Mit dem Tabellen-Daten-Connector können Sie über verbundene Tabellenblätter Milliarden von Datenzeilen aus Ihrer Tabelle aufrufen, analysieren, visualisieren und freigeben. Mit verbundenen Tabellenblättern haben Sie außerdem folgende Möglichkeiten:
- Mit Partnern, Analysten oder anderen Beteiligten auf einer vertrauten Tabellenoberfläche zusammenarbeiten.
- Nutzern erlauben, den Zugriff an Mitbearbeiter zu delegieren
- Die Vorteile einer einzigen verlässlichen Quelle für die Datenanalyse ohne zusätzliche CSV-Exporte nutzen.
- Daten in einem Perimeter analysieren, der den Zugriff anhand von Attributen wie IP-Adresse und Geräteinformationen des Nutzers einschränkt.
Sie können Abfragen aus verbundenen Tabellenblättern in BigQuery oder Looker entweder manuell oder nach einem festgelegten Zeitplan ausführen. In Google Tabellen werden die Ergebnisse dieser Abfragen in Ihrer Tabelle gespeichert, sodass Sie sie analysieren und freigeben können. Hier finden Sie Videoanleitungen zur Verwendung von verbundenen Tabellenblättern in BigQuery.
Sie können sich Abfrageereignisse zu verbundenen Tabellenblättern in den Drive-Protokollereignissen ansehen.
BigQuery für die Datenanalyse einrichten
Abschnitt öffnen | Alle minimieren
Schritt 1: Google Cloud aktivierenPrüfen Sie, ob Google Cloud für Ihre Organisation aktiviert ist. Eine Anleitung finden Sie im Hilfeartikel Ansehen, welche Apps für einen Nutzer, eine Gruppe oder eine Organisationseinheit aktiviert sind. Wie Sie Google Cloud aktivieren, erfahren Sie unter Google Cloud für Nutzer aktivieren oder deaktivieren.
Eine Anleitung zur Verwendung von verbundenen Tabellenblättern in BigQuery finden Sie unter Erste Schritte mit BigQuery-Daten in Google Tabellen.
Mit IAM-Rollen (identity and access management, Identitäts- und Zugriffsverwaltung) können Sie Berechtigungen für den Zugriff auf Daten zuweisen. Wenn Sie ein BigQuery-Projekt in Google Tabellen hinzufügen oder verwenden möchten, muss ein Nutzer in BigQuery entweder die IAM-Rolle „bigquery.user“ oder „bigquery.jobUser“ und „bigquery.dataViewer“ haben.
Weitere Informationen finden Sie unter Vordefinierte IAM-Rollen für BigQuery.
Welche Aktionen Nutzer ausführen können, hängt von ihren IAM-Rollen und Tabellenberechtigungen ab, nicht von denen des Tabelleneigentümers. Externe Personen können nur dann mit Google Tabellen in Ihrer Organisation interagieren, wenn Sie das zulassen. Weitere Informationen
Aktionen in Google Tabellen | Erforderliche IAM-Rolle in BigQuery | Erforderliche Berechtigungen in Google Tabellen |
---|---|---|
Mit BigQuery-Tabellen oder ‑Ansichten Diagramme, Pivot-Tabellen, Formeln oder Extraktionen erstellen |
bigquery.user oderbigquery.jobUser und bigquery.dataViewer |
Bearbeiter |
Diagramme, Pivot-Tabellen, Formeln, Extraktionen oder Vorschauen aufrufen, die aus BigQuery-Daten erstellt wurden | – | Bearbeiter oder Betrachter |
Benutzerdefinierte BigQuery-Abfrage erstellen oder bearbeiten |
bigquery.user oder bigquery.jobUser und bigquery.dataViewer |
Bearbeiter |
Benutzerdefinierte BigQuery-Abfrage aufrufen | – | Bearbeiter oder Betrachter |
Daten aus BigQuery aktualisieren |
bigquery.user oder bigquery.jobUser und bigquery.dataViewer |
Bearbeiter |
Sie weisen den Datasets IAM-Rollen in der BigQuery-Konsole zu. Weitere Informationen finden Sie unter Zugriff auf Ressourcen mit IAM steuern.
