Benachrichtigung

In diesem Artikel geht es um Looker Studio. Die Looker-Dokumentation finden Sie unter https://cloud.google.com/looker/docs/intro.

Google Cloud-Dienstkonto für Looker Studio einrichten

Dienstkonto für den Zugriff auf Daten im Namen von Looker Studio erstellen und konfigurieren
Hinweis: 
  • Dieser Artikel richtet sich an Administratoren von Dienstkonten. Informationen zur Nutzung eines bestehenden Dienstkontos in Ihrer Datenquelle finden Sie unter Anmeldedaten für den Datenabruf.
  • Dienstkonto-Anmeldedaten sind derzeit nur für BigQuery-Datenquellen verfügbar.

Statt den Zugriff über die Anmeldedaten des Inhabers zu delegieren oder für einzelne Nutzer über Anmeldedaten des Betrachters zu gewähren, kann in Looker Studio ein Dienstkonto für den Datenabruf verwendet werden. Ein Dienstkonto ist eine spezielle Art von Google-Konto, das einen nicht menschlichen Nutzer repräsentiert. Es muss authentifiziert und autorisiert werden, um Zugriff auf Daten in Google APIs und Google-Produkten zu erhalten.

Wenn Sie ein Dienstkonto mit Looker Studio verwenden möchten, fügen Sie dem Konto den Looker Studio-Dienst-Agent Ihrer Organisation als Nutzer (Hauptkonto) hinzu. So können Sie steuern, welche Dienstkonten mit Looker Studio verwendet werden dürfen. Gleichzeitig sorgen Sie dafür, dass die Nutzer in Ihrer Organisation problemlos Zugriff auf die benötigten Daten haben.

Ein Dienstkonto anstelle der Anmeldedaten einzelner Nutzer zu verwenden, bietet mehrere Vorteile:

  • Datenquellen, für die Anmeldedaten eines Dienstkontos verwendet werden, funktionieren auch dann weiter, wenn ein Nutzer das Unternehmen verlässt.
  • Mit Dienstkonto-Anmeldedaten können Sie auf Daten hinter VPC Service Controls-Perimetern, für die Geräterichtlinien verwendet werden, zugreifen.
  • Automatisierte Funktionen wie geplante E-Mails und geplante Datenextraktionen funktionieren mit Datenquellen, die sich hinter einem solchen Perimeter befinden.

Weitere Informationen zu Dienstkonten.

Wir empfehlen, neue Dienstkonten zu erstellen, die ausschließlich für Looker Studio verwendet werden. Das können beispielsweise separate Dienstkonten für Marketing-, Vertriebs- und Entwicklerteams sein.
Themen in diesem Artikel

Voraussetzungen

  • Zum Einrichten eines Dienstkontos benötigen Sie die Rolle Dienstkontoadministrator (roles/iam.serviceAccountAdmin) oder Dienstkonten erstellen (roles/iam.serviceAccountCreator) für Ihr Google Cloud-Projekt. Weitere Informationen
  • Nur Workspace- oder Cloud Identity-Nutzer können den Looker Studio-Dienst-Agent abrufen.

Anleitung zur Einrichtung

Sie müssen die Schritte in diesem Artikel nur einmal ausführen, es sei denn, Sie möchten separate Dienstkonten für verschiedene Teams oder Nutzergruppen erstellen. In diesem Fall wiederholen Sie diese Schritte für jedes zusätzliche Konto.

Looker Studio-Dienst-Agent abrufen

Damit das Dienstkonto auf Ihre Daten zugreifen kann, müssen Sie den Looker Studio-Dienst-Agent für Ihre Organisation bereitstellen. Sie können ihn in Looker Studio über eine Hilfeseite abrufen:

  1. Rufen Sie die Hilfeseite für den Looker Studio-Dienst-Agent auf.
  2. Kopieren Sie die E-Mail-Adresse des Dienst-Agents, die auf dieser Seite angezeigt wird.

