Configurar una cuenta de servicio de Google Cloud para Looker Studio

Crea y configura una cuenta de servicio para acceder a los datos en nombre de Looker Studio

Nota:

Este artículo está dirigido a administradores de cuentas de servicio. Para obtener información sobre cómo usar en tu fuente de datos una cuenta de servicio ya creada, consulta Credenciales de acceso a datos.
En la actualidad, las credenciales de cuenta de servicio solo están disponibles para las fuentes de datos de BigQuery.

En lugar de delegar el acceso mediante credenciales de propietario, o requerir que cada uno de los lectores de los informes acceda a los datos mediante credenciales de lector, Looker Studio puede usar una cuenta de servicio para acceder a ellos. Una cuenta de servicio es un tipo especial de cuenta de Google ideada para representar a un usuario que no es humano y que puede autenticarse y obtener autorización para acceder a los datos de las APIs y los productos de Google.

Para usar una cuenta de servicio con Looker Studio, debes añadir el agente de servicio de Looker Studio de tu organización como un usuario (principal) de la cuenta. De este modo, podrás controlar qué cuentas de servicio pueden usarse con Looker Studio y asegurarte de que los usuarios de tu organización puedan acceder fácilmente a los datos que necesiten.

Usar una cuenta de servicio en lugar de las credenciales de un usuario concreto proporciona estas ventajas:

Las fuentes de datos que usan credenciales de cuenta de servicio no dejarán de funcionar si su creador deja la empresa.
Las credenciales de cuenta de servicio permiten acceder a los datos que se encuentren dentro de aquellos perímetros de Controles de Servicio de VPC que usen políticas de dispositivos.
Algunas funciones automatizadas, como los correos programados y los fragmentos de datos programados, funcionarán con fuentes de datos que se encuentren dentro de un perímetro de Controles de Servicio de VPC.

Más información sobre las cuentas de servicio

Te recomendamos que crees cuentas de servicio que solo se utilicen con Looker Studio. Por ejemplo, puedes crear cuentas de servicio independientes para los equipos de Marketing, Ventas e Ingeniería, de forma que cada uno de ellos pueda usar la suya con Looker Studio.

Secciones de este artículo:

Antes de empezar
Instrucciones de configuración
Proporcionar las cuentas de servicio de Looker Studio a tus usuarios de Looker Studio
Editar una fuente de datos que usa credenciales de cuentas de servicio
Ver quién está usando la cuenta de servicio para acceder a los datos
Errores
Límites
Recursos relacionados

Antes de empezar

Para configurar una cuenta de servicio, debes tener el rol Administrador de cuentas de servicio (roles/iam.serviceAccountAdmin) o Crear cuentas de servicio (roles/iam.serviceAccountCreator) en tu proyecto de Google Cloud. Más información sobre los roles de las cuentas de servicio
Para obtener el agente de servicio de Looker Studio, debes ser usuario de Workspace o de Cloud Identity.

Instrucciones de configuración

Solo tienes que seguir las instrucciones de este artículo una vez, a menos que quieras crear distintas cuentas de servicio para diferentes equipos o grupos de usuarios. Para crear varias cuentas, repite estas instrucciones con cada una de ellas.

Obtener el agente de servicio de Looker Studio

Para permitir que la cuenta de servicio acceda a tus datos, debes proporcionar el agente de servicio de Looker Studio de tu organización. Puedes obtener este agente a través de una página de ayuda de Looker Studio:

Ve a la página de ayuda del agente de servicio de Looker Studio.
Copia la dirección de correo del agente de servicio que se muestra en esa página.

Ejemplo de la página de ayuda del agente de servicio de Looker Studio, en la que se muestran la organización y el agente de servicio. Un icono de ayuda muestra una explicación más detallada. El hiperenlace de la cuenta de servicio te lleva a la página de configuración de la consola de Cloud. La página que te indica que hagas clic para obtener instrucciones te lleva al Centro de Ayuda.

Crear una cuenta de servicio para Looker Studio

Puedes consultar las instrucciones para crear una cuenta de servicio en la documentación de Google Cloud IAM. Para crear una cuenta de este tipo, puedes usar la consola de Cloud o la línea de comandos de Cloud Shell.

Usar la consola de Cloud

Paso 1: Crea una cuenta de servicio

En la consola de Cloud, ve a la página Crear cuenta de servicio.

Ir a Crear cuenta de servicio
Selecciona un proyecto.
Escribe el nombre de la cuenta de servicio, que será el que se muestre en la consola de Cloud.