Sie können nicht nur mit IAM autorisieren, welche Nutzer auf BigQuery-Daten zugreifen können, sondern mit VPC Service Controls auch einen Dienstperimeter erstellen, der den Zugriff anhand von Attributen wie IP-Adresse und Geräteinformationen des Nutzers einschränkt. Nutzer können über verbundene Tabellenblätter nur dann auf BigQuery-Daten zugreifen, die durch VPC Service Controls geschützt sind, wenn Sie den Perimeter so konfigurieren, dass in Google Tabellen Abfrageergebnisse in die Tabellen von Nutzern kopiert werden können. Weitere Informationen finden Sie im Hilfeartikel „Chrome-Richtlinien für Nutzer oder Browser festlegen“ im Abschnitt Zugriffssteuerung.
Looker für die Datenanalyse einrichten
Wenn Sie verbundene Tabellenblätter mit Looker verwenden möchten, müssen Sie in der Admin-Konsole den Zugriff auf Dienste aktivieren, die nicht einzeln gesteuert werden. Weitere Informationen finden Sie unter Dienste ohne eigene Steuerung verwalten. Außerdem muss ein Looker-Administrator zuerst verbundene Tabellenblätter in der Looker-Admin-UI aktivieren. Eine ausführliche Anleitung finden Sie unter Verbundene Tabellenblätter für Looker verwenden.
Nutzern erlauben, den Zugriff auf verbundene Tabellenblätter für BigQuery zu delegieren
Sie können Nutzern erlauben, den Zugriff auf verbundene Tabellenblätter für BigQuery zu delegieren, sodass sie zusammen mit anderen Nutzern Daten analysieren und Abfragen mit BigQuery ausführen können.
Dafür müssen Nutzer das Tabellenblatt für den anderen Nutzer freigeben. Nutzer können jedoch nicht den Zugriff auf Tabellenblätter delegieren, die öffentlich über einen Link freigegeben wurden. Sie können sich den Nutzer, der den Zugriff delegiert, und den Nutzer, der eine Abfrage ausführt, unter Drive-Protokollereignisse oder Cloud-Audit-Logs ansehen.
Delegierten Zugriff aktivieren oder deaktivieren
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Gehen Sie in der Admin-Konsole zu „Menü“ AppsGoogle WorkspaceGoogle Drive und Google DocsFunktionen und Anwendungen.
- Klicken Sie unter Delegierter Zugriff auf verbundene Tabellenblätter auf „Bearbeiten“ .
- Wenn die Einstellung für alle Nutzer gelten soll, verwenden Sie die oberste Organisationseinheit (bereits ausgewählt). Geben Sie andernfalls eine untergeordnete Organisationseinheit oder eine Konfigurationsgruppe an.
- Klicken Sie unter Delegierungseinstellungen das Kästchen Erlauben, dass Nutzer mit Bearbeitungszugriff für eine Tabelle die Zugriffsdelegierung für verbundene Tabellenblätter aktivieren an oder entfernen Sie das Häkchen.
- Wenn Sie eine Organisationseinheit oder eine Gruppe konfigurieren, können Sie die Option Nur Nutzer innerhalb einer bestimmten Organisationseinheit oder Gruppe können die Delegierung verwenden auswählen.
- Wenn Sie jedem Nutzer mit Zugriff auf das Tabellenblatt erlauben möchten, den Zugriff zu delegieren, wählen Sie Jeder Nutzer kann die Delegierung verwenden aus.
Die letztgenannte Option umfasst auch Nutzer außerhalb Ihrer Organisation, die Zugriff auf die Tabelle haben.
-
Klicken Sie auf Speichern. Für übergeordnete Organisationseinheiten können Sie die Optionen übernehmen oder überschreiben und für Gruppen die Option Aufheben auswählen.