Beispiel für die Hilfeseite des Looker Studio-Dienst-Agents mit den Feldern „Organisation“ und „Dienst-Agent“. Beim Klicken auf das Hilfesymbol werden weitere Informationen angezeigt. Über den Hyperlink „Dienstkonto“ gelangen Sie zur Konfigurationsseite der Cloud Console. Wenn Sie auf „Anleitung“ klicken, wird die Hilfe aufgerufen.

Dienstkonto für Looker Studio erstellen

Eine Anleitung zum Erstellen eines Dienstkontos finden Sie in der Google Cloud IAM-Dokumentation. Sie können das Dienstkonto entweder über die Cloud Console oder die Cloud Shell-Befehlszeile erstellen.

Cloud Console verwenden

Schritt 1: Neues Dienstkonto erstellen

  1. Rufen Sie in der Cloud Console die Seite Dienstkonto erstellen auf.

    Zur Seite „Dienstkonto erstellen“

  2. Wählen Sie ein Projekt aus.

  3. Geben Sie einen Namen für das Dienstkonto ein. Er wird in der Cloud Console angezeigt.

    Anhand dieses Namens wird in der Cloud Console eine Dienstkonto-ID erstellt. Bei Bedarf können Sie die ID jetzt ändern. Später ist das nicht mehr möglich.

  4. Optional: Geben Sie eine Beschreibung für das Dienstkonto ein.

  5. Klicken Sie auf ERSTELLEN UND FORTFAHREN.
    Beispiel für die Seite „Dienstkonto erstellen“ der Google Cloud Platform (Schritt 1: „Dienstkontodetails“). Das Feld „Name des Dienstkontos“ enthält „Looker Studio-Dienstkonto“. Die Dienstkonto-ID ist „looker-studio-service-accoun-309“. Im Feld „Beschreibung des Dienstkontos“ steht „Dienstkonto für Looker Studio-Nutzer“. Die Schaltfläche „ERSTELLEN UND FORTFAHREN“ hat den Fokus.

  6. In Schritt 2 (Diesem Dienstkonto Zugriff auf das Projekt erteilen) weisen Sie dem Dienstkonto die IAM-Rolle BigQuery-Jobnutzer zu.
    Dem Dienstkonto Zugriff auf ein Projekt gewähren. In diesem Beispiel hat der Nutzer „BigQuery-Job“ in das Filterfeld eingegeben und die Rolle „BigQuery-Jobnutzer“ ausgewählt.
  7. Klicken Sie auf Weiter.
  8. Fügen Sie im Feld Rolle „Dienstkontonutzer“ die Nutzer hinzu, die dieses Dienstkonto verwenden dürfen, um Anmeldedaten für ihre Datenquellen einzugeben. Sie können die Nutzer auch später hinzufügen. Folgen Sie dazu der Anleitung unter Schritt 3: Nutzerrollen zuweisen.
  9. Klicken Sie auf FERTIG, um das Dienstkonto zu speichern und zur Liste der Dienstkonten für Ihr Projekt zurückzukehren.

Schritt 2: Dem Looker Studio-Dienst-Agent Zugriff auf Ihr Dienstkonto gewähren

  1. Kehren Sie zur Dienstkontoliste der Cloud Console zurück.
  2. Wählen Sie das soeben erstellte Looker Studio-Dienstkonto aus, indem Sie in der Liste darauf klicken.
  3. Klicken Sie oben auf BERECHTIGUNGEN.
  4. Klicken Sie auf Freigabesymbol ZUGRIFF GEWÄHREN.
  5. Fügen Sie rechts im Feld Hauptkonten zu <Projekt> hinzufügen die E-Mail-Adresse des Looker Studio-Dienst-Agents, die Sie in Schritt 1 kopiert haben, in das Feld Neue Hauptkonten ein.
  6. Wählen Sie eine Rolle aus, die dem Dienst-Agent die Berechtigung iam.serviceAccount.getAccessToken gewährt. Das kann z. B. die Rolle Ersteller von Dienstkonto-Tokens oder eine beliebige andere benutzerdefinierte Rolle mit dieser Berechtigung sein.
  7. Klicken Sie auf SPEICHERN.
Tipp: Die Adresse des Dienst-Agents hat das Format service-account@<Projekt-ID>.iam.gserviceaccount.com. Wenn Sie Ihre Projekt-ID kennen, können Sie die Adresse auch manuell eingeben.

