Dieser Artikel richtet sich an Google Cloud-Administratoren. Informationen zur Nutzung eines bestehenden Dienstkontos in Ihrer Looker Studio-Datenquelle finden Sie unter Anmeldedaten für den Datenabruf.
Statt den Zugriff über die Anmeldedaten des Inhabers zu delegieren oder für einzelne Nutzer über Anmeldedaten des Betrachters zu gewähren, kann in Looker Studio ein Dienstkonto für den Datenabruf verwendet werden. Ein Dienstkonto ist eine spezielle Art von Google-Konto, das einen nicht menschlichen Nutzer repräsentiert. Es muss authentifiziert und autorisiert werden, um Zugriff auf Daten in Google APIs und Google-Produkten zu erhalten. Weitere Informationen zu Dienstkonten
Dienstkonto-Anmeldedaten sind derzeit nur für BigQuery-Datenquellen verfügbar.
- Vorteile eines Dienstkontos für Looker Studio
- Voraussetzungen
- Anleitung zur Einrichtung
- Looker Studio-Dienstkonten für Looker Studio-Nutzer bereitstellen
- Datenquelle bearbeiten, für die Dienstkonto-Anmeldedaten verwendet werden
- Sehen, wer über das Dienstkonto auf Daten zugreift
- Beispielszenario für ein Dienstkonto
- Fehler
- Beschränkungen
- Weitere Informationen
Vorteile eines Dienstkontos für Looker Studio
Wenn Sie ein Dienstkonto mit Looker Studio verwenden möchten, fügen Sie dem Konto den Looker Studio-Dienst-Agent Ihrer Organisation als Nutzer (Hauptkonto) hinzu. So können Sie steuern, welche Dienstkonten mit Looker Studio verwendet werden dürfen. Gleichzeitig sorgen Sie dafür, dass die Nutzer in Ihrer Organisation problemlos Zugriff auf die benötigten Daten haben.
Ein Dienstkonto anstelle der Anmeldedaten einzelner Nutzer zu verwenden, bietet mehrere Vorteile:
- Datenquellen, für die Anmeldedaten eines Dienstkontos verwendet werden, funktionieren auch dann weiter, wenn ein Nutzer das Unternehmen verlässt.
- Mit Dienstkonto-Anmeldedaten können Sie auf Daten hinter VPC Service Controls-Perimetern, für die Geräterichtlinien verwendet werden, zugreifen.
- Automatisierte Funktionen wie geplante E-Mails und geplante Datenextraktionen funktionieren mit Datenquellen, die sich hinter einem solchen Perimeter befinden.
Voraussetzungen
- Zum Einrichten eines Dienstkontos benötigen Sie die Rolle Dienstkontoadministrator (
roles/iam.serviceAccountAdmin
) oder Dienstkonten erstellen (roles/iam.serviceAccountCreator
) für Ihr Google Cloud-Projekt. Weitere Informationen - Nur Workspace- oder Cloud Identity-Nutzer können den Looker Studio-Dienst-Agent abrufen.
Anleitung zur Einrichtung
Sie müssen die Schritte in diesem Artikel nur einmal ausführen, es sei denn, Sie möchten separate Dienstkonten für verschiedene Teams oder Nutzergruppen erstellen. In diesem Fall wiederholen Sie diese Schritte für jedes zusätzliche Dienstkonto.
Looker Studio-Dienst-Agent abrufen
Damit das Dienstkonto auf Ihre Daten zugreifen kann, müssen Sie den Looker Studio-Dienst-Agent für Ihre Organisation bereitstellen. Sie können ihn in Looker Studio über eine Hilfeseite abrufen:
- Rufen Sie die Hilfeseite für den Looker Studio-Dienst-Agent auf.
- Kopieren Sie die E-Mail-Adresse des Dienst-Agents, die auf dieser Seite angezeigt wird.
Dienstkonto für Looker Studio erstellen
Eine Anleitung zum Erstellen eines Dienstkontos finden Sie in der Google Cloud IAM-Dokumentation. Sie können das Dienstkonto entweder über die Cloud Console oder die Cloud Shell-Befehlszeile erstellen.
Schritt 1: Neues Dienstkonto erstellen
-
Rufen Sie in der Cloud Console die Seite Dienstkonto erstellen auf.