Wenn Sie die Delegierung aktivieren, weisen Ihre Nutzer auf diesen Hilfeartikel hin. Darin finden sie eine Anleitung, wie sie den Zugriff auf ein Tabellenblatt delegieren können.
Protokollereignisse für verbundene Tabellenblätter ansehen
Wenn über verbundene Tabellenblätter auf BigQuery- und Looker-Daten zugegriffen wird, werden Einträge in Drive-Protokollereignissen aufgezeichnet. Einträge werden auch für den BigQuery-Zugriff in Cloud-Audit-Logs und für den Looker-Zugriff im Systemaktivitätsverlauf-Explore aufgezeichnet. Aus diesen Logs geht hervor, wer wann auf die Daten zugegriffen hat.
Abschnitt öffnen | Alle minimieren
Drive-Protokollereignisse mit der Reports API analysierenWeitere Informationen zum Analysieren von Drive-Protokollereignissen über die Admin-Konsole finden Sie unter Zugriff auf Drive-Protokollereignisdaten.
Mit der Reports API können Sie sich die Abfrageereignisse von verbundenen Tabellenblättern ansehen. Im folgenden Beispiel werden alle Drive-Ereignisse des Typs „Abfrage für verbundene Tabellenblätter“ abgerufen:
GET https://admin.googleapis.com/admin/reports/v1/activity/users/all/applications/drive?eventName=connected_sheets_query
Die vollständige JSON-Antwort auf diesen API-Aufruf wird unten auf dieser Seite im Abschnitt „Vollständige JSON-Antwort“ angezeigt.
Der Nutzer, der die Anfrage initiiert hat, wird als Akteur angezeigt.
"actor": {
"email": "collaborator@example.com",
"profileId": "Eindeutige Google Workspace-Profil-ID des Nutzers"
}
Google Tabellen bietet zusätzliche Informationen zu der Abfrage, die als Parameter ausgeführt wurde.
"parameters": [
{
"name": "execution_trigger",
"value": "sheets_ui"
},
{
"name": "query_type",
"value": "big_query"
},
{
"name": "data_connection_id",
"value": "Die Cloud-Projekt-ID"
},
{
"name": "execution_id",
"multiValue": [
"jobs/big_query_job_id"
]
},
{
"name": "delegating_principal",
"value": "trix01@scary.docsplustesting.com"
},
Das Feld Execution_trigger
wird abhängig davon festgelegt, wie die Abfrage aus Google Tabellen aufgerufen wird:
Etikett | So wird die Abfrage ausgeführt |
---|---|
sheets_ui | Manuell über die Benutzeroberfläche von Google Tabellen |
schedule (Terminplan) | Über die Funktion „Geplante Aktualisierung“ in Google Tabellen |
api | Über die Sheets API |
apps-script | Über Apps Script |
Das Feld
query_type
wird je nach Daten-Connector festgelegt.Etikett | Daten-Connector |
---|---|
big_query | BigQuery |
looker | Looker |
Das Feld data_connection_id
wird anhand der ID der Datenverbindung festgelegt. Bei BigQuery ist dies die Abrechnungsprojekt-ID. Bei Looker ist dies die URL der Instanz.
Die Execution_id
wird anhand der ID der ausgeführten Abfrage festgelegt.
Wertestruktur | Abfrageentität |
---|---|
jobs/<JOB_ID> | BigQuery-Job |
datasets/<DATASET_NAME>/tables/<TABLE_NAME> | BigQuery-Tabelle |
query_tasks/<QUERY_TASK_ID>S | Looker-Abfrage |
Die E-Mail-Adresse des Nutzers, dessen Anmeldedaten verwendet wurden, ist in den Logs im Feld delegating_principal
zu sehen.
