Configurare un account di servizio Google Cloud per Looker Studio

Pubblico di destinazione:

Questo articolo è rivolto agli amministratori di Google Cloud. Per sapere come utilizzare un account di servizio esistente nell'origine dati di Looker Studio, consulta Credenziali dei dati.

Anziché delegare l'accesso utilizzando le credentials del proprietario o richiedere a singoli visualizzatori dei report di accedere ai dati utilizzando le credenziali del visualizzatore, Looker Studio può usare un account di servizio per accedere ai dati. Un account di servizio è un tipo speciale di Account Google destinato a rappresentare un utente "non umano" che può eseguire l'autenticazione ed essere autorizzato ad accedere ai dati nelle API e nei prodotti Google. Scopri di più sugli account di servizio.

Vantaggi dell'utilizzo di un account di servizio con Looker Studio

Per utilizzare un account di servizio con Looker Studio, aggiungi l'agente di servizio Looker Studio della tua organizzazione come utente (entità) nell'account. Questo ti permette di controllare quali account di servizio possono essere utilizzati con Looker Studio, garantendo al contempo che gli utenti della tua organizzazione possano accedere facilmente ai dati di cui hanno bisogno.

L'utilizzo di un account di servizio anziché delle credenziali di un singolo utente comporta i seguenti vantaggi:

  • Le origini dati che utilizzano le credenziali dell'account di servizio non subiranno interruzioni se il creatore lascia l'azienda.
  • Le credenziali dell'account di servizio supportano l'accesso ai dati situati dietro perimetri Controlli di servizio VPC che utilizzano criteri relativi ai dispositivi.
  • Le funzionalità automatizzate come le email pianificate e le estrazioni di dati pianificate funzioneranno con le origini dati che si trovano dietro un perimetro Controlli di servizio VPC.

Ti consigliamo di creare nuovi account di servizio da utilizzare esclusivamente con Looker Studio. Ad esempio, puoi creare account di servizio distinti dedicati per team di marketing, vendite e progettazione da utilizzare con Looker Studio.

Prima di iniziare

  • Per configurare un account di servizio, devi disporre del ruolo Amministratore account di servizio ( roles/iam.serviceAccountAdmin) o Creazione account di servizio ( roles/iam.serviceAccountCreator) per il tuo progetto Google Cloud. Scopri di più sui ruoli degli account di servizio.
  • Per ottenere l'agente di servizio Looker Studio, devi essere un utente di Workspace o Cloud Identity.

Istruzioni di configurazione

Devi seguire le istruzioni in questo articolo solo una volta, a meno che tu non voglia creare altri account di servizio per team o gruppi di utenti diversi. Per creare più account di servizio, ripeti queste istruzioni per ogni account di servizio aggiuntivo.

Trovare l'agente di servizio Looker Studio

Per consentire all'account di servizio di accedere ai tuoi dati, devi fornire l'agente di servizio Looker Studio per la tua organizzazione. Puoi trovarlo in una pagina di assistenza di Looker Studio:

  1. Vai alla pagina di assistenza dell'agente di servizio Looker Studio.
  2. Copia l'indirizzo email dell'agente di servizio visualizzato nella pagina.

La pagina Agente di servizio di Looker Studio mostra l'indirizzo email dell'agente di servizio necessario per configurare un account di servizio per accedere ai tuoi dati.

Creare un account di servizio per Looker Studio

Le istruzioni sulla creazione di un account di servizio sono disponibili nella documentazione di Google Cloud IAM. Per creare l'account di servizio puoi utilizzare Cloud Console o la riga di comando di Cloud Shell.

Utilizzare Cloud Console

Passaggio 1: crea un nuovo account di servizio

  1. Dalla console Cloud, vai alla pagina Crea account di servizio .

    Vai a Crea account di servizio

  2. Seleziona un progetto.

  3. Inserisci il nome di un account di servizio da visualizzare nella console Cloud.

    La console Cloud genera un ID account di servizio in base a questo nome. Se necessario, modifica l'ID. Non potrai modificare l'ID in un secondo momento.

  4. (Facoltativo) Inserisci una descrizione per l'account di servizio.

  5. Fai clic su CREA E CONTINUA.

    Pagina Crea account di servizio della piattaforma Google Cloud con i campi Nome account di servizio, ID account di servizio e Descrizione account di servizio compilati.

