Notifikasi

Pusat Bantuan ini akan dipindahkan ke Cloud. Pelajari migrasi ini lebih lanjut.

Menyiapkan akun layanan Google Cloud untuk Looker Studio

Buat dan konfigurasi akun layanan agar dapat mengakses data untuk Looker Studio.
Audiens yang ditargetkan:

Artikel ini ditujukan untuk administrator Google Cloud. Untuk mempelajari cara menggunakan akun layanan yang ada di sumber data Looker Studio, lihat Kredensial data.

Looker Studio dapat menggunakan akun layanan untuk mengakses data, alih-alih mendelegasikan akses menggunakan kredensial pemilik, atau mewajibkan setiap pelihat laporan untuk memiliki akses ke data menggunakan kredensial pelihat laporan. Akun layanan adalah jenis Akun Google khusus untuk mewakili pengguna non-manusia, yang dapat melakukan autentikasi dan diberi izin untuk mengakses data di Google API dan produk Google. Pelajari akun layanan lebih lanjut.

Catatan:

Kredensial akun layanan saat ini hanya tersedia untuk sumber data BigQuery.

Dalam artikel ini:

Manfaat menggunakan akun layanan dengan Looker Studio

Untuk menggunakan akun layanan dengan Looker Studio, tambahkan agen layanan Looker Studio organisasi sebagai pengguna (utama) pada akun. Tindakan ini memberi Anda kontrol atas akun layanan yang dapat digunakan dengan Looker Studio, sekaligus memastikan bahwa pengguna di organisasi dapat dengan mudah mengakses data yang mereka butuhkan.

Menggunakan kredensial akun layanan sebagai ganti kredensial setiap pengguna akan memberikan manfaat berikut:

  • Sumber data yang menggunakan kredensial akun layanan tidak akan terganggu jika kreator keluar dari perusahaan Anda.
  • Kredensial akun layanan mendukung akses ke data yang berada di balik perimeter Kontrol Layanan VPC yang menggunakan kebijakan perangkat.
  • Fitur otomatis seperti email terjadwal dan ekstrak data terjadwal berfungsi dengan sumber data yang berada di balik perimeter Kontrol Layanan VPC.
Sebaiknya Anda membuat akun layanan baru yang hanya digunakan dengan Looker Studio. Misalnya, Anda dapat membuat akun layanan yang berbeda-beda bagi tim pemasaran, penjualan, dan engineer, masing-masing khusus untuk digunakan dengan Looker Studio.

Sebelum memulai

  • Untuk menyiapkan akun layanan, Anda harus memiliki peran Service Account Admin (roles/iam.serviceAccountAdmin) atau Create Service Accounts (roles/iam.serviceAccountCreator) di project Google Cloud. Pelajari peran akun layanan lebih lanjut.
  • Untuk mendapatkan agen layanan Looker Studio, Anda harus menjadi pengguna Workspace atau Cloud Identity.

Petunjuk penyiapan

Anda hanya perlu mengikuti petunjuk di artikel ini sekali, kecuali jika ingin membuat akun layanan yang berbeda-beda untuk setiap tim atau grup pengguna. Untuk membuat beberapa akun layanan, ulangi langkah dalam petunjuk ini untuk setiap akun layanan tambahan.

Mendapatkan agen layanan Looker Studio

Agar akun layanan dapat mengakses data, Anda harus menyediakan agen layanan Looker Studio untuk organisasi Anda. Anda bisa mendapatkan agen layanan dari halaman bantuan di Looker Studio:

  1. Buka halaman bantuan agen layanan Looker Studio.
  2. Salin alamat email agen layanan yang ditampilkan di halaman tersebut.

Halaman Agen Layanan Looker Studio menampilkan alamat email agen layanan yang diperlukan untuk menyiapkan akun layanan agar dapat mengakses data Anda.

Membuat akun layanan untuk Looker Studio

Petunjuk cara membuat akun layanan dapat ditemukan di dokumentasi Google Cloud IAM. Anda dapat menggunakan Cloud Console atau command line Cloud Shell untuk membuat akun layanan.

Menggunakan Cloud Console

Langkah 1: Buat akun layanan baru

  1. Dari Cloud Console, buka halaman Create service account.

    Buka Create service account

  2. Pilih project.

  3. Masukkan nama akun layanan untuk ditampilkan di Cloud Console.

    Cloud Console membuat ID akun layanan berdasarkan nama ini. Edit ID sekarang jika perlu. Anda tidak dapat mengubah ID nanti.

  4. Opsional: Masukkan deskripsi akun layanan.

  5. Klik CREATE AND CONTINUE.
    Halaman Create service account di Google Cloud Platform dengan kolom Service account name, Service account ID, dan Service account description yang sudah diisi.