Beispiel für das Hinzufügen des Looker Studio-Dienst-Agents als Hauptkonto für das Dienstkonto. Der Looker Studio-Dienst-Agent wurde als neues Hauptkonto hinzugefügt. Die Rolle „Ersteller von Dienstkonto-Tokens“ wurde zugewiesen.

Schritt 3: Nutzerrollen zuweisen

Hinweis: Dieser Schritt ist optional, wenn Sie beim Erstellen des Dienstkontos bereits wie in Schritt 1 beschrieben Looker Studio-Nutzer hinzugefügt haben.

Looker Studio-Nutzern, die Datenquellen erstellen oder bearbeiten sollen, muss eine Rolle mit der Berechtigung iam.serviceAccounts.actAs zugewiesen werden, z. B. die Rolle Dienstkontonutzer (roles/iam.serviceAccountUser). Sie können diese Rolle für das Projekt oder für ein einzelnes Dienstkonto zuweisen. Wir empfehlen Letzteres. Eine Anleitung finden Sie unter Identitätswechsel für Dienstkonten verwalten.

Tipp: Sie können diesen Schritt auch später ausführen.
Tipp: Wir empfehlen, Nutzern, für die kein Dienst-Agent verwendet wird, NICHT die Rolle Ersteller von Dienstkonto-Tokens zuzuweisen. Sie ist für Looker Studio nicht erforderlich.
Hinweis: Nutzer, die nur Looker Studio-Berichte aufrufen, benötigen keine Berechtigungen für das Dienstkonto.
  1. Rufen Sie die Dienstkontoliste der Cloud Console auf.
  2. Wählen Sie das Looker Studio-Dienstkonto aus, indem Sie in der Liste darauf klicken.
  3. Klicken Sie oben auf der Seite auf BERECHTIGUNGEN.
  4. Klicken Sie auf Freigabesymbol ZUGRIFF GEWÄHREN.
  5. Geben Sie rechts unter Hauptkonten und Rollen zu <Dienstkonto> hinzufügen die E-Mail-Adressen Ihrer Nutzer in das Feld Neue Hauptkonten ein.
  6. Wählen Sie die Rolle Dienstkontonutzer aus.
  7. Klicken Sie auf SPEICHERN.

In diesem Beispiel wird ein Nutzer dem Dienstkonto als Hauptkonto hinzugefügt. Dabei wird ihm die Rolle „Dienstkontonutzer“ zugewiesen.

Schritt 4: Dienstkonto Zugriff auf BigQuery-Daten gewähren

Damit Looker Studio auf Ihre Daten zugreifen kann, weisen Sie dem Dienstkonto auf Tabellen- oder Dataset-Ebene die Rolle BigQuery-Datenbetrachter zu.

Hinweis: Wir raten davon ab, dem Dienstkonto Zugriff auf Projektebene zu gewähren.

So gewähren Sie Zugriff auf eine Tabelle:

  1. Rufen Sie die Dienstkontoliste der Cloud Console auf.
  2. Kopieren Sie die E-Mail-Adresse des Looker Studio-Dienstkontos.
  3. Rufen Sie BigQuery auf und öffnen Sie ein Projekt.
  4. Maximieren Sie ein Dataset, indem Sie auf klicken.
  5. Wählen Sie eine Tabelle aus.
  6. Klicken Sie in der Symbolleiste auf FreigabesymbolFREIGEBEN.
  7. Klicken Sie im Bereich, der rechts geöffnet wird, auf Freigabesymbol HAUPTKONTO HINZUFÜGEN.
  8. Fügen Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Looker Studio-Dienstkontos ein.
  9. Wählen Sie die Rolle BigQuery-Datenbetrachter aus.
  10. Klicken Sie auf SPEICHERN.

