Este artigo é destinado aos administradores do Google Cloud. Para saber como usar uma conta de serviço na sua fonte de dados do Looker Studio, consulte Credenciais de dados.
Em vez de delegar o acesso usando as credenciais do proprietário ou exigir que os leitores de relatório precisem de credenciais próprias para acessar os dados, o Looker Studio pode usar uma conta de serviço para acessar as informações. Uma conta de serviço é um tipo especial de Conta do Google destinada a representar um usuário não humano que pode ser autenticado e autorizado a acessar dados em APIs e produtos do Google. Saiba mais sobre as contas de serviço.
Por enquanto, as credenciais da conta de serviço estão disponíveis apenas para fontes de dados do BigQuery.
- Benefícios de usar uma conta de serviço com o Looker Studio
- Antes de começar
- Instruções de configuração
- Fornecer as contas de serviço do Looker Studio aos usuários do Looker Studio
- Editar uma fonte de dados que usa credenciais de conta de serviço
- Ver quem está usando a conta de serviço para acessar dados
- Exemplo de cenário de conta de serviço
- Erros
- Limites
- Recursos relacionados
Benefícios de usar uma conta de serviço com o Looker Studio
Para usar uma conta de serviço com o Looker Studio, adicione o agente de serviço do Looker Studio da sua organização como usuário (principal) na conta. Assim, você controla quais contas de serviço podem ser usadas com o Looker Studio, garantindo que os usuários da sua organização possam acessar facilmente os dados de que precisam.
O uso dessa conta em vez das credenciais de um usuário oferece estes benefícios:
- As fontes de dados que usam credenciais de conta de serviço não vão ser interrompidas se o criador sair da empresa.
- As credenciais da conta de serviço permitem o acesso aos dados protegidos por perímetros do VPC Service Controls que usam políticas de dispositivo.
- Recursos automatizados, como e-mails programados e extrações de dados agendadas, funcionam com as fontes de dados protegidas por um perímetro do VPC Service Controls.
Antes de começar
- Para configurar uma conta de serviço, você precisa ter papel de Administrador da conta de serviço (
roles/iam.serviceAccountAdmin) ou Criar contas de serviço (roles/iam.serviceAccountCreator) no seu projeto do Google Cloud. Saiba mais sobre papéis de conta de serviço. - Para receber o agente de serviço do Looker Studio, você precisa ser um usuário do Cloud Identity ou do Workspace.
Instruções de configuração
Você só vai precisar seguir as instruções neste artigo uma vez, a menos que queira criar contas de serviço diferentes para equipes ou grupos de usuários distintos. Se quiser criar várias contas de serviço, repita essas instruções para uma delas.
Acessar o agente de serviço do Looker Studio
Para permitir que a conta de serviço acesse seus dados, você precisa fornecer o agente de serviço do Looker Studio da sua organização. Você pode encontrar o agente em uma página de ajuda no Looker Studio:
- Navegue até a página de ajuda do agente de serviço do Looker Studio.
- Copie o endereço de e-mail do agente mostrado nessa página.
Crie uma conta de serviço para o Looker Studio
As instruções sobre como criar uma conta de serviço estão na documentação do Google Cloud IAM. Use o console do Cloud ou a linha de comando do Cloud Shell para criar a conta de serviço.
Etapa 1: criar uma nova conta de serviço
-
No console do Cloud, acesse a página Criar conta de serviço.
Acesse "Criar conta de serviço" - Selecione um projeto.
-
Insira um nome de conta a ser exibido no console do Cloud.
O console do Cloud vai gerar um ID de conta de serviço com base nesse nome. Edite o ID agora, se necessário. Não vai ser possível mudar o ID depois.
- Opcional: digite uma descrição da conta de serviço.
-
Clique em CRIAR E CONTINUAR.
- Na etapa 2, Conceda a essa conta de serviço acesso ao projeto, conceda à conta de serviço o papel do IAM Usuário de jobs do BigQuery no projeto que contém os dados que você quer conectar ao Looker Studio. Ele pode ser diferente do projeto em que você criou a conta de serviço.
- Clique em Continuar.