  6. Di langkah 2, opsi Grant this service account access to project akan memberi Peran IAM BigQuery Job User untuk akun layanan di project yang memuat data yang ingin Anda hubungkan di Looker Studio. Perhatikan bahwa project ini mungkin berbeda dengan project tempat Anda membuat akun layanan.
    Pengguna memasukkan teks BigQuery Job dalam kotak filter Role dan memilih peran BigQuery Job User dari menu drop-down hasil.
  7. Klik Continue.
  8. Di kolom Service account users role, tambahkan pengguna yang dapat menggunakan akun layanan ini untuk memberikan kredensial bagi sumber data mereka. Jika sekarang belum siap untuk menambahkan pengguna, Anda dapat melakukannya nanti dengan mengikuti petunjuk di Langkah 3: Berikan peran kepada pengguna di bawah.
  9. Klik DONE guna menyimpan akun layanan dan kembali ke halaman daftar akun layanan untuk project Anda.

Langkah 2: Izinkan agen layanan Looker Studio mengakses akun layanan Anda

  1. Kembali ke Daftar akun layanan Cloud Console.
  2. Pilih akun layanan Looker Studio yang baru saja Anda buat dengan mengkliknya di daftar.
  3. Di bagian atas, klik PERMISSIONS.
  4. Klik Ikon berbagi GRANT ACCESS.
  5. Di sebelah kanan, di Add principals to <project>, tempel alamat email agen layanan Looker Studio (yang telah Anda salin pada langkah 1 di atas) ke kotak New principals.
  6. Pilih peran yang memberikan izin iam.serviceAccount.getAccessToken untuk agen layanan. Misalnya, Anda dapat menggunakan peran Service Account Token Creator, tetapi Anda juga dapat menggunakan peran khusus yang memberikan izin ini.
  7. Klik SAVE.
Tips: Alamat agen layanan Anda menggunakan format service-account@<project_id>.iam.gserviceaccount.com. Jika mengetahui project ID, Anda dapat membuat alamat secara manual.

Di panel Add principals, pengguna memasukkan email agen layanan Looker Studio di kolom New principals, memasukkan token kata ke dalam kotak filter Role, dan memilih peran Service Account Token Creator dari menu drop-down hasil.

Langkah 3: Berikan peran kepada pengguna

Catatan: Langkah ini bersifat opsional jika Anda sudah menambahkan pengguna Looker Studio saat membuat akun layanan, seperti yang dijelaskan pada langkah 1 di atas.

Pengguna Looker Studio yang akan membuat atau mengedit sumber data harus diberi peran yang menyertakan izin iam.serviceAccounts.actAs, seperti peran Service Account User (roles/iam.serviceAccountUser). Anda dapat memberikan peran ini pada project atau setiap akun layanan, tetapi sebaiknya Anda memberikan peran tersebut pada akun layanan saja. Untuk mendapatkan petunjuk, lihat Mengelola peniruan identitas akun layanan.

Tips: Jika belum siap untuk menyelesaikan langkah ini, Anda dapat kembali lagi nanti.
Tips: Sebaiknya JANGAN berikan peran Service Account Token Creator kepada pengguna non-agen layanan. Peran ini tidak diperlukan untuk Looker Studio.
Catatan: Pengguna yang hanya akan membaca laporan Looker Studio tidak perlu memiliki izin di akun layanan.
  1. Buka daftar akun layanan Cloud Console.
  2. Pilih akun layanan Looker Studio Anda dengan mengkliknya di daftar.
  3. Di bagian atas halaman, klik PERMISSIONS.
  4. Klik Ikon berbagi GRANT ACCESS.
  5. Di sebelah kanan, di Add principals and roles for <service account>, masukkan alamat email pengguna Anda di kotak New principals.
  6. Pilih peran Service Account User.
  7. Klik SAVE.

Contoh penambahan pengguna sebagai akun utama di akun layanan, sehingga pengguna memiliki peran Service Account User.

Langkah 4: Aktifkan akun layanan untuk mengakses data BigQuery Anda

Untuk mengizinkan Looker Studio mengakses data Anda, berikan peran BigQuery Data Viewer untuk akun layanan di tingkat tabel atau set data.

Catatan: Sebaiknya jangan berikan akses di level project untuk akun layanan.

