Configurar uma conta de serviço do Google Cloud para o Looker Studio

Público-alvo:

Este artigo é destinado aos administradores do Google Cloud. Para saber como usar uma conta de serviço na sua fonte de dados do Looker Studio, consulte Credenciais de dados.

Em vez de delegar o acesso usando as credentials do proprietário ou exigir que os leitores de relatório tenham acesso aos dados usando as credenciais do leitor, o Looker Studio pode usar uma conta de serviço para acessar as informações. Uma conta de serviço é um tipo especial de Conta do Google destinada a representar um usuário não humano que pode ser autenticado e autorizado a acessar dados nas APIs e produtos do Google. Saiba mais sobre as contas de serviço.

Benefícios de usar uma conta de serviço com o Looker Studio

Para usar uma conta de serviço com o Looker Studio, adicione o agente de serviço do Looker Studio da sua organização como usuário (principal) na conta. Assim, você controla quais contas de serviço podem ser usadas com o Looker Studio, garantindo que os usuários da sua organização possam acessar facilmente os dados de que precisam.

O uso de uma conta de serviço em vez das credenciais de um usuário individual oferece estes benefícios:

  • As fontes de dados que usam credenciais de conta de serviço não vão ser interrompidas se o criador sair da empresa.
  • As credenciais da conta de serviço permitem o acesso aos dados protegidos por perímetros do VPC Service Controls que usam políticas de dispositivo.
  • Recursos automatizados, como extrações de dados e e-mails programados, funcionam com as fontes de dados que estão por trás de um perímetro do VPC Service Controls.

Crie contas de serviço para usar somente com o Looker Studio. Por exemplo, é possível criar contas de serviço dedicadas às equipes de marketing, vendas e engenharia para usar com o Looker Studio.

Antes de começar

  • Para configurar uma conta de serviço, você precisa ter o papel de Administrador da conta de serviço ( roles/iam.serviceAccountAdmin) ou Criar contas de serviço ( roles/iam.serviceAccountCreator) no seu projeto do Google Cloud. Saiba mais sobre os papéis de conta de serviço.
  • Para receber o agente de serviço do Looker Studio, você precisa ser um usuário do Workspace ou do Cloud Identity.

Instruções de configuração

Você só vai precisar seguir as instruções neste artigo uma vez, a menos que queira criar contas de serviço diferentes para equipes ou grupos de usuários distintos. Se quiser criar várias contas de serviço, repita essas instruções para cada uma delas.

Acessar o agente de serviço do Looker Studio

Para permitir que a conta de serviço acesse seus dados, você precisa fornecer o agente de serviço do Looker Studio da sua organização. Você pode encontrar o agente de serviço em uma página de ajuda no Looker Studio:

  1. Navegue até a página de ajuda do agente de serviço do Looker Studio.
  2. Copie o endereço de e-mail do agente de serviço mostrado nessa página.

A página "Agente de serviço" do Looker Studio mostra o endereço de e-mail do agente de serviço necessário para configurar uma conta de serviço e acessar seus dados.

Criar uma conta de serviço para o Looker Studio

As instruções sobre como criar uma conta de serviço estão na documentação do Google Cloud IAM. Use o console do Cloud ou a linha de comando do Cloud Shell para criar a conta de serviço.

Usar o Console do Cloud

Etapa 1: criar uma nova conta de serviço

  1. No console do Cloud, acesse a página Criar conta de serviço .

    Acesse "Criar conta de serviço"

  2. Selecione um projeto.

  3. Insira um nome de conta de serviço a ser exibido no Console do Cloud.

    O console do Cloud gerará um ID de conta de serviço com base nesse nome. Edite o ID agora, se necessário. Não será possível alterar o ID depois.

  4. Opcional: digite uma descrição para a conta de serviço.

  5. Clique em CRIAR E CONTINUAR.

    Página "Criar conta de serviço" do Google Cloud Platform com os campos "Nome da conta de serviço", "ID da conta de serviço" e "Descrição da conta de serviço" preenchidos.