La consola de Cloud genera un ID de cuenta de servicio basado en este nombre. Cambia el ID en este momento del proceso si fuera necesario. No podrás cambiarlo más adelante.
Opcional: Escribe la descripción de la cuenta de servicio.
Haz clic en CREAR Y CONTINUAR.
En el paso 2, que consiste en conceder a esta cuenta de servicio acceso al proyecto, asigna a la cuenta de servicio el rol de gestión de identidades y accesos Usuario de tareas de BigQuery.
Haz clic en Continuar.
En el campo Rol de usuarios de la cuenta de servicio, añade los usuarios que pueden usar esta cuenta para proporcionar las credenciales de sus fuentes de datos. Si no es el mejor momento para añadirlos, puedes hacerlo más tarde siguiendo las instrucciones del Paso 3: Asigna roles de usuario, que se indica más abajo.
Haz clic en HECHO para guardar la cuenta de servicio y volver a la página donde se muestra la lista de cuentas de servicio de tu proyecto.

Paso 2: Permite que el agente de servicio de Looker Studio acceda a tu cuenta de servicio

Vuelve a la lista de cuentas de servicio de la consola de Cloud.
Para seleccionar la cuenta de servicio de Looker Studio que acabas de crear, haz clic en ella.
En la parte superior, haz clic en PERMISOS.
Haz clic en DAR ACCESO .
En la parte derecha, en Añadir principales a <proyecto>, pega en el cuadro Principales nuevas el correo del agente de servicio de Looker Studio que has copiado en el paso 1 de este artículo.
Selecciona un rol que conceda al agente de servicio el permiso iam.serviceAccount.getAccessToken. Por ejemplo, puedes usar el rol Creador de tokens de cuenta de servicio, pero también puedes usar cualquier rol personalizado que conceda este permiso.
Haz clic en GUARDAR.

Nota: La dirección de tu agente de servicio tiene el formato service-account@<id_de_proyecto>.iam.gserviceaccount.com. Si conoces el ID de tu proyecto, puedes crear la dirección manualmente.

Ejemplo de cómo añadir el agente de servicio de Looker Studio como principal en la cuenta de servicio. El agente de servicio de Looker Studio se añade como un nuevo principal. Se asigna el rol Creador de tokens de cuenta de servicio.

Paso 3: Asigna roles de usuario

Nota: Este paso es opcional si ya has añadido usuarios de Looker Studio al crear la cuenta de servicio, tal como se describe en el paso 1 de este artículo.

Los usuarios de Looker Studio que vayan a crear o a editar fuentes de datos deben tener un rol que incluya el permiso iam.serviceAccounts.actAs, como el rol Usuario de cuenta de servicio (roles/iam.serviceAccountUser). Puedes asignar este rol en el proyecto o en una cuenta de servicio concreta, pero te recomendamos que lo asignes solo en la cuenta de servicio. Para ver instrucciones al respecto, consulta el artículo sobre cómo gestionar la suplantación de identidad en cuentas de servicio.

Nota: Si no es el mejor momento para completar este paso, puedes volver a él más tarde.

Consejo: Te recomendamos que NO asignes el rol Creador de tokens de cuenta de servicio a los usuarios que no sean agentes de servicio, ya que no es necesario para usar Looker Studio.

Nota: Los usuarios que solo vayan a consultar informes de Looker Studio no necesitan tener permisos en la cuenta de servicio.

Ve a la lista de cuentas de servicio de la consola de Cloud.
En la lista, selecciona tu cuenta de servicio de Looker Studio haciendo clic en ella.
En la parte superior de la página, haz clic en PERMISOS.
Haz clic en DAR ACCESO .
En la parte derecha, en Añadir principales y roles a <cuenta de servicio>, escribe las direcciones de correo de tus usuarios en el cuadro Principales nuevas.
Selecciona el rol Usuario de cuenta de servicio.
Haz clic en GUARDAR.

Ejemplo de cómo añadir un usuario como principal en la cuenta de servicio, lo que le concede el rol Usuario de cuenta de servicio.

Paso 4: Habilita la cuenta de servicio para que pueda acceder a tus datos de BigQuery

Para permitir que Looker Studio acceda a tus datos, asigna el rol Lector de datos de BigQuery a la cuenta de servicio a nivel de tabla o de conjunto de datos.

Nota: No recomendamos dar acceso a la cuenta de servicio a nivel de proyecto.