Zur Seite „Dienstkonto erstellen“ - Wählen Sie ein Projekt aus.
-
Geben Sie einen Namen für das Dienstkonto ein. Er wird in der Cloud Console angezeigt.
Anhand dieses Namens wird in der Cloud Console eine Dienstkonto-ID erstellt. Bei Bedarf können Sie die ID jetzt ändern. Später ist das nicht mehr möglich.
- Optional: Geben Sie eine Beschreibung für das Dienstkonto ein.
-
Klicken Sie auf ERSTELLEN UND FORTFAHREN.
- Weisen Sie dem Dienstkonto in Schritt 2 (Diesem Dienstkonto Zugriff auf das Projekt erteilen) die IAM-Rolle BigQuery Job User in dem Projekt zu, das die Daten enthält, mit denen Sie in Looker Studio eine Verbindung herstellen möchten. Dieses Projekt kann sich von dem Projekt unterscheiden, in dem Sie das Dienstkonto erstellt haben.
- Klicken Sie auf Weiter.
- Fügen Sie im Feld Rolle „Dienstkontonutzer“ die Nutzer hinzu, die dieses Dienstkonto verwenden dürfen, um Anmeldedaten für ihre Datenquellen einzugeben. Sie können die Nutzer auch später hinzufügen. Folgen Sie dazu der Anleitung unter Schritt 3: Nutzerrollen zuweisen.
- Klicken Sie auf FERTIG, um das Dienstkonto zu speichern und zur Liste der Dienstkonten für Ihr Projekt zurückzukehren.
Schritt 2: Dem Looker Studio-Dienst-Agent Zugriff auf Ihr Dienstkonto gewähren
- Kehren Sie zur Dienstkontoliste der Cloud Console zurück.
- Wählen Sie das soeben erstellte Looker Studio-Dienstkonto aus, indem Sie in der Liste darauf klicken.
- Klicken Sie oben auf BERECHTIGUNGEN.
- Klicken Sie auf ZUGRIFF GEWÄHREN.
- Fügen Sie rechts im Feld Hauptkonten zu <Projekt> hinzufügen die E-Mail-Adresse des Looker Studio-Dienst-Agents, die Sie in Schritt 1 kopiert haben, in das Feld Neue Hauptkonten ein.
- Wählen Sie eine Rolle aus, die dem Dienst-Agent die Berechtigung
iam.serviceAccount.getAccessToken
gewährt. Das kann z. B. die Rolle Ersteller von Dienstkonto-Tokens oder eine beliebige andere benutzerdefinierte Rolle mit dieser Berechtigung sein. - Klicken Sie auf SPEICHERN.
service-account@<Projekt-ID>.iam.gserviceaccount.com
. Wenn Sie Ihre Projekt-ID kennen, können Sie die Adresse auch manuell eingeben.Schritt 3: Nutzerrollen zuweisen
Looker Studio-Nutzern, die Datenquellen erstellen oder bearbeiten sollen, muss eine Rolle mit der Berechtigung iam.serviceAccounts.actAs
zugewiesen werden, z. B. die Rolle Dienstkontonutzer (roles/iam.serviceAccountUser
). Sie können diese Rolle für das Projekt oder für ein einzelnes Dienstkonto zuweisen. Wir empfehlen Letzteres. Eine Anleitung finden Sie unter Identitätswechsel für Dienstkonten verwalten.
- Rufen Sie die Dienstkontoliste der Cloud Console auf.
- Wählen Sie das Looker Studio-Dienstkonto aus, indem Sie in der Liste darauf klicken.
- Klicken Sie oben auf der Seite auf BERECHTIGUNGEN.
- Klicken Sie auf ZUGRIFF GEWÄHREN.
- Geben Sie rechts unter Hauptkonten und Rollen zu <Dienstkonto> hinzufügen die E-Mail-Adressen Ihrer Nutzer in das Feld Neue Hauptkonten ein.
- Wählen Sie die Rolle Dienstkontonutzer aus.
- Klicken Sie auf SPEICHERN.
Schritt 4: Dienstkonto Zugriff auf BigQuery-Daten gewähren
Damit Looker Studio auf Ihre Daten zugreifen kann, weisen Sie dem Dienstkonto auf Tabellen- oder Dataset-Ebene die Rolle BigQuery-Datenbetrachter zu.
