Looker (Google Cloud Core): papéis do IAM e papéis do Looker.
Papéis do IAM do Looker (núcleo do Google Cloud): esses tipos de papéis regem os seguintes aspectos:
- Recursos dos usuários no console do Google Cloud em relação ao Looker (Google Cloud Core)
- Capacidade dos usuários de fazer login em uma instância do Looker (Google Cloud Core)
- Se um usuário tem o papel de Administrador após fazer login em uma instância do Looker (Google Cloud Core).
Consulte a documentação do IAM para informações sobre como conceder papéis do IAM.
Papéis do Looker: esses tipos de papéis regem o que os usuários podem fazer depois de fazer login em uma instância do Looker (Google Cloud Core). Consulte as páginas da documentação sobre Papéis e Grupos para informações sobre como conceder papéis do Looker.
Os usuários podem ter mais de um tipo de função.
Papéis do IAM do Looker (Google Cloud Core)
Há três papéis predefinidos para Looker (Google Cloud Core):
| Nome do papel |
Descrição Permissões do Looker (núcleo do Google Cloud) |
|---|---|
roles/looker.viewerVisualizador do Looker |
Acesso somente leitura para ver a lista de instâncias na página Instâncias.looker.instances.listlooker.instances.get |
roles/looker.instanceUserUsuário da instância do Looker |
Acesso para fazer login em uma instância do Looker.looker.instances.getlooker.instances.login |
roles/looker.adminAdministrador do Looker |
Acesso total a todos os recursos do Looker.looker.instances.listlooker.instances.getlooker.instances.loginlooker.instances.createlooker.instances.deletelooker.instances.updatelooker.instances.importlooker.instances.export |
As contas de usuário com um papel de Leitor do Looker não podem fazer login nas instâncias do Looker (Google Cloud Core), mas podem visualizar a lista de instâncias na página Instâncias.
Na primeira vez que um usuário com uma conta que tem o papel do IAM de usuário da instância do Looker fizer login em uma instância do Looker (Google Cloud Core), ele receberá o papel de Looker selecionado na configuração Papéis para novos usuários.
As contas de usuário com o papel de administrador do Looker para IAM têm o papel de administrador em instâncias do Looker (Google Cloud Core). Qualquer pessoa com um papel de administrador do IAM do Looker em um projeto do Google Cloud tem privilégios de administrador em todas as instâncias do Looker (Google Cloud Core) nesse projeto.
Se os papéis predefinidos não fornecerem o conjunto de permissões que você quer, também é possível criar seus próprios papéis personalizados.
Como definir um papel padrão do Looker na instância do Looker (Google Cloud Core)
Antes de adicionar qualquer usuário, é útil definir o papel de Looker padrão que será concedido a contas de usuário com o papel de IAM de usuário da instância do Looker no primeiro login em uma instância do Looker (Google Cloud Core). Para definir um papel padrão, siga estas etapas:
- Verifique se você tem o papel de IAM de Administrador do Looker no projeto em que a instância reside.
- Na instância do Looker (Google Cloud Core), navegue até a página Administrador > Autenticação > Google no painel do administrador.
- A configuração Papéis para novos usuários contém uma lista de todos os papéis padrão e personalizados na instância do Looker (Google Cloud Core). Selecione a função que você quer conceder a todos os novos usuários por padrão.
- As contas de usuário com uma função do IAM de Administrador do Looker receberão todas as permissões atribuídas à função do Administrador do Looker padrão, independentemente da configuração selecionada na configuração Funções para novos usuários.
Como adicionar usuários a uma instância do Looker (Google Cloud Core)
Depois que uma instância do Looker (Google Cloud Core) for criada e configurada, será possível adicionar usuários. Para adicionar usuários, siga estas etapas:
- Verifique se você tem o papel Administrador do IAM do projeto ou outro papel que permita gerenciar o acesso do IAM.
Navegue até o projeto do Console do Google Cloud em que está a instância do Looker (Google Cloud Core).
Navegue até a seção IAM e administrador > IAM do Console do Google Cloud.
Selecione Conceder acesso.
Na seção Adicionar principais, adicione um ou mais dos seguintes itens:
- Um e-mail de uma Conta do Google
- Um Grupo do Google
- Um domínio do Google Workspace
Na seção Atribuir papéis, selecione um dos papéis predefinidos do IAM do Looker (Google Cloud Core) ou um papel personalizado que você adicionou.
Clique em Save.
Informe aos novos usuários do Looker (Google Cloud Core) que o acesso foi concedido e direcione-os para o URL da instância. A partir daí, eles podem fazer login na instância e, nesse momento, suas contas serão criadas. Nenhuma comunicação automática será enviada.
Se você alterar o papel de IAM de um usuário, essas alterações serão propagadas na instância do Looker (Google Cloud Core) em alguns minutos.