  6. Na etapa 2, Conceda a essa conta de serviço acesso ao projeto , conceda à conta de serviço o papel do IAM Usuário de jobs do BigQuery no projeto que contém os dados que você quer conectar ao Looker Studio. Ele pode ser diferente do projeto em que você criou a conta de serviço.

    Um usuário insere o texto "BigQuery Job" na caixa "Filtro de função" e seleciona a função "Usuário do job do BigQuery" no menu suspenso de resultados.
  7. Clique em Continuar .
  8. No campo Papel de usuários da conta de serviço , adicione os usuários que podem usar essa conta para informar credenciais às fontes de dados deles. Se você não quiser adicionar usuários agora, faça isso depois seguindo as instruções na Etapa 3: conceder funções do usuário abaixo.
  9. Clique em CONCLUÍDO para salvar a conta de serviço e voltar à página da lista de contas de serviço do seu projeto.

Etapa 2: permitir que o agente de serviço do Looker Studio acesse sua conta de serviço

  1. Volte para a lista de contas de serviço do console do Cloud .
  2. Selecione a conta de serviço do Looker Studio que você acabou de criar clicando nela na lista.
  3. Na parte de cima, clique em PERMISSÕES .
  4. Clique em Ícone de compartilhamento CONCEDER ACESSO .
  5. À direita, em Adicionar participantes a PROJECT_ID , cole o e-mail do agente de serviço do Looker Studio (que você copiou na etapa 1 acima) na caixa Novos participantes .
  6. Selecione um papel que conceda ao agente de serviço a permissão iam.serviceAccount.getAccessToken . Por exemplo, você pode usar o papel de Criador do token da conta de serviço , mas também pode usar qualquer função personalizada que conceda essa permissão.
  7. Clique em SALVAR .
Dica : o endereço do agente de serviço usa o formato service-account@PROJECT_ID.iam.gserviceaccount.com . Se você souber o ID do projeto, vai ser possível criar o endereço manualmente.

No painel "Add principals", o usuário insere o e-mail do agente de serviço do Looker Studio no campo "Novos principais", insere a palavra "token" na caixa "Filtro da função" e seleciona a função "Criador de token para a conta de serviço" no menu suspenso de resultados.

Etapa 3: conceder funções de usuário

Observação : essa etapa é opcional se você já adicionou usuários do Looker Studio ao criar a conta de serviço, conforme descrito na Etapa 1 acima.

Os usuários do Looker Studio que vão criar ou editar fontes de dados precisam receber um papel que inclua a permissão iam.serviceAccounts.actAs , como o papel de Usuário da conta de serviço ( roles/iam.serviceAccountUser ). É possível conceder esse papel no projeto ou em uma conta de serviço individual, mas recomendamos que você escolha a segunda alternativa. Para ver instruções, consulte Como gerenciar a representação de uma conta de serviço .

Dica : se você não quiser seguir essa etapa agora, volte a ela mais tarde.
Dica : recomendamos que você NÃO conceda aos usuários que não são agente de serviço o papel de Criador do token da conta de serviço, porque isso não é necessário para o Looker Studio.
Observação : os usuários que só vão acessar relatórios do Looker Studio não precisam ter permissões na conta de serviço.
  1. Acesse a lista de contas de serviço do console do Cloud .
  2. Selecione sua conta de serviço do Looker Studio clicando nela na lista.
  3. Na parte de cima da página, clique em PERMISSÕES .
  4. Clique em Ícone de compartilhamento CONCEDER ACESSO .
  5. À direita, em Adicionar participantes e papéis para Service Account , insira os endereços de e-mail dos seus usuários na caixa Novos participantes .
  6. Selecione o papel Usuário da conta de serviço .
  7. Clique em SALVAR .

Etapa 4: permitir que a conta de serviço acesse seus dados do BigQuery

Para permitir que o Looker Studio acesse seus dados, conceda o papel de Leitor de dados do BigQuery à conta de serviço no nível da tabela ou do conjunto de dados.

Observação : não recomendamos conceder acesso à conta de serviço no nível do projeto.

