Notification

Ce centre d'aide va être transféré vers Cloud. En savoir plus sur la migration

Configurer un compte de service Google Cloud pour Looker Studio

Créez et configurez un compte de service pour accéder à des données au nom de Looker Studio.
Audience cible :

Cet article est destiné aux administrateurs Google Cloud. Pour savoir comment utiliser un compte de service existant dans votre source de données Looker Studio, consultez Identifiants d'accès aux données.

Au lieu de déléguer l'accès à l'aide des identifiants du propriétaire ou d'obliger chaque lecteur d'un rapport d'accéder aux données à l'aide de ses identifiants, Looker Studio peut utiliser un compte de service pour accéder aux données. Il s'agit d'un compte Google spécial destiné à représenter un utilisateur non humain qui peut s'authentifier et obtenir les autorisations permettant d'accéder aux données des produits et des API Google. En savoir plus sur les comptes de service

Remarques :

À l'heure actuelle, les identifiants du compte de service ne sont disponibles que pour les sources de données BigQuery.

Au sommaire de cet article :

Avantages de l'utilisation d'un compte de service avec Looker Studio

Pour utiliser un compte de service avec Looker Studio, vous devez ajouter l'agent de service Looker Studio de votre entreprise en tant qu'utilisateur (entité principale) au niveau du compte. Vous pouvez ainsi contrôler les comptes de service utilisables avec Looker Studio, tout en vous assurant que les utilisateurs de votre entreprise accèdent facilement aux données dont ils ont besoin.

Il existe plusieurs avantages à utiliser un compte de service plutôt que les identifiants d'un utilisateur individuel :

  • Les sources de données qui utilisent des identifiants de compte de service restent opérationnelles si le créateur quitte votre entreprise.
  • Les identifiants de compte de service permettent d'accéder aux données associées à un périmètre VPC Service Controls utilisant des règles relatives aux appareils.
  • Les fonctionnalités automatisées telles que l'envoi planifié d'e-mails et l'extraction planifiée des données sont compatibles avec les sources de données associées à un périmètre VPC Service Controls.
Nous vous recommandons de créer des comptes de service réservés à Looker Studio. Par exemple, vous pouvez créer des comptes de service distincts à utiliser avec Looker Studio, et dédiés aux équipes marketing, commerciale et d'ingénierie.

Avant de commencer

  • Pour configurer un compte de service, vous devez disposer du rôle Administrateur de compte de service (roles/iam.serviceAccountAdmin) ou de l'autorisation Créer des comptes de service (roles/iam.serviceAccountCreator) au niveau de votre projet Google Cloud. En savoir plus sur les rôles de compte de service
  • Pour obtenir l'agent de service Looker Studio, vous devez être un utilisateur Workspace ou Cloud Identity.

Instructions de configuration

Vous ne devez suivre les instructions de cet article qu'une seule fois, sauf si vous souhaitez créer plusieurs comptes de service pour différentes équipes ou différents groupes d'utilisateurs. Pour créer plusieurs comptes de service, suivez ces instructions pour chaque compte de service supplémentaire.

Obtenir l'agent de service Looker Studio

Pour autoriser le compte de service à accéder à vos données, vous devez fournir l'agent de service Looker Studio de votre entreprise. Vous pouvez obtenir l'agent de service à partir d'une page d'aide dans Looker Studio :

  1. Accédez à la page d'aide de l'agent de service Looker Studio.
  2. Copiez l'adresse e-mail de l'agent de service affichée sur cette page.

La page Looker Studio "Agent de service" affiche l'adresse e-mail de l'agent de service requise pour configurer un compte de service afin d'accéder à vos données.

Créer un compte de service pour Looker Studio

Pour savoir comment créer un compte de service, consultez la documentation Google Cloud IAM. Vous pouvez utiliser la console Cloud ou la ligne de commande Cloud Shell.