Para dar acceso a una tabla, sigue estos pasos:

Ve a la lista de cuentas de servicio de la consola de Cloud.
Copia la dirección de correo de la cuenta de servicio de Looker Studio.
Ve a BigQuery y abre un proyecto.
Para desplegar un conjunto de datos, haz clic en .
Selecciona una tabla.
En la barra de herramientas, haz clic en COMPARTIR .
En el panel que se abre a la derecha, haz clic en AÑADIR PRINCIPAL .
En el cuadro Principales nuevas, pega la dirección de correo de la cuenta de servicio de Looker Studio.
Selecciona el rol Lector de datos de BigQuery.
Haz clic en GUARDAR.

Para dar acceso a un conjunto de datos, sigue estos pasos:

Ve a la lista de cuentas de servicio de la consola de Cloud.
Copia la dirección de correo de tu cuenta de servicio de Looker Studio.
Ve a BigQuery, abre un proyecto y busca el conjunto de datos.
A la derecha del nombre del conjunto de datos, haz clic en Ver acciones .
Haz clic en Abrir.
En la barra de herramientas, haz clic en COMPARTIR > Permisos.
En el panel que se abre a la derecha, haz clic en AÑADIR PRINCIPAL .
En el cuadro Principales nuevas, pega la dirección de correo de la cuenta de servicio de Looker Studio.
Selecciona el rol Lector de datos de BigQuery.
Haz clic en GUARDAR.

Usar Cloud Shell

Paso 1: Crea una cuenta de servicio

Sigue los pasos generales que se indican en la pestaña gcloud del artículo sobre cómo crear y gestionar cuentas de servicio.

Abre Cloud Shell.
Selecciona un proyecto si es necesario.
Para crear la cuenta de servicio, ejecuta el comando gcloud iam service-accounts create. Puedes usar el nombre, la descripción y el nombre visible que quieras para identificar la cuenta.

Ejemplo:

gcloud iam service-accounts create datastudio_service_account \ --description="Usa esta cuenta para acceder a BigQuery con Looker Studio" \ --display-name="DS_BQ".

Para acceder a los datos de BigQuery en el proyecto de Google Cloud Platform (GCP) que quieras usar con Looker Studio, concede el permiso bigquery.jobs.create a la cuenta de servicio. Para dar este permiso, puedes asignar el rol de gestión de identidades y accesos Usuario de tareas de BigQuery.

Concede también a la cuenta de servicio los permisos bigquery.tables.getData y bigquery.tables.get en el proyecto o en el conjunto de datos que quieras usar con Looker Studio. Para dar estos permisos, puedes asignar el rol Lector de datos de BigQuery (roles/bigquery.dataViewer).

Para asignar estos roles, ejecuta el comando gcloud projects add-iam-policy-binding. En los ejemplos siguientes, sustituye ID_PROYECTO por el ID de tu proyecto.

Ejemplo:

gcloud projects add-iam-policy-binding ID_PROYECTO \ --member = "serviceAccount:datastudio_sa@ID_PROYECTO.iam.gserviceaccount.com" \ --role="roles/bigquery.jobUser"

gcloud projects add-iam-policy-binding ID_PROYECTO \

--member = "serviceAccount:datastudio_sa@ID_PROYECTO.iam.gserviceaccount.com" \ --role="roles/bigquery.dataViewer"

Paso 2: Permite que el agente de servicio de Looker Studio acceda a tu cuenta de servicio

Para permitir que el agente de servicio de Looker Studio acceda a los datos mediante la cuenta de servicio, asigna el rol Creador de tokens de cuenta de servicio (roles/iam.serviceAccountTokenCreator) al agente de servicio. Para ello, ejecuta el comando gcloud iam service-accounts add-iam-policy-binding. En el ejemplo siguiente, sustituye ID_ORG por el ID de tu organización.

Ejemplo:

gcloud iam service-accounts add-iam-policy-binding \ datastudio_service_account@ID_PROYECTO.iam.gserviceaccount.com \ --member="service-ID_ORG@gcp-sa-datastudio.iam.gserviceaccount.com" \ --role=" roles/iam.serviceAccountTokenCreator"

Paso 3: Asigna roles de usuario

Si no es el mejor momento para completar este paso, puedes volver a él más tarde.

Consejo: Te recomendamos que NO asignes el rol Creador de tokens de cuenta de servicio a los usuarios que no sean agentes de servicio, ya que no es necesario para usar Looker Studio.

Nota: Los usuarios que solo vayan a consultar informes de Looker Studio no necesitan tener permisos en la cuenta de servicio.

Para asignar el rol Usuario de cuenta de servicio, ejecuta el comando gcloud projects add-iam-policy-binding. En los ejemplos siguientes, sustituye ID_PROYECTO por el ID de tu proyecto y usuario@example.com por una o varias direcciones de correo electrónico válidas separadas por comas.