- No campo Papel de usuários da conta de serviço, adicione os usuários que podem usar essa conta para informar credenciais às fontes de dados deles. Se você não quiser incluir pessoas agora, faça isso depois seguindo as instruções na Etapa 3: conceder papéis de usuário abaixo.
- Clique em CONCLUÍDO para salvar a conta de serviço e voltar à página da lista de contas do seu projeto.
Etapa 2: permitir que o agente de serviço do Looker Studio acesse sua conta de serviço
- Volte para a lista de contas de serviço do console do Cloud.
- Selecione a conta de serviço do Looker Studio que você acabou de criar clicando nela na lista.
- Na parte de cima, clique em PERMISSÕES.
- Clique em
CONCEDER ACESSO.
- À direita, em Adicionar principais ao <projeto>, cole o e-mail do agente de serviço do Looker Studio (que você copiou na etapa 1 acima) na caixa Novos principais.
- Selecione um papel que conceda ao agente de serviço a permissão
iam.serviceAccount.getAccessToken. Por exemplo, você pode usar o papel de Criador do token da conta de serviço, mas também pode usar qualquer função personalizada que conceda essa permissão. - Clique em SALVAR.
CONCEDER ACESSO.service-account@<project_id>.iam.gserviceaccount.com. Se você souber o ID do projeto, vai ser possível criar o endereço manualmente.
Etapa 3: conceder papéis aos usuários
Os usuários do Looker Studio que criam ou editam fontes de dados precisam receber um papel que inclua a permissão iam.serviceAccounts.actAs, como o papel de Usuário da conta de serviço (roles/iam.serviceAccountUser). É possível fazer isso no projeto ou em uma conta de serviço, mas recomendamos que você escolha a segunda alternativa. Para ver instruções, consulte o artigo Como gerenciar uma identidade temporária de conta de serviço.
- Navegue até a lista de contas de serviço do console do Cloud.
- Selecione sua conta de serviço do Looker Studio clicando nela na lista.
- Na parte de cima da página, clique em PERMISSÕES.
- Clique em
- À direita, em Adicionar principais e papéis da <conta de serviço>, insira os endereços de e-mail dos seus usuários na caixa Novos principais.
- Selecione o papel Usuário da conta de serviço.
- Clique em SALVAR.
Etapa 4: permitir que a conta de serviço acesse seus dados do BigQuery
Para permitir que o Looker Studio acesse seus dados, conceda o papel de Leitor de dados do BigQuery à conta no nível da tabela ou do conjunto de dados.
Para conceder acesso a uma tabela:
- Navegue até a lista de contas de serviço do console do Cloud.
- Copie o endereço de e-mail da conta do Looker Studio.
- Acesse o BigQuery e abra um projeto.
- Clique em
para expandir um conjunto de dados.
- Selecione uma tabela.
- Na barra de ferramentas, clique em
- No painel que for aberto à direita, clique em
- Na caixa Novos principais, cole o endereço de e-mail da conta de serviço do Looker Studio.
- Selecione o papel de Leitor de dados do BigQuery.
- Clique em SALVAR.
para expandir um conjunto de dados.Para conceder acesso a um conjunto de dados, faça o seguinte:
- Navegue até a lista de contas de serviço do console do Cloud.
- Copie o endereço de e-mail da conta do Looker Studio.
- Acesse o BigQuery, abra um projeto e localize o conjunto de dados.
- À direita do nome do conjunto de dados, clique em Ver ações
.
- Clique em Abrir.
- Na barra de ferramentas, clique em
- No painel que for aberto à direita, clique em
- Na caixa Novos principais, cole o endereço de e-mail da conta de serviço do Looker Studio.
- Selecione o papel de Leitor de dados do BigQuery.
- Clique em SALVAR.
Etapa 1: criar uma nova conta de serviço
Siga as etapas gerais listadas em gcloud em Como criar e gerenciar contas de serviço.
- Abra o Cloud Shell.
- Selecione um projeto, se necessário.
- Para criar a conta de serviço, execute o comando gcloud iam service-accounts create. Você pode usar qualquer nome, descrição e nome de exibição na conta.