Utiliser la console Cloud

Étape 1 : Créer un compte de service

  1. Dans la console Cloud, accédez à la page Créer un compte de service.

    Accéder à la page "Créer un compte de service"

  2. Sélectionnez un projet.

  3. Saisissez le nom du compte de service à afficher dans la console Cloud.

    La console Cloud génère un ID de compte de service basé sur ce nom. Si nécessaire, modifiez l'ID dès maintenant. Vous ne pourrez pas le faire par la suite.

  4. Facultatif : saisissez la description du compte de service.

  5. Cliquez sur CRÉER ET CONTINUER.
    Page "Créer un compte de service" de Google Cloud Platform avec les champs "Nom du compte de service", "ID du compte de service" et "Description du compte de service" remplis.

  6. À l'étape 2, Autoriser ce compte de service à accéder au projet, accordez au compte de service le rôle IAM Utilisateur de tâche BigQuery dans le projet contenant les données auxquelles vous souhaitez vous connecter dans Looker Studio. Notez que ce projet peut être différent de celui dans lequel vous avez créé le compte de service.
    Un utilisateur saisit le texte "BigQuery Job" (Job BigQuery) dans la zone de filtre "Rôle", puis sélectionne le rôle "BigQuery Job User" (Utilisateur de job BigQuery) dans le menu déroulant des résultats.
  7. Cliquez sur Continuer.
  8. Dans le champ Rôle utilisateurs du compte de service, ajoutez les utilisateurs autorisés à se servir de ce compte de service afin de fournir des identifiants pour leurs sources de données. Si vous ne souhaitez pas ajouter des utilisateurs dès maintenant, vous pouvez le faire ultérieurement en suivant les instructions de l'Étape 3 : Attribuer des rôles utilisateur ci-dessous.
  9. Cliquez sur OK pour enregistrer le compte de service et revenir à la page de votre projet qui regroupe les comptes de service.

Étape 2 : Autoriser l'agent de service Looker Studio à accéder à votre compte de service

  1. Revenez à la liste des comptes de service de la console Cloud.
  2. Cliquez sur le compte de service Looker Studio que vous venez de créer pour le sélectionner.
  3. En haut de l'écran, cliquez sur AUTORISATIONS.
  4. Cliquez sur Icône de partage ACCORDER L'ACCÈS.
  5. Sur la droite, sous Ajouter des comptes principaux à <projet>, collez l'adresse e-mail de l'agent de service Looker Studio (que vous avez copiée à l'étape 1) dans la zone Nouveaux comptes principaux.
  6. Sélectionnez un rôle accordant l'autorisation iam.serviceAccount.getAccessToken à l'agent de service. Par exemple, vous pouvez utiliser le rôle Créateur de jetons du compte de service (ou tout autre rôle personnalisé qui accorde cette autorisation).
  7. Cliquez sur ENREGISTRER.
Astuce : L'adresse de votre agent de service respecte le format service-account@<project_id>.iam.gserviceaccount.com. Si vous connaissez l'ID de votre projet, vous pouvez créer l'adresse manuellement.

Dans le panneau "Ajouter des comptes principaux", un utilisateur saisit l'adresse e-mail de l'agent de service Looker Studio dans le champ "Nouveaux comptes principaux", saisit le jeton de mot dans le champ de filtre "Rôle", puis sélectionne le rôle "Créateur de jetons du compte de service" dans le menu déroulant des résultats.

Étape 3 : Attribuer des rôles utilisateur

Remarque : Cette étape est facultative si vous avez déjà ajouté des utilisateurs Looker Studio durant la création du compte de service, comme décrit à l'étape 1.

Les utilisateurs de Looker Studio qui créent ou modifient des sources de données ont besoin d'un rôle qui inclut l'autorisation iam.serviceAccounts.actAs, comme Utilisateur du compte de service (roles/iam.serviceAccountUser). Vous pouvez accorder ce rôle au niveau du projet ou d'un compte de service individuel. Toutefois, nous vous recommandons de ne l'attribuer que sur le compte de service. Pour savoir comment procéder, consultez Gérer l'emprunt d'identifiants pour un compte de service.