  6. Nel passaggio 2, Concedi a questo account di servizio l'accesso al progetto , concedi all'account di servizio il ruolo IAM Utente job BigQuery nel progetto contenente i dati a cui vuoi connetterti in Looker Studio. Tieni presente che potrebbe essere diverso dal progetto in cui hai creato l'account di servizio.

    Un utente inserisce il testo Job BigQuery nella casella di filtro Ruolo e seleziona il ruolo Utente job BigQuery dal menu a discesa dei risultati.
  7. Fai clic su Continua .
  8. Nel campo Ruolo degli utenti dell'account di servizio , aggiungi gli utenti che possono utilizzare questo account di servizio per fornire le credenziali per le loro origini dati. Se non vuoi aggiungere gli utenti ora, puoi farlo in un secondo momento seguendo le istruzioni riportate al Passaggio 3: concedi i ruoli utente di seguito.
  9. Fai clic su FINE per salvare l'account di servizio e tornare alla pagina dell'elenco degli account di servizio per il progetto.

Passaggio 2: consenti all'agente di servizio Looker Studio di accedere al tuo account di servizio

  1. Torna all' elenco degli account di servizio della console Cloud .
  2. Seleziona con un clic nell'elenco l'account di servizio di Looker Studio appena creato.
  3. In alto, fai clic su AUTORIZZAZIONI .
  4. Fai clic su Icona Condividi CONCEDI ACCESSO .
  5. A destra, in Aggiungi entità a PROJECT_ID , incolla l'indirizzo email dell'agente di servizio Looker Studio (copiato nel passaggio 1 sopra) nella casella Nuove entità .
  6. Seleziona un ruolo che conceda all'agente di servizio l'autorizzazione iam.serviceAccount.getAccessToken . Ad esempio, puoi utilizzare il ruolo Creatore token account di servizio , ma anche qualsiasi ruolo personalizzato che conceda questa autorizzazione.
  7. Fai clic su SALVA .
Suggerimento : l'indirizzo dell'agente di servizio utilizza il formato service-account@PROJECT_ID.iam.gserviceaccount.com . Se conosci l'ID progetto, puoi creare l'indirizzo manualmente.

Nel riquadro Aggiungi entità, un utente inserisce l'indirizzo email dell'agente di servizio di Looker Studio nel campo Nuove entità, inserisce la parola token nella casella di filtro Ruolo e seleziona il ruolo Creatore token account di servizio dal menu a discesa dei risultati.

Passaggio 3: concedi i ruoli utente

Nota : questo passaggio è facoltativo se hai già aggiunto utenti di Looker Studio durante la creazione dell'account di servizio, come descritto nel passaggio 1 riportato sopra.

Agli utenti di Looker Studio che creano o modificano le origini dati deve essere concesso un ruolo che includa l'autorizzazione iam.serviceAccounts.actAs , ad esempio il ruolo Utente account di servizio ( roles/iam.serviceAccountUser ). Puoi concedere questo ruolo nel progetto o in un account di servizio singolo, ma ti consigliamo di concederlo solo nell'account di servizio. Per le istruzioni, vedi Gestire l'impersonificazione degli account di servizio .

Suggerimento : se non vuoi completare ora questo passaggio, puoi farlo in un secondo momento.
Suggerimento : ti consigliamo di NON concedere agli utenti non agenti di servizio il ruolo Creatore token account di servizio perché non è necessario per Looker Studio.
Nota : gli utenti che visualizzano solo i report di Looker Studio non devono disporre delle autorizzazioni per l'account di servizio.
  1. Vai all' elenco degli account di servizio della console Cloud .
  2. Seleziona con un clic nell'elenco l'account di servizio di Looker Studio.
  3. Nella parte superiore della pagina, fai clic su AUTORIZZAZIONI .
  4. Fai clic su Icona Condividi CONCEDI ACCESSO .
  5. A destra, in Aggiungi entità e ruoli a Service Account , inserisci gli indirizzi email degli utenti nella casella Nuove entità .
  6. Seleziona il ruolo Utente account di servizio .
  7. Fai clic su SALVA .

Passaggio 4: attiva l'account di servizio per accedere ai dati BigQuery

Per consentire a Looker Studio di accedere ai tuoi dati, concedi il ruolo Visualizzatore dati BigQuery all'account di servizio a livello di tabella o set di dati.