Exemplo:gcloud iam service-accounts create datastudio_service_account \
--description="Use for Looker Studio access to BigQuery" \
--display-name="DS_BQ"
- Para acessar os dados do BigQuery no projeto do Google Cloud que você quer usar com o Looker Studio, conceda à conta de serviço a permissão
bigquery.jobs.create. Você pode conceder o papel do IAM chamado Usuário de jobs do BigQuery para dar essa permissão.
Além disso, dê à conta as permissõesbigquery.tables.getDataebigquery.tables.getno projeto ou conjunto de dados que você quer usar com o Looker Studio. Você pode conceder o papel de Leitor de dados do BigQuery (roles/bigquery.dataViewer) para dar essas permissões.
Para conceder esses papéis, execute o comando gcloud projects add-iam-policy-binding. Nos exemplos a seguir, substitua PROJECT_ID pelo ID do seu projeto.
Exemplo:gcloud projects add-iam-policy-binding PROJECT_ID \
--member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" \
--role="roles/bigquery.jobUser"gcloud projects add-iam-policy-binding PROJECT_ID \--member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" \
--role="roles/bigquery.dataViewer"
Etapa 2: permitir que o agente de serviço do Looker Studio acesse sua conta de serviço
Para permitir que o agente de serviço do Looker Studio acesse dados usando a conta de serviço, conceda a esse agente o papel de Criador do token da conta de serviço (roles/iam.serviceAccountTokenCreator). Para fazer isso, execute o comando gcloud iam service-accounts add-iam-policy-binding. No exemplo a seguir, substitua ORG_ID pelo ID da sua organização.
Exemplo:
Etapa 3: conceder papéis aos usuários
Os usuários do Looker Studio que criam ou editam fontes de dados precisam receber um papel que inclua a permissão iam.serviceAccounts.actAs, como o papel de Usuário da conta de serviço (roles/iam.serviceAccountUser). É possível fazer isso no projeto ou em uma conta de serviço, mas recomendamos que você escolha a segunda alternativa. Para ver instruções, consulte o artigo Como gerenciar uma identidade temporária de conta de serviço.
Para conceder o papel de Usuário da conta de serviço, execute o comando gcloud projects add-iam-policy-binding. Nos exemplos a seguir, substitua PROJECT_ID pelo ID do seu projeto e "user@example.com" por um ou mais endereços de e-mail válidos (separe várias entradas por vírgulas).
Exemplo:
--member="user:user@example.com" \
--role="roles/iam.serviceAccountUser"
Etapa 4: permitir que a conta de serviço acesse seus dados do BigQuery
Para permitir que o Looker Studio acesse seus dados, conceda o papel de Leitor de dados do BigQuery à conta no nível da tabela ou do conjunto de dados.
Fornecer as contas de serviço do Looker Studio aos usuários do Looker Studio
Os usuários do Looker Studio precisam saber qual conta de serviço usar ao criar fontes de dados. Como não é possível ver a lista de contas de serviço disponíveis no Looker Studio, você precisa disponibilizar essas informações pela documentação da sua organização, pelo site interno ou por e-mail.
Observação: não é preciso gerenciar as chaves de contas de serviço manualmente, e os usuários não precisam fazer o download delas no console do Cloud nem o upload no Looker Studio. O limite de 10 chaves por conta de serviço não se aplica ao Looker Studio.
Criar uma fonte de dados que usa as credenciais da conta de serviço
Para criar fontes de dados que usam credenciais de conta de serviço, os usuários do Looker Studio podem seguir as mesmas etapas básicas aplicáveis a outros tipos de credenciais de dados:
- Crie ou edite uma fonte de dados do BigQuery
- Na barra de ferramentas, clique em Credenciais de dados.
- Selecione Credenciais da conta de serviço.
- Insira o endereço de e-mail da conta de serviço na caixa.
- Clique em Atualizar.
Editar uma fonte de dados que usa credenciais de conta de serviço
Quando alguém edita uma fonte de dados que usa credenciais de conta de serviço, o Looker Studio verifica se a pessoa tem permissão para utilizar a conta. Quando não tem, a fonte de dados passa a usar as credenciais dela.