Para conceder acesso a uma tabela :

  1. Acesse a lista de contas de serviço do console do Cloud .
  2. Copie o endereço de e-mail da conta de serviço do Looker Studio.
  3. Acesse o BigQuery e abra um projeto.
  4. Clique em para expandir um conjunto de dados .
  5. Selecione uma tabela.
  6. Na barra de ferramentas, clique em Ícone de compartilhamento COMPARTILHAR .
  7. No painel que abrir à direita, clique em Ícone de compartilhamento ADD PRINCIPAL .
  8. Na caixa Novos participantes , cole o endereço de e-mail da conta de serviço do Looker Studio.
  9. Selecione o papel de Leitor de dados do BigQuery .
  10. Clique em SALVAR .

Para conceder acesso a um conjunto de dados :

  1. Acesse a lista de contas de serviço do console do Cloud .
  2. Copie o endereço de e-mail da conta de serviço do Looker Studio.
  3. Acesse o BigQuery , abra um projeto e localize o conjunto de dados.
  4. À direita do nome do conjunto de dados, clique em Ver ações .
  5. Clique em Abrir .
  6. Na barra de ferramentas, clique em Ícone de compartilhamento COMPARTILHAMENTO Permissões .
  7. No painel que abrir à direita, clique em Ícone de compartilhamento ADD PRINCIPAL .
  8. Na caixa Novos participantes , cole o endereço de e-mail da conta de serviço do Looker Studio.
  9. Selecione o papel de Leitor de dados do BigQuery .
  10. Clique em SALVAR .

Usar o Cloud Shell

Etapa 1: criar uma nova conta de serviço

Siga as etapas gerais listadas em gcloud em Como criar e gerenciar contas de serviço .

  1. Abra o Cloud Shell .
  2. Selecione um projeto, se necessário.
  3. Para criar a conta de serviço, execute o comando gcloud iam service-accounts create . Você pode usar qualquer nome, descrição e nome de exibição na conta.

    Exemplo: 

     gcloud iam service-accounts create datastudio_service_account --description="Use for Looker Studio access to BigQuery"  --display-name="DS_BQ"
  1. Para acessar os dados do BigQuery no projeto do Google Cloud que você quer usar com o Looker Studio, conceda à conta de serviço a permissão bigquery.jobs.create . Você pode conceder o papel do IAM Usuário de jobs do BigQuery para dar essa permissão.

    Além disso, conceda à conta de serviço as permissões bigquery.tables.getData e bigquery.tables.get no projeto ou conjunto de dados que você quer usar com o Looker Studio. Você pode conceder o papel de Leitor de dados do BigQuery ( roles/bigquery.dataViewer ) para dar essas permissões.

    Para conceder esses papéis, execute o comando gcloud projects add-iam-policy-binding . Nos exemplos abaixo, substitua PROJECT_ID pelo ID do projeto.

    Exemplo: 
     gcloud projects add-iam-policy-binding PROJECT_ID  --member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" --role="roles/bigquery.jobUser" gcloud projects add-iam-policy-binding PROJECT_ID --member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" --role="roles/bigquery.dataViewer"

Etapa 2: permitir que o agente de serviço do Looker Studio acesse sua conta de serviço

Para permitir que o agente de serviço do Looker Studio acesse dados usando a conta de serviço, conceda a esse agente o papel de Criador do token da conta de serviço ( roles/iam.serviceAccountTokenCreator ). Para fazer isso, execute o comando gcloud iam service-accounts add-iam-policy-binding . No exemplo a seguir, substitua ORG_ID pelo ID da sua organização.

Exemplo: 

 gcloud iam service-accounts add-iam-policy-binding datastudio_service_account@PROJECT_ID.iam.gserviceaccount.com --member="service-ORG_ID@gcp-sa-datastudio.iam.gserviceaccount.com" --role="roles/iam.serviceAccountTokenCreator"

Etapa 3: conceder funções de usuário

Os usuários do Looker Studio que vão criar ou editar fontes de dados precisam receber um papel que inclua a permissão iam.serviceAccounts.actAs , como o papel de Usuário da conta de serviço ( roles/iam.serviceAccountUser ). É possível conceder esse papel no projeto ou em uma conta de serviço individual, mas recomendamos que você escolha a segunda alternativa. Para ver instruções, consulte Como gerenciar a representação de uma conta de serviço .