Vollständige JSON-Antwort
{
"kind": "admin#reports#activity",
"id": {
"time": "2022-10-26T17:33:51.929Z",
"uniqueQualifier": "Eindeutige ID des Berichts",
"applicationName": "drive",
"customerId": "ABC123xyz"
},
"actor": {
"email": "collaborator@example.com",
"profileId": "Eindeutige Google Workspace-Profil-ID des Nutzers"
},
"events": [
{
"type": "access",
"name": "connected_sheets_query",
"parameters": [
{
"name": "execution_trigger",
"value": "sheets_ui"
},
{
"name": "query_type",
"value": "big_query"
},
{
"name": "data_connection_id",
"value": "Die Cloud-Projekt-ID"
},
{
"name": "execution_id",
"multiValue": [
"jobs/big_query_job_id"
]
},
{
"name": "doc_id",
"value": "aBC-123-xYz"
},
{
"name": "doc_type",
"value": "spreadsheet"
},
{
"name": "is_encrypted",
"boolValue": false
},
{
"name": "doc_title",
"value": "Dokumenttitel"
},
{
"name": "visibility",
"value": "shared_internally"
},
{
"name": "actor_is_collaborator_account",
"boolValue": false
},
{
"name": "delegating_principal",
"value": "owner@example.com"
},
{
"name": "owner",
"value": "owner@example.com"
},
{
"name": "owner_is_shared_drive",
"boolValue": false
},
{
"name": "owner_is_team_drive",
"boolValue": false
}
]
}
]
}
Jede Tabelle hat eine eindeutige Tabellen-ID, die in der URL für die Tabelle enthalten ist. Logeinträge im Format BigQueryAuditMetadata enthalten die ID der Tabelle, über die die Zugriffsanfrage auf BigQuery-Daten gesendet wurde.
Sie können Abfragen erstellen, um Logs mit dem Log-Explorer in der Google Cloud Console abzurufen und zu analysieren. Geben Sie im Log-Explorer Folgendes ein:
protoPayload.metadata.firstPartyAppMetadata.sheetsMetadata.docId
!= NULL_VALUE
Dadurch werden Einträge mit einer Tabellen-ID angezeigt, die nicht leer ist. Hier ein Beispiel:
metadata: {
@type: "type.googleapis.com/google.cloud.audit.BigQueryAuditMetadata"
firstPartyAppMetadata: {
sheetsMetadata: {
docId: "aBC-123_xYz"
}
}
In Google Tabellen werden mit Joblabels Informationen zu Abfragejobs hinzugefügt. Sie liefern Ihnen mehr Daten für die Analyse, wie in diesem Beispiel gezeigt:
jobInsertion: {
job: {
jobConfig: {
labels: {
sheets_access_type: "normal"
sheets_connector: "connected_sheets"
sheets_trigger: "user"
}
Der Wert des Felds „sheets_trigger“ hängt davon ab, wie die Abfrage aus Google Tabellen aufgerufen wird:
Label | So wird die Abfrage ausgeführt |
---|---|
user (Nutzer) | Manuell über die Benutzeroberfläche von Google Tabellen |
schedule (Terminplan) | Über die Funktion „Geplante Aktualisierung“ in Google Tabellen |
api | Über die Sheets API |
apps-script | Über Apps Script |
Beispiel: Wenn Sie Einträge zu geplanten Aktualisierungen der verbundenen Tabellenblätter suchen möchten, können Sie im Log-Explorer die folgende Abfrage verwenden:
protoPayload.metadata.firstPartyAppMetadata.sheetsMetadata.docId
!= NULL_VALUE
protoPayload.metadata.jobInsertion.job.jobConfig.labels.sheets_trigger
= "schedule"
Wenn der delegierte Zugriff aktiviert war, ist die E-Mail-Adresse des Nutzers, dessen Anmeldedaten zum Ausführen der Abfrage verwendet wurden, in den Logs enthalten. Sie können auch die E-Mail-Adresse des Nutzers finden, der die Anfrage ausgelöst hat, wie im folgenden Beispiel gezeigt:
"authenticationInfo": {
"principalEmail": "eigentümer@beispiel.de",
"serviceAccountDelegationInfo": [
{
"firstPartyPrincipal": {
"principalEmail": "mitbearbeiter@beispiel.de",
"serviceMetadata": {
"service": "sheets"
}
}
}
]
}
Hinweis: Das Feld serviceAccountDelegationInfo
ist nur vorhanden, wenn für die Abfrage der delegierte Zugriff verwendet wurde. In diesem Fall ist die unter principalEmail
aufgeführte Person die Person, die den Zugriff delegiert hat.
