Looker Studio のアセット(レポート、データソース、データ探索)は、作成したユーザー、または移管されたユーザーがオーナーとなります。オーナーが退職した場合、引き続き Looker Studio アセットを使用できるようにするには、管理者が対象のアセットを他のユーザーに移管する必要があります。移管しなかった場合、それらのアセットは削除され、退職したユーザーのデータ認証情報が取り消されて、そのユーザーのレポートおよびデータソースは破棄されます。
一方、Looker Studio Pro のアセットは、Cloud Identity または Google Workspace の組織を最終的なオーナーとして階層的に編成されます。組織オーナー権限があれば、各オーナーが退職しても、Looker Studio アセットを引き続き使用できます。
組織オーナー権限には次のメリットがあります。
- ユーザーが作成した Looker Studio アセットはすべて、管理者が制御および管理する Google Cloud プロジェクトに保存されます。
- Looker Studio Pro アセットは、作成者が退職した場合でも削除されません。
- IAM を使用すれば、組織内のすべての Looker Studio Pro アセットにプロジェクト レベルの権限を割り当てられます。
- Looker Studio Pro アセットを他のクラウド サービス(Dataplex のリネージなど)で使用できます。
組織で Looker Studio Pro を使用する
組織で Looker Studio Pro を使用するには、Looker Studio Pro を Google Cloud プロジェクトにリンクする必要があります。そのプロジェクトには必要に応じて、Looker Studio アセットを管理するプリンシパルを追加できます。
Google Cloud プロジェクトにリンクする
この手順を完了するには、Looker Studio アセットの管理に使用する Google Cloud プロジェクトを指定します。このプロジェクトは、Looker Studio Pro サブスクリプションのお支払いにも使用されます。
クラウド プロジェクトの要件
- 選択するプロジェクトでは、Looker Studio サブスクリプションに使用しているのと同じ請求先アカウントを使用する必要があります。
- Looker Studio Pro アセットの組織オーナー権限を設定すると、 Google Cloud によってプロジェクトにリーエンが自動的に作成され、そのアセットが誤って削除されることがなくなります。 Google Cloud が差し押さえを作成できるように、
roles/owner
ロールとroles/resourcemanager.lienModifier
ロールによって付与されるresourcemanager.projects.updateLiens
権限があることを確認します。 - Looker Studio Pro へのアップグレードを行うユーザーは、Workspace サービス管理者のロール、またはプロジェクトを所有する組織で
Manage Looker Studio Settings
権限を付与する別のロールを持っている必要があります。 - Looker Studio Pro へのアップグレードを実行するユーザーには、プロジェクトのオーナーロールも必要です。
販売パートナー様の場合: 販売パートナー経由でサブスクリプションを購入されたお客様は、サブスクリプションの請求先アカウントにリンクされているプロジェクトを指定する必要があります。
続行する前に、ベスト プラクティスのセクションでその他のヒントをご覧ください。
手順
管理者アカウントで Google 管理コンソールにログインします。
Looker Studio アセットの管理とお支払いに使用するプロジェクトを見つけて、プロジェクト ID をメモします。
左側のナビゲーションで [エンタープライズ管理者] をクリックします。
表示される設定ダイアログの左側で、[プロジェクト所有権] をクリックします。
[Project ID] フィールドに、 Google Cloud プロジェクト ID を入力します。
省略可: プロジェクトにプリンシパルを追加する
個々の Looker Studio ユーザーをプロジェクトに追加する必要はありませんが、組織内の他のユーザーが Looker Studio プロジェクトを管理できるようにする場合は、 Google Cloud コンソールの IAM リソース マネージャーを使用して、プロジェクトにプリンシパルを追加します。ベスト プラクティスのセクションを参考にしてください。
プリンシパルには次の IAM ロールを付与できます。
役割 |
説明 |
---|---|
Data Studio Admin(データポータル管理者) ( |
レポートとデータソースに対するすべての権限が含まれます。 |
Data Studio Asset Viewer(データポータル アセット閲覧者) ( |
レポートとデータソースに対する閲覧権限が含まれます。 |
Data Studio Asset Editor(データポータル アセット編集者) ( |
レポートとデータソースに対する編集権限が含まれます。削除権限は含まれません。 |
プリンシパルにロールを付与する際は、次の点に注意してください。
- 現在、これらのロールでは Data Studio(データポータル)での名前を使用しています。
- Looker Studio では、カスタムロールはサポートされていません。
- 各ロールに含まれる個々の IAM 権限を確認するには、IAM 権限のリファレンスをご覧ください。
ベスト プラクティス
Looker Studio Pro プロジェクトの設定は、次のベスト プラクティスに沿って行うことをおすすめします。
Looker Studio Pro アセット用の個別の Google Cloud プロジェクトを作成する
Looker Studio Pro アセットの管理専用プロジェクトを作成することをおすすめします。管理専用プロジェクトを他のプロジェクトと分けることで、プロジェクトの用途を明確にし、誤ってアセットを削除してしまうことを防げます。
プロジェクトのプリンシパル数を制限する
プロジェクトに追加するプリンシパルの数は最小限に抑えてください。なお、Looker Studio は、プロジェクトへのアクセス権がなくても使用できます。その代わりに、Looker Studio プロジェクトへのアクセス権は、一部の限られたユーザーに管理機能を委任するための方法として使用できます。
最小権限の原則に従う
プロジェクトに追加したユーザーには、組織のポリシーに則って、Looker Studio アセットの管理に必要な最小限のロールを付与してください。
その際は、Looker Studio に固有のロールを使用し、IAM の基本ロールは使用しないでください。基本ロールには、すべての Google Cloud サービスにかかわる多くの権限が含まれます。本番環境では、他に選択肢がない限り、基本ロールを付与しないでください。代わりに、ニーズに合った最低限の事前定義ロールを付与しましょう。
詳しくは、IAM を安全に使用する方法をご覧ください。
組織の変更
Looker Studio Pro を 1 つの組織のプロジェクトにリンクしていて、後からそのプロジェクトを別の組織に移管する場合は、次の手順を実施します。
管理者アカウントで Google 管理コンソールにログインします。
Google Cloud コンソールで、新しい組織の設定を完了します。
元のプロジェクト、ユーザー、リソースを、現在の組織から新しい組織に移行します。詳しくは、プロジェクトの移行をご覧ください。
左側のナビゲーションで [エンタープライズ管理者] をクリックします。
表示される設定ダイアログの左側で、[プロジェクト所有権] をクリックします。
[Project ID] フィールドに、 Google Cloud プロジェクト ID を入力します。
[プロジェクトをリンク] をクリックします。
その他の移管シナリオについては、Cloud カスタマーケアにお問い合わせください。
Google Cloud のリンクの上限
- Looker Studio をリンクできるプロジェクトは 1 つに限られます。
- すでにプロジェクトにリンクされている Looker Studio は、別のプロジェクトにリンクできません。
- Looker Studio Pro プロジェクトには Google Cloud リーエンが設定されているため、アセットが誤って削除されることはありません。ただし、手動でプロジェクトを削除すると、そのプロジェクト内のすべてのアセットが完全に削除されるため、ただし、