Conseil : Si vous n'êtes pas prêt à suivre cette étape, vous pouvez y revenir ultérieurement.
Conseil : Le rôle Créateur de jetons du compte de service n'étant pas nécessaire pour Looker Studio, nous vous recommandons de NE PAS l'attribuer aux utilisateurs autres que l'agent de service.
Remarque : Les utilisateurs qui ne peuvent afficher que des rapports Looker Studio n'ont pas besoin d'autorisations au niveau du compte de service.
  1. Accédez à la liste des comptes de service de la console Cloud.
  2. Cliquez votre compte de service Looker Studio pour le sélectionner.
  3. En haut de la page, cliquez sur AUTORISATIONS.
  4. Cliquez sur Icône de partage ACCORDER L'ACCÈS.
  5. Sur la droite, dans Ajouter des comptes principaux et des rôles à <compte de service>, saisissez les adresses e-mail de vos utilisateurs dans la zone Nouveaux comptes principaux.
  6. Sélectionnez le rôle Utilisateur du compte de service.
  7. Cliquez sur ENREGISTRER.

Exemple d'ajout d'un utilisateur en tant qu'entité principale sur le compte de service, avec accès au rôle Service Account User (Utilisateur du compte de service).

Étape 4 : Autoriser le compte de service à accéder à vos données BigQuery

Pour autoriser Looker Studio à accéder à vos données, attribuez le rôle Lecteur de données BigQuery au compte de service au niveau de la table ou de l'ensemble de données.

Remarque : Nous vous déconseillons d'accorder l'accès au compte de service au niveau du projet.

Pour autoriser l'accès à une table :

  1. Accédez à la liste des comptes de service de la console Cloud.
  2. Copiez l'adresse e-mail du compte de service Looker Studio.
  3. Accédez à BigQuery et ouvrez un projet.
  4. Développez un ensemble de données en cliquant sur .
  5. Sélectionnez une table.
  6. Dans la barre d'outils, cliquez sur Icône de partage PARTAGER.
  7. Dans le panneau qui s'ouvre à droite, cliquez sur Icône de partage AJOUTER UN COMPTE PRINCIPAL.
  8. Dans la zone Nouveaux comptes principaux, collez l'adresse e-mail du compte de service Looker Studio.
  9. Sélectionnez le rôle Lecteur de données BigQuery.
  10. Cliquez sur ENREGISTRER.

Pour accorder l'accès à un ensemble de données :

  1. Accédez à la liste des comptes de service de la console Cloud.
  2. Copiez l'adresse e-mail de votre compte de service Looker Studio.
  3. Accédez à BigQuery, ouvrez un projet, puis localisez l'ensemble de données.
  4. À droite du nom de l'ensemble de données, cliquez sur Afficher les actions icône "Plus d'options".
  5. Cliquez sur Ouvrir.
  6. Dans la barre d'outils, cliquez sur Icône de partage PARTAGE > Autorisations.
  7. Dans le panneau qui s'ouvre à droite, cliquez sur Icône de partage AJOUTER UN COMPTE PRINCIPAL.
  8. Dans la zone Nouveaux comptes principaux, collez l'adresse e-mail du compte de service Looker Studio.
  9. Sélectionnez le rôle Lecteur de données BigQuery.
  10. Cliquez sur ENREGISTRER.
Utiliser Cloud Shell

Étape 1 : Créer un compte de service

Suivez les étapes générales décrites sous gcloud dans la rubrique Créer et gérer des comptes de service.

  1. Ouvrez Cloud Shell.
  2. Sélectionnez un projet si nécessaire.
  3. Pour créer le compte de service, exécutez la commande gcloud iam service-accounts create. Vous pouvez utiliser le nom de compte, la description et le nom à afficher de votre choix.


    Exemple :

    gcloud iam service-accounts create datastudio_service_account \
    --description="Utiliser pour autoriser Looker Studio à accéder à BigQuery" \
    --display-name="DS_BQ"
  1. Pour accéder aux données BigQuery sur le projet Google Cloud que vous souhaitez utiliser avec Looker Studio, accordez l'autorisation bigquery.jobs.create au compte de service dans ce projet. Pour ce faire, vous pouvez octroyer le rôle IAM Utilisateur de tâche BigQuery.