Todos os usuários precisam ser provisionados pelas etapas do IAM descritas anteriormente, com uma exceção: é possível criar contas de serviço somente da API Looker na instância do Looker (Google Cloud Core).
Como criar uma conta de serviço somente para API
Se você tiver o papel de IAM de administrador do Looker, poderá criar contas apenas de API (também chamadas de "contas de serviço") na página Administrador > Usuários. Essas contas podem receber papéis de administrador do Looker e credenciais da API Looker. No entanto, essas contas não podem fazer login no Looker (Google Cloud Core) por meio da UI.
Como fazer login no Looker (Google Cloud Core)
No primeiro login, os usuários precisarão fazer login com a Conta do Google. Ele precisa usar a mesma conta que o administrador do Looker listado no campo Adicionar participantes ao conceder acesso. Os usuários verão a tela de consentimento do OAuth que foi configurada durante a criação do cliente OAuth. Depois que os usuários concordarem com a tela de consentimento, as contas deles na instância do Looker (Google Cloud Core) serão criadas e conectadas.
Depois disso, os usuários serão conectados automaticamente ao Looker (Google Cloud Core), a menos que a autorização deles expire ou seja revogada pelo usuário. Nesses casos, os usuários verão novamente a tela de consentimento do OAuth e precisarão autorizar a ação.
Alguns usuários podem receber credenciais de API para uso na recuperação de um token de acesso à API. Se a autorização desses usuários expirar ou for revogada, as credenciais da API deixarão de funcionar. Todos os tokens atuais de acesso à API também deixarão de funcionar. Para resolver o problema, o usuário precisa autorizar novamente as credenciais fazendo login na UI do Looker Looker (Google Cloud Core) para cada instância afetada. Como alternativa, o uso de contas de serviço somente para API ajuda a evitar uma falha de autorização de credencial para tokens de acesso à API.
Como visualizar usuários no Looker (Google Cloud Core)
Se você tiver o papel de IAM de administrador do Looker, poderá ver os usuários em uma instância do Looker (Google Cloud Core) navegando até Administrador > Usuários no painel do administrador do Looker (Google Cloud Core).
A página Usuários em uma instância do Looker (Google Cloud Core) é diferente da página Usuários em uma instância do Looker (original) das seguintes maneiras:
- Não é possível editar o nome ou o e-mail de um usuário no Looker (Google Cloud Core).
- Não é possível usar o sudo como outro usuário no Looker (Google Cloud Core).
- Um usuário com um papel de IAM de Administrador do Looker terá o papel de Administrador padrão do Looker na instância do Looker (Google Cloud Core). Na lista de usuários da página Usuários, o papel será exibido como Administrador via IAM.
- Com exceção de uma conta de serviço do Looker, não é possível atribuir a um usuário o papel Administrador. Isso precisa ser concedido por meio do IAM.
- O único tipo de usuário que pode ser adicionado na página Usuários é uma conta de serviço do Looker (núcleo do Google Cloud), criada especificamente para atividades de API.
- Você só verá a guia Incorporar usuários quando visualizar instâncias de edição incorporada do Looker (Google Cloud Core).
- Quando você está editando um usuário, não é possível enviar um link de configuração ou redefinição de senha. Toda a autenticação de conta de usuário é feita por meio do OAuth.
- Consulte a seção Como remover o acesso ao Looker (Google Cloud Core) para informações sobre como excluir usuários do Looker.
Como alterar as funções e permissões dos usuários no Looker (Google Cloud Core)
Se você tiver o papel de IAM de administrador do Looker, poderá editar as permissões do Looker (Google Cloud Core) dos usuários em uma instância do Looker (Google Cloud Core).
As páginas de documentação Grupos e Papéis descrevem como conceder acesso e permissões em uma instância do Looker (Google Cloud Core).
A concessão de papéis e permissões do Looker em uma instância do Looker (Google Cloud Core) é diferente de uma instância do Looker (original), em que só é possível conceder o papel de Administrador do Looker a contas de serviço.
Como remover o acesso ao Looker (Google Cloud Core)
Se você tiver um papel que permita gerenciar o acesso do IAM, remova o acesso a uma instância do Looker (Google Cloud Core) revogando o papel do IAM que concedeu acesso. Se você remover o papel do IAM de uma conta de usuário, essas alterações serão propagadas para a instância do Looker (Google Cloud Core) em alguns minutos. Mesmo que o usuário não possa mais acessar a instância, é possível que a conta de usuário ainda apareça ativa na página Usuários.
A seguir
- Configurar uma instância do Looker (Google Cloud Core)
- Administrar uma instância do Looker (Google Cloud Core) do Looker
- Administrar uma instância do Looker (Google Cloud Core) no Console do Google Cloud