Untuk memberikan akses ke tabel:

  1. Buka daftar akun layanan Cloud Console.
  2. Salin alamat email akun layanan Looker Studio.
  3. Buka BigQuery, lalu buka project.
  4. Luaskan set data dengan mengklik .
  5. Pilih tabel.
  6. Di toolbar, klik Ikon berbagi SHARE.
  7. Di panel yang terbuka di sebelah kanan, klik Ikon berbagi ADD PRINCIPAL.
  8. Di kotak New principals, tempel alamat email akun layanan Looker Studio.
  9. Pilih peran BigQuery Data Viewer.
  10. Klik SAVE.

Untuk memberikan akses ke set data:

  1. Buka daftar akun layanan Cloud Console.
  2. Salin alamat email akun layanan Looker Studio Anda.
  3. Pilih BigQuery, buka project, lalu cari set data.
  4. Di sebelah kanan nama set data, klik View actions Ikon "Opsi lainnya".
  5. Klik Open.
  6. Di toolbar, klik Ikon berbagiSHARE > Permissions.
  7. Di panel yang terbuka di sebelah kanan, klik Ikon berbagi ADD PRINCIPAL.
  8. Di kotak New principals, tempel alamat email akun layanan Looker Studio.
  9. Pilih peran BigQuery Data Viewer.
  10. Klik SAVE.
Menggunakan Cloud Shell

Langkah 1: Buat akun layanan baru

Ikuti langkah-langkah umum yang tercantum di bagian gcloud pada halaman Membuat dan mengelola akun layanan.

  1. Buka Cloud Shell.
  2. Pilih project jika perlu.
  3. Untuk membuat akun layanan, jalankan perintah gcloud iam service-accounts create. Anda dapat menggunakan nama akun, deskripsi, dan nama tampilan apa pun yang dipilih.


    Contoh:

    gcloud iam service-accounts create datastudio_service_account \
    --description="Gunakan untuk akses Looker Studio ke BigQuery" \
    --display-name="DS_BQ"
  1. Untuk mengakses data BigQuery di project Google Cloud yang ingin Anda gunakan dengan Looker Studio, berikan izin bigquery.jobs.create kepada akun layanan di project tersebut. Anda dapat menetapkan peran IAM BigQuery Job User untuk memberikan izin ini.

    Selain itu, berikan izin pada akun layanan bigquery.tables.getData dan bigquery.tables.get di project atau set data yang ingin Anda gunakan dengan Looker Studio. Anda dapat memberikan peran BigQuery Data Viewer (roles/bigquery.dataViewer) untuk memberikan izin ini.

    Untuk memberikan peran ini, jalankan perintah gcloud projects add-iam-policy-binding. Pada contoh berikut, ganti PROJECT_ID dengan project ID Anda.

    Contoh:
    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/bigquery.jobUser"
     
    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/bigquery.dataViewer"

Langkah 2: Izinkan agen layanan Looker Studio mengakses akun layanan Anda

Untuk mengizinkan agen layanan Looker Studio mengakses data melalui akun layanan, berikan peran Service Account Token Creator (roles/iam.serviceAccountTokenCreator) kepada agen layanan. Untuk melakukannya, jalankan perintah gcloud iam service-accounts add-iam-policy-binding. Pada contoh berikut, ganti ORG_ID dengan ID organisasi Anda.

Contoh:

gcloud iam service-accounts add-iam-policy-binding \ datastudio_service_account@PROJECT_ID.iam.gserviceaccount.com \ --member="service-ORG_ID@gcp-sa-datastudio.iam.gserviceaccount.com" \ --role="roles/iam.serviceAccountTokenCreator"

Langkah 3: Berikan peran kepada pengguna

Pengguna Looker Studio yang akan membuat atau mengedit sumber data harus diberi peran yang menyertakan izin iam.serviceAccounts.actAs, seperti peran Service Account User (roles/iam.serviceAccountUser). Anda dapat memberikan peran ini pada project atau setiap akun layanan, tetapi sebaiknya Anda memberikan peran tersebut pada akun layanan saja. Untuk mendapatkan petunjuk, lihat Mengelola peniruan identitas akun layanan.

Jika belum siap untuk menyelesaikan langkah ini, Anda dapat kembali lagi nanti.
Tips: Sebaiknya JANGAN berikan peran Service Account Token Creator kepada pengguna non-agen layanan. Peran ini tidak diperlukan untuk Looker Studio.
Catatan: Pengguna yang hanya akan membaca laporan Looker Studio tidak perlu memiliki izin di akun layanan.

Untuk memberikan peran Service Account User, jalankan perintah gcloud projects add-iam-policy-binding. Pada contoh berikut, ganti PROJECT_ID dengan project ID Anda, dan ganti "pengguna@example.com" dengan satu atau beberapa alamat email yang valid (pisahkan setiap alamat email dengan koma).