    Attribuez également les autorisations bigquery.tables.getData et bigquery.tables.get au compte de service au niveau du projet ou de l'ensemble de données que vous souhaitez utiliser avec Looker Studio. Pour ce faire, vous pouvez accorder le rôle Lecteur de données BigQuery (roles/bigquery.dataViewer).

    Pour attribuer ces rôles, exécutez la commande gcloud projects add-iam-policy-binding. Dans les exemples suivants, remplacez PROJECT_ID par l'ID de votre projet.

    Exemple :
    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/bigquery.jobUser"
     
    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/bigquery.dataViewer"

Étape 2 : Autoriser l'agent de service Looker Studio à accéder à votre compte de service

Pour autoriser l'agent de service Looker Studio à accéder aux données via le compte de service, attribuez-lui le rôle Créateur de jetons du compte de service (roles/iam.serviceAccountTokenCreator). Pour ce faire, exécutez la commande gcloud iam service-accounts add-iam-policy-binding. Dans l'exemple suivant, remplacez ORG_ID par l'ID de votre entreprise.

Exemple :

gcloud iam service-accounts add-iam-policy-binding \ datastudio_service_account@PROJECT_ID.iam.gserviceaccount.com \ --member="service-ORG_ID@gcp-sa-datastudio.iam.gserviceaccount.com" \ --role="roles/iam.serviceAccountTokenCreator"

Étape 3 : Attribuer des rôles utilisateur

Les utilisateurs de Looker Studio qui créent ou modifient des sources de données ont besoin d'un rôle qui inclut l'autorisation iam.serviceAccounts.actAs, comme Utilisateur du compte de service (roles/iam.serviceAccountUser). Vous pouvez accorder ce rôle au niveau du projet ou d'un compte de service individuel. Toutefois, nous vous recommandons de ne l'attribuer que sur le compte de service. Pour savoir comment procéder, consultez Gérer l'emprunt d'identifiants pour un compte de service.

Si vous n'êtes pas prêt à suivre cette étape, vous pouvez y revenir ultérieurement.
Conseil : Le rôle Créateur de jetons du compte de service n'étant pas nécessaire pour Looker Studio, nous vous recommandons de NE PAS l'attribuer aux utilisateurs autres que l'agent de service.
Remarque : Les utilisateurs qui ne peuvent afficher que des rapports Looker Studio n'ont pas besoin d'autorisations au niveau du compte de service.

Pour octroyer le rôle Utilisateur du compte de service, exécutez la commande gcloud projects add-iam-policy-binding. Dans les exemples suivants, remplacez PROJECT_ID par votre ID de projet et utilisateur@example.com par une ou plusieurs adresses e-mail valides (séparez-les par une virgule).

Exemple :

gcloud iam service-accounts add-iam-policy-binding \ datastudio_service_account@PROJECT_ID.iam.gserviceaccount.com \
--member="user:utilisateur@example.com" \
--role="roles/iam.serviceAccountUser"

Étape 4 : Autoriser le compte de service à accéder à vos données BigQuery

Pour autoriser Looker Studio à accéder à vos données, attribuez le rôle Lecteur de données BigQuery au compte de service au niveau de la table ou de l'ensemble de données.

Pour effectuer cette opération, le plus simple est de suivre les instructions pour la console Cloud (Étape 4 ci-dessus). Pour accorder l'accès aux données à l'aide de l'outil de ligne de commande bq, consultez la rubrique sur le contrôle de l'accès aux ensembles de données.

Fournir les informations sur le(s) compte(s) de service Looker Studio aux utilisateurs

Les utilisateurs de Looker Studio doivent savoir quel compte de service utiliser pour créer des sources de données. Puisqu'il n'est pas possible d'afficher la liste des comptes de service disponibles dans Looker Studio, vous devez fournir ces informations par e-mail, ou dans la documentation ou le site Web interne de votre entreprise.