Ver quem está usando a conta de serviço para acessar dados
Você pode verificar os registros de auditoria das contas de serviço no console do Cloud. É necessário ativar os registros de auditoria do IAM para a atividade de acesso aos dados se você quiser receber registros de auditoria das contas de serviço.
Exemplo de cenário de conta de serviço
Você quer que os usuários do Looker Studio na sua empresa tenham acesso apenas aos dados da subsidiária do país deles. Uma solução é criar uma conta de serviço para cada país e permitir que apenas os usuários do Looker Studio naquele país atuem como a conta de serviço.
Exemplo de configuração
Neste exemplo, você vai criar três contas de serviço: uma para o Reino Unido, outra para a França e mais uma para a Alemanha. Em seguida, vai atribuir como principais o agente de serviço e os usuários que poderão criar fontes de dados que usam a conta de serviço, dando a cada um as funções adequadas.
Conta de serviço do Reino Unido
service-account-1@example-org-uk-example-project.iam.gserviceaccount.com
Principais do Reino Unido
| Principais | Papéis |
|
Esse é o agente de serviço. |
Criador do token da conta de serviço |
| Usuário 1 | Usuário da conta de serviço |
| Usuário 2 | Usuário da conta de serviço |
Conta de serviço da França
service-account-1@example-org-fr-example-project.iam.gserviceaccount.com
Principais da França
| Principais | Papéis |
|
Esse é o agente de serviço. |
Criador do token da conta de serviço |
| Usuário 3 | Usuário da conta de serviço |
| Usuário 4 | Usuário da conta de serviço |
Conta de serviço da Alemanha
service-account-1@example-org-de-example-project.iam.gserviceaccount.com
Principais da Alemanha
| Principais | Papéis |
|
Esse é o agente de serviço. |
Criador do token da conta de serviço |
| Usuário 5 | Usuário da conta de serviço |
| 6 | Usuário da conta de serviço |
service-account-1@example-org-fr-example-project.iam.gserviceaccount.com existe, ele não poderá usá-la porque não tem as permissões certas. O agente de serviço precisa ser adicionado a uma conta de serviço para ela funcionar. O agente de serviço é apenas a forma como o Looker Studio usa a conta de serviço.Erros
Nesta seção, explicamos os erros que podem ocorrer quando os criadores de fontes de dados do Looker Studio e os leitores de relatório tentam usar uma conta de serviço. Na maioria dos casos, esses erros têm a mesma causa: configuração incorreta ou incompleta da conta de serviço.
Mensagens
|
CausaO agente de serviço não recebeu o papel de Criador do token da conta de serviço (ou outro papel que inclua a permissão |
SoluçãoConceda o papel Criador de token da conta de serviço ao agente de serviço. |
MensagemEsta conta de serviço não pode acessar o conjunto de dados relacionado. |
CausaA conta de serviço não recebeu acesso aos dados do projeto. |
SoluçãoConceda pelo menos o papel de Leitor de dados do BigQuery à sua conta de serviço na tabela, conjunto de dados ou projeto relacionado. |
MensagemVocê não tem permissão para usar esta conta de serviço. |
CausaO usuário não foi adicionado como principal à conta de serviço com o papel de Usuário da conta de serviço. |
SoluçãoConceda o papel de Usuário da conta de serviço a ele na conta de serviço. |
Mensagens
|
CausaO usuário está tentando acessar dados controlados por uma conta de serviço de uma Conta do Google padrão (usuário consumidor). |
SoluçãoUse uma conta do Google Workspace ou do Cloud Identity para acessar os dados. |
MensagemOs agentes de serviço do Looker Studio não podem ser usados para fazer uma conexão direta com os dados. Use uma conta de serviço. |
SoluçãoAgentes e contas de serviço são diferentes. Insira uma conta de serviço na caixa de diálogo de credenciais. Você encontra a lista de contas de serviço disponíveis no console do Cloud: Usar o console do Cloud
Usar o Cloud Shell
Exemplo:
|
Limites
- No momento, as credenciais da conta de serviço estão disponíveis apenas para fontes de dados do BigQuery. Os limites do IAM se aplicam às contas de serviço.
- Pode levar alguns minutos para que as mudanças nas permissões da conta de serviço apareçam no Looker Studio.