So gewähren Sie Zugriff auf eine Tabelle:
- Rufen Sie die Dienstkontoliste der Cloud Console auf.
- Kopieren Sie die E-Mail-Adresse des Looker Studio-Dienstkontos.
- Rufen Sie BigQuery auf und öffnen Sie ein Projekt.
- Maximieren Sie ein Dataset, indem Sie auf klicken.
- Wählen Sie eine Tabelle aus.
- Klicken Sie in der Symbolleiste auf FREIGEBEN.
- Klicken Sie im Bereich, der rechts geöffnet wird, auf HAUPTKONTO HINZUFÜGEN.
- Fügen Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Looker Studio-Dienstkontos ein.
- Wählen Sie die Rolle BigQuery-Datenbetrachter aus.
- Klicken Sie auf SPEICHERN.
So gewähren Sie Zugriff auf ein Dataset:
- Rufen Sie die Dienstkontoliste der Cloud Console auf.
- Kopieren Sie die E-Mail-Adresse Ihres Looker Studio-Dienstkontos.
- Rufen Sie BigQuery auf, öffnen Sie ein Projekt und suchen Sie das Dataset.
- Klicken Sie rechts neben dem Namen des Datasets auf „Aktionen ansehen“ .
- Klicken Sie auf Öffnen.
- Klicken Sie in der Symbolleiste auf FREIGABE > Berechtigungen.
- Klicken Sie im Bereich, der rechts geöffnet wird, auf HAUPTKONTO HINZUFÜGEN.
- Fügen Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Looker Studio-Dienstkontos ein.
- Wählen Sie die Rolle BigQuery-Datenbetrachter aus.
- Klicken Sie auf SPEICHERN.
Schritt 1: Neues Dienstkonto erstellen
Folgen Sie den allgemeinen Schritten auf dem Tab gcloud der Seite Dienstkonten erstellen und verwalten.
- Öffnen Sie die Cloud Shell.
- Wählen Sie bei Bedarf ein Projekt aus.
- Führen Sie den Befehl gcloud iam service-accounts create aus, um das Dienstkonto zu erstellen. Sie können einen Kontonamen, eine Beschreibung und einen Anzeigenamen Ihrer Wahl verwenden.
Beispiel:gcloud iam service-accounts create datastudio_service_account \
--description="Für Looker Studio-Zugriff auf BigQuery verwenden" \
--display-name="DS_BQ"
- Damit das Dienstkonto in dem Google Cloud-Projekt, das Sie mit Looker Studio verwenden möchten, auf BigQuery-Daten zugreifen kann, müssen Sie ihm in diesem Projekt die Berechtigung
bigquery.jobs.create
erteilen. Dazu können Sie die IAM-Rolle BigQuery Job User verwenden.
Gewähren Sie dem Dienstkonto zusätzlich die Berechtigungenbigquery.tables.getData
undbigquery.tables.get
für das Projekt oder Dataset, das Sie mit Looker Studio verwenden möchten. Sie können dazu die Rolle BigQuery-Datenbetrachter (roles/bigquery.dataViewer
) verwenden.
Führen Sie den Befehl gcloud projects add-iam-policy-binding aus, um diese Rollen zuzuweisen. Ersetzen Sie in den folgenden Beispielen PROJEKT_ID durch Ihre Projekt-ID.
Beispiel:gcloud projects add-iam-policy-binding PROJEKT_ID \
--member = "serviceAccount:datastudio_sa@PROJEKT_ID.iam.gserviceaccount.com" \
--role="roles/bigquery.jobUser"gcloud projects add-iam-policy-binding PROJEKT_ID \
--member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" \
--role="roles/bigquery.dataViewer"
Schritt 2: Dem Looker Studio-Dienst-Agent Zugriff auf Ihr Dienstkonto gewähren
Damit der Looker Studio-Dienst-Agent über das Dienstkonto auf Daten zugreifen kann, weisen Sie ihm die Rolle Ersteller von Dienstkonto-Tokens (roles/iam.serviceAccountTokenCreator
) zu. Führen Sie dazu den Befehl gcloud iam service-accounts add-iam-policy-binding aus. Ersetzen Sie im folgenden Beispiel ORG_ID durch die ID Ihrer Organisation.