Remarque : Vous n'avez pas besoin de gérer les clés de compte de service manuellement. Il n'est pas non plus nécessaire que les utilisateurs téléchargent ces clés à partir de la console Cloud et les importent dans Looker Studio. La limite de 10 clés par compte de service ne s'applique pas à Looker Studio.

Important : Le fait de connaître le nom de l'agent de service ne permet pas à un utilisateur d'accéder aux données. L'agent de service doit être ajouté à un compte de service et les utilisateurs finaux doivent disposer de l'autorisation d'agir en tant que compte de service.

Créer une source de données utilisant des identifiants du compte de service

Pour créer des sources de données qui utilisent des identifiants de compte de service, les utilisateurs de Looker Studio peuvent suivre les mêmes étapes de base que pour les autres types d'identifiants d'accès aux données :

  1. Créez ou modifiez une source de données BigQuery.
  2. Dans la barre d'outils, cliquez sur Identifiants d'accès aux données.
  3. Sélectionnez Identifiants du compte de service.
  4. Saisissez l'adresse e-mail de votre compte de service dans la zone prévue à cet effet.
  5. Cliquez sur Mettre à jour.

Modifier une source de données utilisant des identifiants du compte de service

Lorsque des utilisateurs modifient une source de données utilisant des identifiants du compte de service, Looker Studio vérifie s'ils sont autorisés à se servir de ces identifiants. Si ce n'est pas le cas, la source de données utilise leurs identifiants à la place.

Voir qui utilise le compte de service pour accéder aux données

Vous pouvez vérifier les journaux d'audit pour les comptes de service dans la console Cloud. Pour recevoir les journaux d'audit pour les comptes de service, vous devez activer les journaux d'audit IAM pour l'accès aux données.

Exemple de scénario de compte de service

Supposons que vous souhaitiez vous assurer que les utilisateurs de Looker Studio de votre entreprise n'ont accès qu'aux données de la filiale de leur pays. Une solution consiste à créer un compte de service pour chaque pays et à n'autoriser que les utilisateurs Looker Studio de ce pays à agir en tant que compte de service.

Exemples de configuration

Dans cet exemple, vous allez créer trois comptes de service : un pour l'Allemagne, un pour la France et un pour le Royaume-Uni. Vous affecterez ensuite votre agent de service et tous les utilisateurs que vous souhaitez autoriser à créer des sources de données qui utilisent le compte de service en tant qu'entités principales, en leur attribuant chacun les rôles appropriés.

Compte de service pour le Royaume-Uni

service-account-1@example-org-uk-example-project.iam.gserviceaccount.com

Entités principales pour le Royaume-Uni

Entités principales Rôles

service-org-12345@gcp-sa-datastudio.iam.gserviceaccount.com

Il s'agit de l'agent de service.

 Créateur de jetons du compte de service
Utilisateur 1 Utilisateur du compte de service
Utilisateur 2 Utilisateur du compte de service

Compte de service pour la France

service-account-1@example-org-fr-example-project.iam.gserviceaccount.com

Entités principales pour la France

Entités principales Rôles

service-org-12345@gcp-sa-datastudio.iam.gserviceaccount.com

Il s'agit de l'agent de service.

 Créateur de jetons du compte de service
Utilisateur 3 Utilisateur du compte de service
Utilisateur 4 Utilisateur du compte de service

Compte de service pour l'Allemagne

service-account-1@example-org-de-example-project.iam.gserviceaccount.com

Entités principales pour l'Allemagne

Entités principales Rôles

service-org-12345@gcp-sa-datastudio.iam.gserviceaccount.com

Il s'agit de l'agent de service.

 Créateur de jetons du compte de service
Utilisateur 5 Utilisateur du compte de service
Utilisateur 6 Utilisateur du compte de service
Conseil : Le nom du compte de service n'est pas une information sensible. Même si l'utilisateur 5 sait que service-account-1@example-org-fr-example-project.iam.gserviceaccount.com existe, il ne peut pas l'utiliser, car il ne dispose pas des autorisations nécessaires. Pour fonctionner, l'agent de service doit être ajouté à un compte de service (il représente simplement la façon dont Looker Studio utilise le compte de service).