Nota : non è consigliabile concedere all'account di servizio l'accesso a livello di progetto.

Per concedere l'accesso a una tabella :

  1. Vai all' elenco degli account di servizio della console Cloud .
  2. Copia l'indirizzo email dell'account di servizio di Looker Studio.
  3. Vai a BigQuery e apri un progetto.
  4. Espandi un set di dati facendo clic su .
  5. Seleziona una tabella.
  6. Nella barra degli strumenti, fai clic su Icona Condividi CONDIVIDI .
  7. Nel riquadro che si apre a destra, fai clic su Icona Condividi AGGIUNGI ENTITÀ .
  8. Nella casella Nuove entità , incolla l'indirizzo email dell'account di servizio di Looker Studio.
  9. Seleziona il ruolo Visualizzatore dati BigQuery .
  10. Fai clic su SALVA .

Per concedere l'accesso a un set di dati :

  1. Vai all' elenco degli account di servizio della console Cloud .
  2. Copia l'indirizzo email dell'account di servizio di Looker Studio.
  3. Vai a BigQuery , apri un progetto e individua il set di dati.
  4. A destra del nome del set di dati, fai clic su Visualizza azioni .
  5. Fai clic su Apri .
  6. Nella barra degli strumenti, fai clic su Icona Condividi CONDIVISIONE Autorizzazioni .
  7. Nel riquadro che si apre a destra, fai clic su Icona Condividi AGGIUNGI ENTITÀ .
  8. Nella casella Nuove entità , incolla l'indirizzo email dell'account di servizio di Looker Studio.
  9. Seleziona il ruolo Visualizzatore dati BigQuery .
  10. Fai clic su SALVA .

Utilizzo di Cloud Shell

Passaggio 1: crea un nuovo account di servizio

Segui la procedura generale indicata in gcloud in Creazione e gestione degli account di servizio .

  1. Apri Cloud Shell .
  2. Seleziona un progetto, se necessario.
  3. Per creare l'account di servizio, esegui il comando gcloud iam service-accounts create . Puoi utilizzare qualsiasi nome, descrizione e nome visualizzato dell'account che preferisci.

    Esempio: 

     gcloud iam service-accounts create datastudio_service_account --description="Use for Looker Studio access to BigQuery"  --display-name="DS_BQ"
  1. Per accedere ai dati BigQuery nel progetto Google Cloud che vuoi utilizzare con Looker Studio, assegna all'account di servizio l'autorizzazione bigquery.jobs.create nel progetto in questione. Per concedere questa autorizzazione, puoi assegnare il ruolo IAM Utente job BigQuery .

    Inoltre, concedi all'account di servizio le autorizzazioni bigquery.tables.getData e bigquery.tables.get per il progetto o il set di dati che vuoi utilizzare con Looker Studio. Per concedere queste autorizzazioni, puoi assegnare il ruolo Visualizzatore dati BigQuery ( roles/bigquery.dataViewer ).

    Per concedere questi ruoli, esegui il comando gcloud projects add-iam-policy-binding . Negli esempi riportati di seguito, sostituisci PROJECT_ID con il tuo ID progetto.

    Esempio: 
     gcloud projects add-iam-policy-binding PROJECT_ID  --member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" --role="roles/bigquery.jobUser" gcloud projects add-iam-policy-binding PROJECT_ID --member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" --role="roles/bigquery.dataViewer"

Passaggio 2: consenti all'agente di servizio Looker Studio di accedere al tuo account di servizio

Per consentire all'agente di servizio Looker Studio di accedere ai dati tramite l'account di servizio, concedi il ruolo Creatore token account di servizio ( roles/iam.serviceAccountTokenCreator ) all'agente di servizio. A questo scopo, esegui il comando gcloud iam service-accounts add-iam-policy-binding . Nell'esempio seguente, sostituisci ORG_ID con l'ID della tua organizzazione.

Esempio: 

 gcloud iam service-accounts add-iam-policy-binding datastudio_service_account@PROJECT_ID.iam.gserviceaccount.com --member="service-ORG_ID@gcp-sa-datastudio.iam.gserviceaccount.com" --role="roles/iam.serviceAccountTokenCreator"

Passaggio 3: concedi i ruoli utente

Agli utenti di Looker Studio che creano o modificano le origini dati deve essere concesso un ruolo che includa l'autorizzazione iam.serviceAccounts.actAs , ad esempio il ruolo Utente account di servizio ( roles/iam.serviceAccountUser ). Puoi concedere questo ruolo nel progetto o in un account di servizio singolo, ma ti consigliamo di concederlo solo nell'account di servizio. Per le istruzioni, vedi Gestire l'impersonificazione degli account di servizio .