Se você não quiser seguir essa etapa agora, volte a ela mais tarde.
Dica: recomendamos que você NÃO conceda aos usuários que não são agente de serviço o papel de Criador do token da conta de serviço, porque isso não é necessário para o Looker Studio.
Observação : os usuários que só vão acessar os relatórios do Looker Studio não precisam ter permissões na conta de serviço.

Para conceder o papel de Usuário da conta de serviço , execute o comando gcloud projects add-iam-policy-binding . Nos exemplos a seguir, substitua PROJECT_ID pelo ID do projeto e " user@example.com " por um ou mais endereços de e-mail válidos (separe várias entradas por vírgulas).

Exemplo: 

 gcloud iam service-accounts add-iam-policy-binding  datastudio_service_account@PROJECT_ID.iam.gserviceaccount.com  --member="user:user@example.com" --role="roles/iam.serviceAccountUser"

Etapa 4: permitir que a conta de serviço acesse seus dados do BigQuery

Para permitir que o Looker Studio acesse seus dados, conceda o papel de Leitor de dados do BigQuery à conta de serviço no nível da tabela ou do conjunto de dados.

É mais fácil fazer isso seguindo as instruções do console do Cloud , etapa 4 acima. Para conceder acesso aos dados usando a ferramenta de linha de comando bq, consulte Como controlar o acesso a conjuntos de dados .

Fornecer as conta de serviço do Looker Studio aos usuários do Looker Studio

Os usuários do Looker Studio precisam saber qual conta de serviço usar ao criar fontes de dados. Como não é possível ver a lista de contas de serviço disponíveis no Looker Studio, você precisa disponibilizar essas informações pela documentação da sua organização, pelo site interno ou por e-mail.

Criar uma fonte de dados que usa as credenciais da conta de serviço

Para criar fontes de dados que usam credenciais de conta de serviço, os usuários do Looker Studio podem seguir as mesmas etapas básicas aplicáveis a outros tipos de credenciais de dados :

  1. Crie ou edite uma fonte de dados do BigQuery.
  2. Na barra de ferramentas, clique em Credenciais de dados.
  3. Selecione Credenciais da conta de serviço .
  4. Insira o endereço de e-mail da conta de serviço na caixa.
  5. Clique em Atualizar.

Editar uma fonte de dados que usa credenciais da conta de serviço

Quando alguém edita uma fonte de dados que usa credenciais de conta de serviço, o Looker Studio verifica se a pessoa tem permissão para usar a conta. Quando não tem, a fonte de dados passa a usar as credenciais dela.

Quem está usando a conta de serviço para acessar dados

É possível verificar os registros de auditoria das contas de serviço no console do Cloud. É necessário ativar os registros de auditoria do IAM para a atividade de acesso a dados se você quiser receber esses arquivos das contas de serviço.

Exemplo de cenário de conta de serviço

Você quer que os usuários do Looker Studio na sua empresa tenham acesso apenas aos dados da subsidiária do país deles. Uma solução é criar uma conta de serviço para cada país e permitir que apenas os usuários do Looker Studio naquele país atuem como a conta de serviço.

Exemplo de configuração

Neste exemplo, você vai criar três contas de serviço: uma para o Reino Unido, outra para a França e mais uma para a Alemanha. Em seguida, você atribuirá seu agente de serviço e quaisquer usuários que desejar para criar fontes de dados que usem a conta de serviço como principais, dadas a cada um as funções adequadas.

Conta de serviço do Reino Unido

service-account-1@example-org-uk-example-project.iam.gserviceaccount.com

Principais do Reino Unido

Principais Papéis

service-org-12345@gcp-sa-datastudio.iam.gserviceaccount.com

Esse é o agente de serviço.