Beispiel:
Schritt 3: Nutzerrollen zuweisen
Looker Studio-Nutzern, die Datenquellen erstellen oder bearbeiten sollen, muss eine Rolle mit der Berechtigung iam.serviceAccounts.actAs
zugewiesen werden, z. B. die Rolle Dienstkontonutzer (roles/iam.serviceAccountUser
). Sie können diese Rolle für das Projekt oder für ein einzelnes Dienstkonto zuweisen. Wir empfehlen Letzteres. Eine Anleitung finden Sie unter Identitätswechsel für Dienstkonten verwalten.
Führen Sie den Befehl gcloud projects add-iam-policy-binding aus, um die Rolle Dienstkontonutzer zuzuweisen. Ersetzen Sie in den folgenden Beispielen PROJEKT_ID durch Ihre Projekt-ID und nutzer@beispiel.de durch eine oder mehrere gültige E-Mail-Adressen (mehrere Adressen durch Kommas trennen).
Beispiel:
--member="user:nutzer@beispiel.de" \
--role="roles/iam.serviceAccountUser"
Schritt 4: Dienstkonto Zugriff auf BigQuery-Daten gewähren
Damit Looker Studio auf Ihre Daten zugreifen kann, weisen Sie dem Dienstkonto auf Tabellen- oder Dataset-Ebene die Rolle BigQuery-Datenbetrachter zu.
Looker Studio-Dienstkonten für Looker Studio-Nutzer bereitstellen
Looker Studio-Nutzer müssen wissen, welches Dienstkonto sie beim Erstellen von Datenquellen verwenden sollen. In Looker Studio kann keine Liste der verfügbaren Dienstkonten abgerufen werden. Daher sollten Sie diese Informationen in der Dokumentation Ihrer Organisation, auf der internen Website oder per E-Mail zur Verfügung stellen.
Hinweis: Sie müssen Dienstkontoschlüssel nicht manuell verwalten und Nutzer brauchen auch keine Dienstkontoschlüssel aus der Cloud Console herunterzuladen und in Looker Studio hochzuladen. Die Begrenzung von 10 Dienstkontoschlüsseln pro Dienstkonto gilt nicht für Looker Studio.
Datenquelle erstellen, für die Dienstkonto-Anmeldedaten verwendet werden
Wenn Sie Datenquellen erstellen möchten, für die Dienstkonto-Anmeldedaten verwendet werden, können Looker Studio-Nutzer dieselben grundlegenden Schritte wie für andere Arten von Anmeldedaten für den Datenabruf ausführen:
- Erstellen oder bearbeiten Sie eine BigQuery-Datenquelle.
- Klicken Sie in der Symbolleiste auf Anmeldedaten für den Datenabruf.
- Wählen Sie Dienstkonto-Anmeldedaten aus.
- Geben Sie in das Feld Dienstkonto die E-Mail-Adresse des Kontos ein.
- Klicken Sie auf Aktualisieren.
Datenquelle bearbeiten, für die Dienstkonto-Anmeldedaten verwendet werden
Wenn jemand eine Datenquelle bearbeitet, für die Dienstkonto-Anmeldedaten verwendet werden, wird in Looker Studio geprüft, ob er berechtigt ist, das Dienstkonto zu nutzen. Falls nicht, werden für die Datenquelle stattdessen die Anmeldedaten des entsprechenden Nutzers verwendet.
Sehen, wer über das Dienstkonto auf Daten zugreift
Sie können sich dazu in der Cloud Console die Audit-Logs für Dienstkonten ansehen. Das funktioniert jedoch nur, wenn IAM-Audit-Logs für Datenzugriffsaktivitäten aktiviert sind.
Beispielszenario für ein Dienstkonto
Angenommen, Looker Studio-Nutzer in Ihrem Unternehmen sollen nur auf die Daten der Niederlassung ihres Landes zugreifen dürfen. Eine Lösung besteht darin, ein Dienstkonto für jedes Land zu erstellen und nur Looker Studio-Nutzern in diesem Land die Berechtigung zu erteilen, als Dienstkonto zu agieren.
Beispiel für die Einrichtung
In diesem Beispiel erstellen Sie drei Dienstkonten: eines für das Vereinigte Königreich, eines für Frankreich und eines für Deutschland. Anschließend weisen Sie ihnen den Dienst-Agent und alle Nutzer zu, die Datenquellen erstellen dürfen, für die das Dienstkonto als Hauptkonto verwendet wird. Legen Sie außerdem die erforderlichen Rollen fest.