Se non vuoi completare ora questo passaggio, puoi farlo in seguito.
Suggerimento: ti consigliamo di NON concedere agli utenti non agenti di servizio il ruolo Creatore token account di servizio perché non è necessario per Looker Studio.
Nota: gli utenti che visualizzano solo i report di Looker Studio non devono disporre delle autorizzazioni per l'account di servizio.

Per concedere il ruolo Utente account di servizio , esegui il comando gcloud projects add-iam-policy-binding . Negli esempi riportati di seguito, sostituisci PROJECT_ID con il tuo ID progetto e " user@example.com " con uno o più indirizzi email validi (separa le voci multiple con una virgola).

Esempio: 

 gcloud iam service-accounts add-iam-policy-binding  datastudio_service_account@PROJECT_ID.iam.gserviceaccount.com  --member="user:user@example.com" --role="roles/iam.serviceAccountUser"

Passaggio 4: attiva l'account di servizio per accedere ai dati BigQuery

Per consentire a Looker Studio di accedere ai tuoi dati, concedi il ruolo Visualizzatore dati BigQuery all'account di servizio a livello di tabella o set di dati.

Il modo più semplice per farlo è seguire le istruzioni della console Cloud riportate sopra al passaggio 4. Per concedere l'accesso ai dati utilizzando lo strumento a riga di comando bq, consulta Controllo dell'accesso ai set di dati .

Fornire gli account di servizio di Looker Studio agli utenti di Looker Studio

Gli utenti di Looker Studio devono sapere quale account di servizio utilizzare per la creazione delle origini dati. Poiché non esiste un modo per visualizzare l'elenco degli account di servizio disponibili in Looker Studio, devi rendere accessibili queste informazioni tramite la documentazione, il sito web interno o le email della tua organizzazione.

Creare un'origine dati che utilizza le credenziali dell'account di servizio

Per creare origini dati che utilizzano le credenziali dell'account di servizio, gli utenti di Looker Studio possono seguire la stessa procedura di base prevista per gli altri tipi di credenziali dei dati :

  1. Crea o modifica un'origine dati BigQuery.
  2. Nella barra degli strumenti, fai clic su Credenziali dei dati.
  3. Seleziona Credenziali dell'account di servizio.
  4. Inserisci l'indirizzo email dell'account di servizio nella casella.
  5. Fai clic su Aggiorna.

Modificare un'origine dati che utilizza le credenziali dell'account di servizio

Quando un utente modifica un'origine dati che utilizza le credenziali dell'account di servizio, Looker Studio controlla se possiede l'autorizzazione all'uso dell'account di servizio. In caso contrario, l'origine dati passa all'uso delle credenziali dell'utente.

Vedere chi utilizza l'account di servizio per accedere ai dati

Puoi controllare i log di controllo per gli account di servizio in Cloud Console. Per ricevere i log di controllo per gli account di servizio, devi attivare i log di controllo IAM per l'attività di accesso ai dati.

Scenario di esempio dell'account di servizio

Supponiamo che tu voglia assicurarti che gli utenti di Looker Studio della tua azienda abbiano accesso solo ai dati della società controllata del loro paese. Una soluzione consiste nel creare un account di servizio per ogni paese e concedere solo agli utenti di Looker Studio in quel paese l'autorizzazione ad agire come account di servizio.

Configurazione di esempio

In questo esempio, creerai tre account di servizio: uno per il Regno Unito, uno per la Francia e uno per la Germania. Poi, assegnerai i ruoli appropriati all'agente di servizio e a tutti gli utenti ai quali vuoi concedere l'autorizzazione a creare origini dati che utilizzando l'account di servizio come entità.

Account di servizio nel Regno Unito

service-account-1@example-org-uk-example-project.iam.gserviceaccount.com

Entità per il Regno Unito

Entità Ruoli

service-org-12345@gcp-sa-datastudio.iam.gserviceaccount.com

Questo è l'agente di servizio.