Service Account Token Creator
Usuário 1 Service Account User
Usuário 2 Service Account User

Conta de serviço da França

service-account-1@example-org-fr-example-project.iam.gserviceaccount.com

Principais da França

Principais Papéis

service-org-12345@gcp-sa-datastudio.iam.gserviceaccount.com

Esse é o agente de serviço.

Service Account Token Creator
Usuário 3 Service Account User
Usuário 4 Service Account User

Conta de serviço da Alemanha

service-account-1@example-org-de-example-project.iam.gserviceaccount.com

Principais da Alemanha

Principais Papéis

service-org-12345@gcp-sa-datastudio.iam.gserviceaccount.com

Esse é o agente de serviço.

Service Account Token Creator
Usuário 5 Service Account User
Usuário 6 Service Account User

Erros

Nesta seção, explicamos os erros que podem ocorrer quando os criadores de fontes de dados do Looker Studio e os leitores de relatório tentam usar uma conta de serviço. Na maioria dos casos, esses erros têm a mesma causa: configuração incorreta ou incompleta da conta de serviço.

O papel do agente de serviço não foi informado

Mensagens

  • O agente de serviço do Looker Studio não tem a permissão iam.serviceAccount.getAccessToken para esse serviço.
  • O agente de serviço usado pela conta de serviço dessa fonte de dados não tem o papel de "Criador de token da conta de serviço".

Causa

O agente de serviço não recebeu o papel de Criador de token da conta de serviço (ou outro papel que inclua a permissão iam.serviceAccount.getAccessToken ).

Solução

Conceda o papel Criador de token da conta de serviço ao agente de serviço.

Sem acesso aos dados

Mensagem

Esta conta de serviço não pode acessar o conjunto de dados relacionado.

Causa

A conta de serviço não recebeu acesso aos dados do projeto.

Solução

Conceda pelo menos o papel de Leitor de dados do BigQuery à sua conta de serviço na tabela, no conjunto de dados ou no projeto.

Função do usuário ausente

Mensagem

Você não tem permissão para usar esta conta de serviço.

Causa

O usuário não foi adicionado como principal à conta de serviço com o papel de Usuário da conta de serviço .

Solução

Conceda o papel de Usuário da conta de serviço ao usuário na conta de serviço.

O agente de serviço não está disponível para a conta

Mensagens

  • Não é possível gerar agentes do serviço para esta conta. Tente novamente com uma conta gerenciada do Cloud Identity ou do Google Workspace.
  • As credenciais do agente de serviço estão disponíveis apenas para organizações gerenciadas do Cloud Identity ou do Google Workspace. Use outra conta para usar esse recurso.

Causa

O usuário está tentando acessar dados controlados por uma conta de serviço de uma Conta do Google padrão (usuário consumidor).

Solução

Use uma conta do Google Workspace ou do Cloud Identity para acessar os dados.

Não é possível usar o agente de serviço na caixa de diálogo de credenciais

Mensagem

Os agentes de serviço do Looker Studio não podem ser usados para fazer uma conexão direta com os dados. Use uma conta de serviço .

Solução

Agentes e contas de serviço são diferentes. Insira uma conta de serviço na caixa de diálogo de credenciais. Você encontra a lista de contas de serviço disponíveis no console do Cloud:

Usar o Console do Cloud

  1. Navegue até a página Google Cloud Platform > IAM e administrador > Contas de serviço .
  2. Selecione um projeto, se necessário.
  3. Na página Contas de serviço do projeto , localize a conta de serviço que o Looker Studio vai usar para acessar seus dados do BigQuery.
  4. Copie o endereço de e-mail da conta.

Usar o Cloud Shell

  1. Abra o Cloud Shell .
  2. Selecione um projeto, se necessário.
  3. Para listar as contas de serviço a que você tem acesso, execute o comando gcloud iam service-accounts list .

Exemplo: 

 gcloud iam service-accounts list

Limites

  • No momento, as credenciais da conta de serviço estão disponíveis apenas para fontes de dados do BigQuery. Os limites do IAM se aplicam às contas de serviço.
  • Pode levar alguns minutos para que as mudanças nas permissões da conta de serviço apareçam no Looker Studio.