So gewähren Sie Zugriff auf ein Dataset:

  1. Rufen Sie die Dienstkontoliste der Cloud Console auf.
  2. Kopieren Sie die E-Mail-Adresse Ihres Looker Studio-Dienstkontos.
  3. Rufen Sie BigQuery auf, öffnen Sie ein Projekt und suchen Sie das Dataset.
  4. Klicken Sie rechts neben dem Namen des Datasets auf „Aktionen ansehen“ Symbol für „Weitere Optionen“.
  5. Klicken Sie auf Öffnen.
  6. Klicken Sie in der Symbolleiste auf FreigabesymbolFREIGABE > Berechtigungen.
  7. Klicken Sie im Bereich, der rechts geöffnet wird, auf Freigabesymbol HAUPTKONTO HINZUFÜGEN.
  8. Fügen Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Looker Studio-Dienstkontos ein.
  9. Wählen Sie die Rolle BigQuery-Datenbetrachter aus.
  10. Klicken Sie auf SPEICHERN.
Cloud Shell verwenden

Schritt 1: Neues Dienstkonto erstellen

Folgen Sie den allgemeinen Schritten auf dem Tab gcloud der Seite Dienstkonten erstellen und verwalten.

  1. Öffnen Sie die Cloud Shell.
  2. Wählen Sie bei Bedarf ein Projekt aus.
  3. Führen Sie den Befehl gcloud iam service-accounts create aus, um das Dienstkonto zu erstellen. Sie können einen Kontonamen, eine Beschreibung und einen Anzeigenamen Ihrer Wahl verwenden.


    Beispiel:

    gcloud iam service-accounts create datastudio_service_account \
    --description="Für Looker Studio-Zugriff auf BigQuery verwenden" \
    --display-name="DS_BQ"
  1. Damit das Dienstkonto auf BigQuery-Daten des GCP-Projekts zugreifen kann, das Sie mit Looker Studio verwenden möchten, müssen Sie ihm die Berechtigung bigquery.jobs.create gewähren. Dazu können Sie die IAM-Rolle BigQuery-Jobnutzer verwenden.

    Gewähren Sie dem Dienstkonto zusätzlich die Berechtigungen bigquery.tables.getData und bigquery.tables.get für das Projekt oder Dataset, das Sie mit Looker Studio verwenden möchten. Sie können dazu die Rolle BigQuery-Datenbetrachter (roles/bigquery.dataViewer) verwenden.

    Führen Sie den Befehl gcloud projects add-iam-policy-binding aus, um diese Rollen zuzuweisen. Ersetzen Sie in den folgenden Beispielen PROJEKT_ID durch Ihre Projekt-ID.

    Beispiel:
    gcloud projects add-iam-policy-binding PROJEKT_ID \
    --member = "serviceAccount:datastudio_sa@PROJEKT_ID.iam.gserviceaccount.com" \
    --role="roles/bigquery.jobUser"
     
    gcloud projects add-iam-policy-binding PROJEKT_ID \
    --member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/bigquery.dataViewer"

Schritt 2: Dem Looker Studio-Dienst-Agent Zugriff auf Ihr Dienstkonto gewähren

Damit der Looker Studio-Dienst-Agent über das Dienstkonto auf Daten zugreifen kann, weisen Sie ihm die Rolle Ersteller von Dienstkonto-Tokens (roles/iam.serviceAccountTokenCreator) zu. Führen Sie dazu den Befehl gcloud iam service-accounts add-iam-policy-binding aus. Ersetzen Sie im folgenden Beispiel ORG_ID durch die ID Ihrer Organisation.

Beispiel:

gcloud iam service-accounts add-iam-policy-binding \ datastudio_service_account@PROJEKT_ID.iam.gserviceaccount.com \ --member="service-ORG_ID@gcp-sa-datastudio.iam.gserviceaccount.com" \ --role="roles/iam.serviceAccountTokenCreator"

Schritt 3: Nutzerrollen zuweisen

Looker Studio-Nutzern, die Datenquellen erstellen oder bearbeiten sollen, muss eine Rolle mit der Berechtigung iam.serviceAccounts.actAs zugewiesen werden, z. B. die Rolle Dienstkontonutzer (roles/iam.serviceAccountUser). Sie können diese Rolle für das Projekt oder für ein einzelnes Dienstkonto zuweisen. Wir empfehlen Letzteres. Eine Anleitung finden Sie unter Identitätswechsel für Dienstkonten verwalten.