Contoh:

gcloud iam service-accounts add-iam-policy-binding \ datastudio_service_account@PROJECT_ID.iam.gserviceaccount.com \
--member="pengguna:pengguna@example.com" \
--role="roles/iam.serviceAccountUser"

Langkah 4: Aktifkan akun layanan untuk mengakses data BigQuery Anda

Untuk mengizinkan Looker Studio mengakses data Anda, berikan peran BigQuery Data Viewer untuk akun layanan di tingkat tabel atau set data.

Langkah ini paling mudah dilakukan dengan menggunakan petunjuk Cloud Console pada Langkah 4 di atas. Untuk memberikan akses ke data menggunakan alat command line bq, lihat Mengontrol akses ke set data.

Menyediakan akun layanan Looker Studio untuk pengguna Looker Studio

Pengguna Looker Studio perlu mengetahui akun layanan mana yang akan digunakan saat membuat sumber data. Karena tidak ada cara untuk melihat daftar akun layanan yang tersedia dari dalam Looker Studio, Anda harus menyampaikan informasi ini melalui dokumentasi, situs internal, atau email organisasi.

Catatan: Anda tidak perlu mengelola kunci akun layanan secara manual, dan pengguna juga tidak perlu mendownload kunci akun layanan dari Cloud Console dan menguploadnya ke Looker Studio. Batas 10 kunci akun layanan per akun layanan tidak berlaku untuk Looker Studio.

Penting: Pengguna tidak dapat mengakses data hanya dengan mengetahui nama agen layanannya. Agen layanan harus ditambahkan ke akun layanan, dan pengguna akhir harus memiliki izin untuk bertindak sebagai akun layanan tersebut.

Membuat sumber data yang menggunakan kredensial akun layanan

Untuk membuat sumber data yang menggunakan kredensial akun layanan, pengguna Looker Studio dapat mengikuti langkah-langkah dasar yang sama seperti untuk jenis kredensial data lainnya:

  1. Buat atau edit sumber data BigQuery.
  2. Di toolbar, klik Kredensial Data.
  3. Pilih Kredensial Akun Layanan.
  4. Masukkan alamat email Akun layanan Anda di kotak.
  5. Klik Perbarui.

Mengedit sumber data yang menggunakan kredensial akun layanan

Saat seseorang mengedit sumber data yang menggunakan kredensial akun layanan, Looker Studio akan memeriksa apakah orang itu memiliki izin untuk menggunakan akun layanan tersebut. Jika tidak memiliki izin, sumber data akan beralih menggunakan kredensial orang tersebut.

Melihat siapa yang menggunakan akun layanan untuk mengakses data

Anda dapat memeriksa log audit untuk akun layanan di Cloud Console. Anda harus mengaktifkan log audit IAM untuk aktivitas Akses Data jika ingin menerima log audit untuk akun layanan.

Contoh skenario akun layanan

Misalnya Anda ingin memastikan bahwa pengguna Looker Studio di perusahaan Anda hanya memiliki akses ke data untuk anak perusahaan di negara mereka. Solusinya adalah dengan membuat akun layanan untuk setiap negara, dan hanya memberikan izin kepada pengguna Looker Studio di negara tersebut untuk bertindak sebagai akun layanan.

Contoh penyiapan

Dalam contoh ini, Anda akan membuat tiga akun layanan: satu untuk Inggris Raya, satu untuk Prancis, dan satu untuk Jerman. Kemudian, tetapkan agen layanan dan pengguna yang Anda inginkan sebagai akun utama agar dapat membuat sumber data yang menggunakan akun layanan, dengan mempertimbangkan peran yang sesuai untuk masing-masing.

Akun layanan untuk Inggris Raya

service-account-1@example-org-uk-example-project.iam.gserviceaccount.com

Akun utama untuk Inggris Raya

Akun utama Peran

service-org-12345@gcp-sa-datastudio.iam.gserviceaccount.com

Posisi ini diisi oleh agen layanan.

 Service Account Token Creator
Pengguna 1 Service Account User
Pengguna 2 Service Account User

Akun layanan untuk Prancis

service-account-1@example-org-fr-example-project.iam.gserviceaccount.com

Akun utama untuk Prancis

Akun utama Peran

service-org-12345@gcp-sa-datastudio.iam.gserviceaccount.com

Posisi ini diisi oleh agen layanan.

 Service Account Token Creator
Pengguna 3 Service Account User
Pengguna 4 Service Account User

Akun layanan untuk Jerman

service-account-1@example-org-de-example-project.iam.gserviceaccount.com

Akun utama untuk Jerman

Akun utama Peran

service-org-12345@gcp-sa-datastudio.iam.gserviceaccount.com

Posisi ini diisi oleh agen layanan.