Service Account Token Creator
Utente 1 Service Account User
Utente 2 Service Account User

Account di servizio per la Francia

service-account-1@example-org-fr-example-project.iam.gserviceaccount.com

Entità per la Francia

Entità Ruoli

service-org-12345@gcp-sa-datastudio.iam.gserviceaccount.com

Questo è l'agente di servizio.

Service Account Token Creator
Utente 3 Service Account User
Utente 4 Service Account User

Account di servizio per la Germania

service-account-1@example-org-de-example-project.iam.gserviceaccount.com

Entità per la Germania

Entità Ruoli

service-org-12345@gcp-sa-datastudio.iam.gserviceaccount.com

Questo è l'agente di servizio.

Service Account Token Creator
Utente 5 Service Account User
Utente 6 Service Account User

Errori

Questa sezione spiega i messaggi di errore che i creatori delle origini dati e i visualizzatori dei report di Looker Studio potrebbero ricevere quando tentano di utilizzare un account di servizio. Nella maggior parte dei casi, questi errori hanno la stessa causa principale: configurazione errata o incompleta dell'account di servizio.

Ruolo agente di servizio mancante

Messaggi

  • L'agente di servizio di Looker Studio non dispone dell'autorizzazione iam.serviceAccount.getAccessToken per questo servizio.
  • All'agente di servizio utilizzato dall'account di servizio di questa origine dati manca il ruolo "Creatore token account di servizio".

Causa

All'agente di servizio non è stato concesso il ruolo Creatore token account di servizio (o un altro ruolo che include l'autorizzazione iam.serviceAccount.getAccessToken ).

Soluzione

Concedi il ruolo Creatore token account di servizio all'agente di servizio.

Nessun accesso ai dati

Messaggio

L'account di servizio non può accedere al set di dati sottostante.

Causa

All'account di servizio non è stato concesso l'accesso ai dati del progetto.

Soluzione

Concedi al tuo account di servizio almeno il ruolo Visualizzatore dati BigQuery nella tabella, nel set di dati o nel progetto sottostante.

Ruolo utente mancante

Messaggio

Non hai l'autorizzazione per utilizzare questo account di servizio.

Causa

L'utente non è stato aggiunto come entità all'account di servizio con il ruolo Utente account di servizio .

Soluzione

Concedi all'utente il ruolo Utente account di servizio nell'account di servizio.

Agente di servizio non disponibile per l'account

Messaggi

  • Non è possibile generare gli agenti di servizio per questo account. Riprova con un account gestito Google Workspace o Cloud Identity.
  • Le credenziali dell'agente di servizio sono disponibili solo per le organizzazioni gestite di Google Workspace o Cloud Identity. Utilizza un altro account per usare questa funzionalità.

Causa

L'utente sta tentando di accedere ai dati controllati da un account di servizio da un Account Google standard (utente consumatore).

Soluzione

Utilizza un account Google Workspace o Cloud Identity per accedere ai dati.

Impossibile utilizzare l'agente di servizio nella finestra di dialogo delle credenziali

Messaggio

Non è possibile utilizzare gli agenti di servizio Looker Studio per collegarsi direttamente ai dati. Utilizza un account di servizio.

Soluzione

Gli agenti e gli account di servizio sono diversi. Inserisci un account di servizio nella finestra di dialogo delle credenziali. Puoi trovare l'elenco degli account di servizio disponibili in Cloud Console:

Utilizzare Cloud Console

  1. Vai alla pagina Google Cloud Platform > IAM e amministrazione > Account di servizio .
  2. Seleziona un progetto, se necessario.
  3. Nella pagina Account di servizio per il progetto , individua l'account di servizio che Looker Studio utilizzerà per accedere ai dati di BigQuery.
  4. Copia l'indirizzo email di quell'account.

Utilizzare Cloud Shell

  1. Apri Cloud Shell .
  2. Seleziona un progetto, se necessario.
  3. Per visualizzare un elenco degli account di servizio a cui hai accesso, esegui il comando gcloud iam service-accounts list .

Esempio: 

 gcloud iam service-accounts list

Limiti

  • Al momento le credenziali dell'account di servizio sono disponibili solo per le origini dati BigQuery. I limiti IAM si applicano agli account di servizio.
  • Potrebbero essere necessari alcuni minuti prima che le modifiche alle autorizzazioni degli account di servizio vengano applicate in Looker Studio.