Wenn Sie diesen Schritt noch nicht ausführen können, ist das auch später möglich.
Tipp: Wir empfehlen, Nutzern, für die kein Dienst-Agent verwendet wird, NICHT die Rolle Ersteller von Dienstkonto-Tokens zuzuweisen. Sie ist für Looker Studio nicht erforderlich.
Hinweis: Nutzer, die nur Looker Studio-Berichte aufrufen, benötigen keine Berechtigungen für das Dienstkonto.

Führen Sie den Befehl gcloud projects add-iam-policy-binding aus, um die Rolle Dienstkontonutzer zuzuweisen. Ersetzen Sie in den folgenden Beispielen PROJEKT_ID durch Ihre Projekt-ID und nutzer@beispiel.de durch eine oder mehrere gültige E-Mail-Adressen (mehrere Adressen durch Kommas trennen).

Beispiel:

gcloud iam service-accounts add-iam-policy-binding \ datastudio_service_account@PROJEKT_ID.iam.gserviceaccount.com
--member="user:nutzer@beispiel.de" \
--role="roles/iam.serviceAccountUser"

Schritt 4: Dienstkonto Zugriff auf BigQuery-Daten gewähren

Damit Looker Studio auf Ihre Daten zugreifen kann, weisen Sie dem Dienstkonto auf Tabellen- oder Dataset-Ebene die Rolle BigQuery-Datenbetrachter zu.

Am einfachsten geht das über die Cloud Console (siehe Anleitung in Schritt 4 oben). Falls Sie stattdessen das bq-Befehlszeilentool verwenden möchten, folgen Sie der entsprechenden Anleitung unter Zugriff auf ein Dataset gewähren.

Looker Studio-Dienstkonten für Looker Studio-Nutzer bereitstellen

Looker Studio-Nutzer müssen wissen, welches Dienstkonto sie beim Erstellen von Datenquellen verwenden sollen. In Looker Studio kann keine Liste der verfügbaren Dienstkonten abgerufen werden. Daher sollten Sie diese Informationen in der Dokumentation Ihrer Organisation, auf der internen Website oder per E-Mail zur Verfügung stellen.

Hinweis: Sie müssen Dienstkontoschlüssel nicht manuell verwalten und Nutzer brauchen auch keine Dienstkontoschlüssel aus der Cloud Console herunterzuladen und in Looker Studio hochzuladen. Die Begrenzung von 10 Dienstkontoschlüsseln pro Dienstkonto gilt nicht für Looker Studio.

 

Datenquelle bearbeiten, für die Dienstkonto-Anmeldedaten verwendet werden

Wenn jemand eine Datenquelle bearbeitet, für die Dienstkonto-Anmeldedaten verwendet werden, wird in Looker Studio geprüft, ob er berechtigt ist, das Dienstkonto zu nutzen. Falls nicht, werden für die Datenquelle stattdessen die Anmeldedaten des entsprechenden Nutzers verwendet.

Sehen, wer über das Dienstkonto auf Daten zugreift

Sie können sich dazu in der Cloud Console die Audit-Logs für Dienstkonten ansehen. Das funktioniert jedoch nur, wenn IAM-Audit-Logs für Datenzugriffsaktivitäten aktiviert sind.

Fehler

In diesem Abschnitt werden die Fehler erläutert, die Ersteller und Betrachter von Looker Studio-Datenquellen eventuell sehen, wenn sie versuchen, ein Dienstkonto zu verwenden. In den meisten Fällen haben diese Fehler dieselbe Ursache: falsche oder unvollständige Einrichtung des Dienstkontos.

Dienst-Agent-Rolle fehlt

Fehlermeldungen

  • Der Dienst-Agent von Looker Studio hat nicht die Berechtigung iam.serviceAccount.getAccessToken für dieses Dienstkonto.
  • Bei dem vom Dienstkonto dieser Datenquelle verwendeten Dienst-Agent fehlt die Rolle „Ersteller von Dienstkonto-Tokens“.