 Service Account Token Creator
Pengguna 5 Service Account User
Pengguna 6 Service Account User
Tips: Nama akun layanan bukanlah informasi sensitif: Meskipun Pengguna 5 mengetahui adanya service-account-1@example-org-fr-example-project.iam.gserviceaccount.com, Pengguna 5 tidak akan dapat menggunakannya karena tidak memiliki izin yang tepat. Agen layanan perlu ditambahkan ke akun layanan agar akun tersebut dapat berfungsi. (Agen layanan adalah elemen yang dibutuhkan Looker Studio untuk menggunakan akun layanan.)

Error

Bagian ini menjelaskan error yang mungkin dialami oleh pelihat laporan dan pembuat sumber data Looker Studio saat mencoba menggunakan akun layanan. Umumnya, error ini memiliki penyebab utama yang sama: penyiapan akun layanan yang salah atau tidak lengkap.

Peran agen layanan tidak ada

Pesan

  • Agen layanan Looker Studio tidak memiliki izin iam.serviceAccount.getAccessToken untuk layanan ini.
  • Agen layanan yang digunakan oleh akun layanan sumber data ini tidak memiliki peran "Service Account Token Creator".

Penyebab

Agen layanan belum diberi peran Service Account Token Creator (atau peran lain yang mencakup izin iam.serviceAccount.getAccessToken).

Solusi

Berikan peran Service Account Token Creator kepada agen layanan.
Tidak ada akses ke data

Pesan

Akun layanan ini tidak dapat mengakses set data pokok.

Penyebab

Akun layanan belum diberi akses ke data project.

Solusi

Minimal, berikan peran BigQuery Data Viewer untuk akun layanan Anda di tabel, set data, atau project pokok.
Peran pengguna tidak ada

Pesan

Anda tidak memiliki izin untuk menggunakan akun layanan ini.

Penyebab

Pengguna belum ditambahkan sebagai akun utama ke akun layanan dengan peran Service Account User.

Solusi

Berikan peran Service Account User kepada pengguna di akun layanan tersebut.
Agen layanan tidak tersedia untuk akun ini

Pesan

  • Agen layanan tidak dapat dibuat untuk akun ini. Coba lagi menggunakan akun yang dikelola Cloud Identity atau Google Workspace.
  • Kredensial agen layanan hanya tersedia untuk organisasi yang dikelola Cloud Identity atau Google Workspace. Gunakan akun lain untuk menggunakan fitur ini.

Penyebab

Pengguna mencoba mengakses data yang dikontrol oleh akun layanan dari Akun Google standar (pengguna konsumen).

Solusi

Gunakan akun Cloud Identity atau Google Workspace untuk mengakses data.
Tidak dapat menggunakan agen layanan di dialog kredensial

Pesan

Agen layanan Looker Studio tidak dapat digunakan untuk terhubung langsung ke data. Sebagai gantinya, gunakan akun layanan.

Solusi

Agen layanan dan akun layanan tidak sama. Masukkan akun layanan di dialog kredensial. Anda dapat menemukan daftar akun layanan yang tersedia menggunakan Cloud Console:

Menggunakan Cloud Console

  1. Buka halaman Google Cloud Platform > IAM & Admin > Service accounts.
  2. Pilih project, jika perlu.
  3. Di halaman Service accounts for project, cari akun layanan yang akan digunakan Looker Studio untuk mengakses data BigQuery Anda.
  4. Salin alamat email untuk akun tersebut.

Menggunakan Cloud Shell

  1. Buka Cloud Shell.
  2. Pilih project, jika perlu.
  3. Untuk menampilkan daftar akun layanan yang dapat Anda akses, jalankan perintah gcloud iam service-accounts list.

Contoh:

gcloud iam service-accounts list

Batas

  • Kredensial akun layanan saat ini hanya tersedia untuk sumber data BigQuery. Batas IAM berlaku untuk akun layanan.
  • Mungkin diperlukan waktu beberapa menit hingga perubahan izin akun layanan diterapkan di Looker Studio.

Apakah ini membantu?

Bagaimana cara meningkatkannya?

Perlu bantuan lain?

Coba langkah-langkah selanjutnya berikut:

Posting ke komunitas bantuan Dapatkan jawaban dari anggota komunitas
true
Yang baru di Looker Studio

Pelajari fitur baru dan perubahan terkini. Catatan rilis Looker Studio tersedia di Google Cloud.

Telusuri
Hapus penelusuran
Tutup penelusuran
Menu utama
13128272529135751705
true
Pusat Bantuan Penelusuran
true
true
true
true
true
102097
false
false