Ausführliche Informationen finden Sie unter Log-Explorer verwenden und Abfragen im Log-Explorer erstellen.
Weitere Informationen finden Sie in den Artikeln zu diesen Themen: BigQuery-Audit-Logs, Tabellen-IDs, BigQueryAuditMetadata-Format, SheetsMetadata, Tabellen freigeben und Google Sheets API.
- Klicken Sie in der Looker-Instanz links auf Expl. DatenanalyseVerlauf.
- Geben Sie unter Feld suchen den Text API Client Name ein und klicken Sie auf „Filter“ , um das Feld dem Dataset hinzuzufügen.
- Wählen Sie unter Filter ist gleich aus und geben Sie im Feld daneben Verbundene Tabellenblätter ein.
- Geben Sie unter Feld suchen ID für verbundene Tabellenblätter ein, um dieses Feld dem Dataset hinzuzufügen.
- Geben Sie unter Feld suchen den Text Trigger für verbundene Tabellenblätter ein, um dieses Feld dem Dataset hinzuzufügen.
- Geben Sie für Find a Field (Feld suchen) History Slug (Verlaufs-Slug) ein, um dieses Feld dem Dataset hinzuzufügen.
- Verlaufs-Slug entspricht der QUERY_TASK_ID, die in Drive-Protokollereignissen protokolliert ist. Wenn Sie eine bestimmte Abfrage im Drive-Protokoll finden möchten, fügen Sie dem Feld einen Filter hinzu.
- Optional: Um dem Dataset weitere Felder wie Nutzername und History Created Date (Verlauf-Erstellungsdatum) hinzuzufügen, wählen Sie diese aus.
- Optional: Wählen Sie weitere Filter aus, um sie hinzuzufügen.
Sie können beispielsweise Verlauf-Erstellungsdatum nach ist in den letzten 7 Tagen filtern oder nach einer bestimmten Tabellen-ID, um nur die Looker-Abfragen zu sehen, die von einer bestimmten Tabellen-ID initiiert wurden. - Klicken Sie auf Ausführen.
Fehlerbehebung
Abschnitt öffnen | Alle minimieren
Wenn Google Tabellen abstürztKlicken Sie oben im Tabellenblatt auf Feedback geben.
Klicken Sie in Google Tabellen auf Aktualisieren, um Aktualisierungen von BigQuery-Daten in verbundene Tabellenblätter zu übertragen. Wenn Sie alle Elemente in verbundenen Tabellenblättern aktualisieren möchten, klicken Sie auf Daten Daten-Connectors Daten aktualisieren Alle aktualisieren.
Wenn Sie bestimmte Berechtigungen für Google Tabellen-Dateien in Ihrer Organisation festlegen und z. B. den Zugriff durch Nutzer außerhalb Ihrer Organisation einschränken, können diese Nutzer verbundene Tabellenblätter nicht öffnen. Weitere Informationen finden Sie im Hilfeartikel Freigabeberechtigungen für Drive-Nutzer festlegen.
Sollten weiterhin Probleme auftreten, lesen Sie die Hilfeartikel Probleme mit BigQuery-Daten in Google Tabellen beheben und Fehlerbehebung bei verbundenen Tabellenblättern für Looker.
Weitere Informationen
- Erste Schritte mit BigQuery-Daten in Google Tabellen
- BigQuery-Daten in Google Tabellen sortieren und filtern
- BigQuery-Daten in Google Tabellen mit verbundenen Tabellenblättern analysieren und aktualisieren
- Abfragen schreiben und bearbeiten
- BigQuery-Dokumentation
- Informationen zu den Google Cloud-Supportstufen