Ursache

Dem Dienst-Agent wurde weder die Rolle Ersteller von Dienstkonto-Tokens noch eine andere Rolle mit der Berechtigung iam.serviceAccount.getAccessToken zugewiesen.

Lösung

Weisen Sie dem Dienstkonto die Rolle Ersteller von Dienstkonto-Tokens zu.

Kein Zugriff auf die Daten

Fehlermeldung

Dieses Dienstkonto hat keinen Zugriff auf das zugrunde liegende Dataset.

Ursache

Dem Dienstkonto wurde kein Zugriff auf die Projektdaten gewährt.

Lösung

Weisen Sie dem Dienstkonto mindestens die Rolle BigQuery-Datenbetrachter für die zugrunde liegende Tabelle, das Dataset oder das Projekt zu.

Nutzerrolle fehlt

Fehlermeldung

Sie sind nicht zur Nutzung dieses Dienstkontos berechtigt.

Ursache

Der Nutzer wurde dem Dienstkonto nicht als Hauptkonto mit der Rolle Dienstkontonutzer hinzugefügt.

Lösung

Weisen Sie dem Nutzer des Dienstkontos die Rolle Dienstkontonutzer zu.

Dienst-Agent für Konto nicht verfügbar

Fehlermeldungen

  • Für dieses Konto können keine Dienst-Agents erstellt werden. Versuchen Sie es noch einmal mit einem Google Workspace- oder einem verwalteten Cloud Identity-Konto.
  • Anmeldedaten für Dienst-Agents sind nur für Google Workspace- oder verwaltete Cloud Identity-Organisationen verfügbar. Verwenden Sie ein anderes Konto, wenn Sie diese Funktion nutzen möchten.

Ursache

Der Nutzer versucht, über ein reguläres (privates) Google-Konto auf Daten zuzugreifen, die von einem Dienstkonto verwaltet werden.

Lösung

Verwenden Sie ein Google Workspace- oder Cloud Identity-Konto, um auf die Daten zuzugreifen.

Dienst-Agent kann im Dialogfeld für Anmeldedaten nicht verwendet werden

Fehlermeldung

Über Dienst-Agents in Looker Studio kann nicht direkt auf Daten zugegriffen werden. Verwenden Sie stattdessen bitte ein Dienstkonto.

Lösung

Dienst-Agents und Dienstkonten sind unterschiedlich. Geben Sie im Dialogfeld für Anmeldedaten ein Dienstkonto ein. Eine Liste der verfügbaren Dienstkonten finden Sie über die Cloud Console:

Cloud Console verwenden

  1. Rufen Sie die Seite Google Cloud Platform > IAM und Verwaltung > Dienstkonten auf.
  2. Wählen Sie bei Bedarf ein Projekt aus.
  3. Suchen Sie auf der Seite Dienstkonten für Projekt das Dienstkonto, das in Looker Studio für den Zugriff auf Ihre BigQuery-Daten verwendet werden soll.
  4. Kopieren Sie die E-Mail-Adresse für dieses Konto.

Cloud Shell verwenden

  1. Cloud Shell öffnen.
  2. Wählen Sie bei Bedarf ein Projekt aus.
  3. Wenn Sie die Dienstkonten auflisten möchten, auf die Sie Zugriff haben, führen Sie den Befehl gcloud iam service-accounts list aus.

Beispiel:

gcloud iam service-accounts list

Limits

  • Anmeldedaten für Dienstkonten sind derzeit nur für BigQuery-Datenquellen verfügbar.Für Dienstkonten gelten IAM-Limits.
  • Es kann einige Minuten dauern, bis Änderungen an Dienstkontoberechtigungen in Looker Studio übernommen werden.

Weitere Informationen

War das hilfreich?

Wie können wir die Seite verbessern?
true
Neue Funktionen in Looker Studio

Erfahren Sie mehr über neue Funktionen und die letzten Änderungen. Die Versionshinweise für Looker Studio finden Sie auf Google Cloud.

Suche
Suche löschen
Suche schließen
Hauptmenü
14109022432520861709
true
Suchen in der Hilfe
true
true
true
true
true
102097
false
false