Dienstkonto für das Vereinigte Königreich
service-account-1@example-org-uk-example-project.iam.gserviceaccount.com
Hauptkonten für das Vereinigte Königreich
Hauptkonten | Rollen |
Das ist der Dienst-Agent. |
Ersteller von Dienstkonto-Tokens |
Nutzer 1 | Dienstkontonutzer |
Nutzer 2 | Dienstkontonutzer |
Dienstkonto für Frankreich
service-account-1@example-org-fr-example-project.iam.gserviceaccount.com
Hauptkonten für Frankreich
Hauptkonten | Rollen |
Das ist der Dienst-Agent. |
Ersteller von Dienstkonto-Tokens |
Nutzer 3 | Dienstkontonutzer |
Nutzer 4 | Dienstkontonutzer |
Dienstkonto für Deutschland
service-account-1@example-org-de-example-project.iam.gserviceaccount.com
Hauptkonten für Deutschland
Hauptkonten | Rollen |
Das ist der Dienst-Agent. |
Ersteller von Dienstkonto-Tokens |
Nutzer 5 | Dienstkontonutzer |
Nutzer 6 | Dienstkontonutzer |
service-account-1@example-org-fr-example-project.iam.gserviceaccount.com
existiert, kann er es nicht verwenden, weil er nicht die entsprechenden Berechtigungen hat. Der Dienst-Agent muss einem Dienstkonto hinzugefügt werden, damit es funktioniert. Der Dienst-Agent regelt, wie in Looker Studio das Dienstkonto verwendet wird.Fehler
In diesem Abschnitt werden die Fehler erläutert, die Ersteller und Betrachter von Looker Studio-Datenquellen eventuell sehen, wenn sie versuchen, ein Dienstkonto zu verwenden. In den meisten Fällen haben diese Fehler dieselbe Ursache: falsche oder unvollständige Einrichtung des Dienstkontos.
Fehlermeldungen
|
UrsacheDem Dienst-Agent wurde weder die Rolle Ersteller von Dienstkonto-Tokens noch eine andere Rolle mit der Berechtigung |
LösungWeisen Sie dem Dienst-Agent die Rolle Ersteller von Dienstkonto-Tokens zu. |
FehlermeldungDieses Dienstkonto hat keinen Zugriff auf das zugrunde liegende Dataset. |
UrsacheDem Dienstkonto wurde kein Zugriff auf die Projektdaten gewährt. |
LösungWeisen Sie dem Dienstkonto mindestens die Rolle BigQuery-Datenbetrachter für die zugrunde liegende Tabelle, das Dataset oder das Projekt zu. |
FehlermeldungSie sind nicht zur Nutzung dieses Dienstkontos berechtigt. |
UrsacheDer Nutzer wurde dem Dienstkonto nicht als Hauptkonto mit der Rolle Dienstkontonutzer hinzugefügt. |
LösungWeisen Sie dem Nutzer des Dienstkontos die Rolle Dienstkontonutzer zu. |
Fehlermeldungen
|
UrsacheDer Nutzer versucht, über ein reguläres (privates) Google-Konto auf Daten zuzugreifen, die von einem Dienstkonto verwaltet werden. |
LösungVerwenden Sie ein Google Workspace- oder Cloud Identity-Konto, um auf die Daten zuzugreifen. |
FehlermeldungÜber Dienst-Agents in Looker Studio kann nicht direkt auf Daten zugegriffen werden. Verwenden Sie stattdessen bitte ein Dienstkonto. |
LösungDienst-Agents und Dienstkonten sind unterschiedlich. Geben Sie im Dialogfeld für Anmeldedaten ein Dienstkonto ein. Eine Liste der verfügbaren Dienstkonten finden Sie über die Cloud Console: Cloud Console verwenden
Cloud Shell verwenden
Beispiel:
|
Limits
- Anmeldedaten für Dienstkonten sind derzeit nur für BigQuery-Datenquellen verfügbar.Für Dienstkonten gelten IAM-Limits.
- Es kann einige Minuten dauern, bis Änderungen an Dienstkontoberechtigungen in Looker Studio übernommen werden.