将 Looker Studio Pro 与 Google Cloud 项目相关联(MAU 版本)

目标对象:本文面向 Cloud Identity 或 Google Workspace 管理员,适用于其所在组织由 Google 销售团队或 Google 转销商合作伙伴为其设置了按月活跃用户数 (MAU) 定价的 Looker Studio Pro 订阅。如果贵组织尚未使用 Looker Studio Pro,或者您的订阅是使用基于部门的自助式定价模式设置的,则本文不适用于您。点击此处详细了解 Looker Studio Pro 自助升级流程

在 Looker 数据洞察中,个人用户拥有自己创建或转移给他们的资源(报告、数据源和探索)。如需在所有者离开组织后让 Looker Studio 资源正常运行,管理员必须将这些资源转移给其他用户。否则,这些资源可能会被删除,并且系统会撤消离职用户的数据凭据,从而破坏该用户的报告和数据源。

另一方面,Looker Studio Pro 素材资源采用分层结构,您的 Cloud Identity 或 Google Workspace 组织是最终所有者。借助组织所有权,即使个人所有者离开组织,您的 Looker Studio 资源也能继续正常运行。

具体而言,组织所有权具有以下优势:

  • 用户创建的所有 Looker Studio 素材资源都存储在您控制和管理的 Google Cloud 项目中。
  • 如果 Looker Studio Pro 素材资源的创作者离开贵组织,这些素材资源将受到保护,不会被删除。
  • 您可以使用 IAM 分配适用于贵组织中所有 Looker Studio Pro 素材资源的项目级权限。
  • Looker Studio Pro 素材资源可供其他 Cloud 服务使用(例如 Dataplex 中的谱系)。

在贵组织中使用 Looker Studio Pro

如需在贵组织中使用 Looker Studio Pro,您需要将 Looker Studio Pro 与 Google Cloud 项目相关联。您还可以选择为项目添加主账号,以管理 Looker Studio 资产。

如需完成此步骤,您需要提供一个 Google Cloud 项目,用于管理 Looker Studio 素材资源。此项目还将用于向贵组织收取 Looker Studio Pro 订阅费用。

注意:当您为 Looker Studio Pro 素材资源设置组织所有权时,Google Cloud 会自动在项目上创建lien,以防止意外删除这些素材资源。确保您拥有 resourcemanager.projects.updateLiens 权限(由 roles/ownerroles/resourcemanager.lienModifier 角色授予),以便 Google Cloud 为您创建质押权。

  1. <<_shared/open-admin-console---use-me-dont-localize.md>>

  2. 前往 Google Cloud 控制台账号管理页面

  3. 找到您要用于 Looker Studio 素材资源管理和结算的项目,并记下其项目 ID。

    1. > > ### Cloud 项目要求 > > 警告:重要:请谨慎选择您的 Google Cloud 项目!将 Looker Studio 与项目相关联后,您将无法将 Looker Studio 素材资源移至其他项目。我们建议您使用专门用于 Looker Studio 的项目。> > - 您选择的项目必须使用贵组织用于 Looker Studio 订阅的结算账号。 > > - 执行升级到 Looker Studio Pro 的用户必须拥有 Workspace 服务管理员角色,或者拥有其他角色,该角色可在拥有项目的组织中向其授予 Manage Looker Studio Settings 特权。 > > - 执行 Looker Studio Pro 升级的用户还必须拥有相应项目的所有者角色。 > > - 对于转销商:转销的客户需要提供与转销商订阅的结算账号关联的项目。 > > 在继续之前,请参阅最佳实践部分,了解更多提示。
  4. 登录 Looker 数据洞察。

  5. 在左侧导航栏中,点击企业管理员

  6. 在随即显示的设置对话框中,点击左侧的项目所有权

  7. Project ID 字段中,输入您的 Google Cloud 项目 ID。

2 可选:将主账号添加到项目中

无需将单个 Looker Studio 用户添加到项目中。不过,如果您想允许组织中的其他人管理 Looker Studio 项目,可以使用 Google Cloud 控制台中的 IAM 资源管理器向该项目添加主账号。如需相关建议,请参阅“最佳实践”部分。

您可以向主账号授予以下 IAM 角色。

注意

  • 目前,这些角色使用的是数据洞察名称。
  • Looker Studio 不支持自定义角色。
  • 如需查看每个角色包含的各项 IAM 权限,请参阅 IAM 权限参考文档

角色

说明

数据洞察管理员

( roles/datastudio.admin )

包含对报告和数据源的所有权限。

Data Studio Asset Viewer

( roles/datastudio.viewer )

包括对报告和数据源的查看权限。

Data Studio Asset Editor

( roles/datastudio.editor )

包括对报告和数据源的修改权限。但不包括删除权限。

最佳做法

我们建议您在设置 Looker Studio Pro 项目时遵循以下最佳实践:

为 Looker Studio Pro 素材资源创建单独的 Google Cloud 项目

建议您创建一个专门的项目来管理 Looker Studio Pro 素材资源。将此项目与您的其他项目分开有助于明确该项目的用途,并有助于防止意外删除您的资源。

限制项目的主账号数量

尽可能减少向项目添加的人员数量。请注意,无需访问项目即可使用 Looker Studio。相反,请将 Looker Studio 项目访问权限视为一种向少数用户委托管理功能的方式。

遵循最小权限原则

如果您向项目添加人员,请根据贵组织的政策,向他们授予管理 Looker Studio 资源所需的最低角色。

使用专门针对 Looker Studio 的角色。请勿使用 IAM 基本角色。基本角色具有针对所有 Google Cloud 服务的数千项权限。在生产环境中,除非没有替代角色,否则请勿授予基本角色。应授予满足您的需求的最受限的预定义角色。

详细了解如何安全使用 IAM

组织变更

如果您已将 Looker Studio Pro 与某个组织中的项目相关联,但后来想将该项目转移到其他组织,请执行以下操作:

  1. <<_shared/open-admin-console---use-me-dont-localize.md>>

  2. 在 Google Cloud 控制台中完成新组织的设置。

  3. 将原始项目、用户和资源从旧组织迁移到新组织。详细了解如何迁移项目

  4. 登录 Looker 数据洞察。

  5. 在左侧导航栏中,点击企业管理员

  6. 在随即显示的设置对话框中,点击左侧的项目所有权

  7. Project ID 字段中,输入您的 Google Cloud 项目 ID。重要提示:提醒:此项目必须与旧组织使用的项目相同。

  8. 点击关联项目

对于其他转移场景,请与 Cloud Customer Care 团队联系以寻求帮助。

Google Cloud 关联限制

  • 您只能将 Looker Studio 与一个项目相关联。
  • 将 Looker Studio 关联到您的项目后,您将无法将其关联到其他项目。
  • 由于 Looker Studio Pro 项目带有 Google Cloud 安全锁,因此您的资源可免受意外删除。不过,如果您手动删除项目,则该项目中的所有素材资源都会被永久删除。请务必小心!