Erreurs

Cette section explique les erreurs que les créateurs de sources de données Looker Studio et les lecteurs de rapports peuvent rencontrer en utilisant un compte de service. Le plus souvent, ces erreurs ont la même cause : une configuration incorrecte ou incomplète du compte de service.

Rôle d'agent de service introuvable

Messages

  • L'agent de service de Looker Studio ne dispose pas de l'autorisation iam.serviceAccount.getAccessToken pour ce compte de service.
  • L'agent de service utilisé par le compte de service de la source de données ne dispose pas du rôle "Créateur de jetons du compte de service".

Cause

L'agent de service ne s'est pas vu attribuer le rôle Créateur de jetons du compte de service (ou un autre rôle comprenant l'autorisation iam.serviceAccount.getAccessToken).

Solution

Attribuez le rôle Créateur de jetons du compte de service à l'agent de service.
Aucun accès aux données

Message

Le compte de service ne parvient pas à accéder à l'ensemble de données sous-jacent.

Cause

Le compte de service ne s'est pas vu octroyer l'accès aux données du projet.

Solution

Accordez au minimum le rôle Lecteur de données BigQuery à votre compte de service au niveau de la table, de l'ensemble de données ou du projet sous-jacents.
Rôle utilisateur manquant

Message

Vous ne disposez pas des autorisations nécessaires pour utiliser ce compte de service.

Cause

L'utilisateur n'a pas été ajouté en tant qu'entité principale avec le rôle Utilisateur du compte de service.

Solution

Attribuez le rôle Utilisateur du compte de service à l'utilisateur au niveau du compte de service.
Agent de service indisponible pour le compte

Messages

  • Impossible de générer des agents de service pour ce compte : réessayez avec un compte géré Google Workspace ou Cloud Identity.
  • Les identifiants d'agent de service ne sont disponibles que pour les entreprises gérées Google Workspace ou Cloud Identity. Pour bénéficier de cette fonctionnalité, veuillez utiliser un autre compte.

Cause

L'utilisateur tente d'accéder aux données contrôlées par un compte de service à partir d'un compte Google personnel standard.

Solution

Utilisez un compte Google Workspace ou Cloud Identity pour accéder aux données.
Impossible d'utiliser l'agent de service dans la boîte de dialogue des identifiants

Message

Impossible d'utiliser les agents de service Looker Studio pour créer une connexion directe aux données. Utilisez plutôt un compte de service.

Solution

Les agents de service et les comptes de service sont différents. Spécifiez un compte de service dans la boîte de dialogue des identifiants. Vous pouvez trouver la liste des comptes de service disponibles à l'aide de la console Cloud :

Utiliser la console Cloud

  1. Accédez à la page Google Cloud Platform > IAM et administration > Comptes de service.
  2. Sélectionnez un projet si nécessaire.
  3. Sur la page Comptes de service pour le projet, trouvez le compte de service que Looker Studio utilisera pour accéder à vos données BigQuery.
  4. Copiez l'adresse e-mail de ce compte.

Utiliser Cloud Shell

  1. Ouvrez Cloud Shell.
  2. Sélectionnez un projet si nécessaire.
  3. Pour obtenir la liste des comptes de service auxquels vous avez accès, exécutez la commande gcloud iam service-accounts list.

Exemple :

gcloud iam service-accounts list

Limites

  • À l'heure actuelle, les identifiants du compte de service ne sont disponibles que pour les sources de données BigQuery.Les limites IAM s'appliquent aux comptes de service.
  • Vous devrez peut-être patienter quelques instants avant que les modifications apportées aux autorisations du compte de service apparaissent dans Looker Studio.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
true
Quoi de neuf dans Looker Studio ?

Découvrez les nouvelles fonctionnalités et les modifications récentes. Les notes de version de Looker Studio sont disponibles sur Google Cloud.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
11527038674942395809
true
Rechercher dans le centre d'aide
true
true
true
true
true
102097
false
false