Ejemplo:

gcloud iam service-accounts add-iam-policy-binding \ datastudio_service_account@ID_PROYECTO.iam.gserviceaccount.com \
--member="usuario:usuario@example.com" \
-role="roles/iam.serviceAccountUser"

Paso 4: Habilita la cuenta de servicio para que pueda acceder a tus datos de BigQuery

Para permitir que Looker Studio acceda a tus datos, asigna el rol Lector de datos de BigQuery a la cuenta de servicio a nivel de tabla o de conjunto de datos.

Este procedimiento es más fácil si sigues las instrucciones de la consola de Cloud, tal como se indica en el paso 4 de este artículo. Para dar acceso a los datos con la herramienta de línea de comandos bq, consulta el artículo sobre cómo controlar el acceso a los conjuntos de datos.

Proporcionar las cuentas de servicio de Looker Studio a tus usuarios de Looker Studio

Los usuarios de Looker Studio necesitarán saber qué cuenta de servicio usar al crear fuentes de datos. Como en Looker Studio no se puede ver la lista de cuentas de servicio disponibles, debes proporcionarles esta información en la documentación o en el sitio web interno de tu organización, o bien por correo electrónico.

Nota: No tienes que gestionar las claves de las cuentas de servicio de forma manual, ni tampoco descargarlas de la consola de Cloud para subirlas a Looker Studio. El límite de 10 claves por cuenta de servicio no se aplica en Looker Studio.

Editar una fuente de datos que usa credenciales de cuentas de servicio

Cuando un usuario edita una fuente de datos que usa credenciales de cuenta de servicio, Looker Studio comprueba si ese usuario tiene permiso para utilizar esa cuenta de servicio. Si no es así, la fuente de datos pasa a usar las credenciales de ese usuario.

Ver quién está usando la cuenta de servicio para acceder a los datos

Puedes consultar los registros de auditoría de las cuentas de servicio en la consola de Cloud. Si quieres recibir registros de auditoría de las cuentas de servicio, debes habilitar los registros de auditoría de gestión de identidades y accesos para que recojan la actividad de acceso a los datos.

Errores

En esta sección se explican los errores que los creadores de fuentes de datos y los lectores de informes de Looker Studio pueden recibir al intentar usar una cuenta de servicio. En la mayoría de los casos, estos errores tienen la misma causa: la configuración de la cuenta de servicio no es correcta o no está completa.

Falta el rol del agente de servicio

Mensajes

El agente de servicio de Looker Studio no tiene el permiso iam.serviceAccount.getAccessToken para acceder a este servicio.
El agente de servicio que se utiliza en la cuenta de servicio de esta fuente de datos no tiene el rol "Creador de tokens de cuenta de servicio".

Causa

El agente de servicio no tiene el rol Creador de tokens de cuenta de servicio (u otro rol que incluya el permiso iam.serviceAccount.getAccessToken).

Solución

Asigna el rol Creador de tokens de cuenta de servicio a la cuenta de servicio.

No se puede acceder a los datos

Mensaje

Esta cuenta de servicio no puede acceder al conjunto de datos subyacente.

Causa

La cuenta de servicio no tiene acceso a los datos del proyecto.

Solución

Concede como mínimo a tu cuenta de servicio el rol Lector de datos de BigQuery en la tabla, el conjunto de datos o el proyecto subyacentes.

Falta el rol del usuario

Mensaje

No tienes permiso para usar esta cuenta de servicio.

Causa

El usuario no se ha añadido como un principal a la cuenta de servicio con el rol Usuario de cuenta de servicio.

Solución

Asigna en la cuenta de servicio el rol Usuario de cuenta de servicio a ese usuario.

No hay agente de servicio disponible para la cuenta

Mensajes

No se pueden generar agentes de servicio para esta cuenta. Inténtalo de nuevo con una cuenta gestionada de Google Workspace o de Cloud Identity.
Las credenciales de agente de servicio solo están disponibles en las organizaciones gestionadas de Google Workspace o Cloud Identity. Usa otra cuenta para emplear esta función.

Causa

El usuario está intentando acceder a los datos controlados por una cuenta de servicio desde una cuenta de Google estándar (es decir, desde una cuenta de consumidor).

Solución

Usa una cuenta de Google Workspace o de Cloud Identity para acceder a los datos.

No se puede usar el agente de servicio en el cuadro de diálogo de credenciales

Mensaje

No se pueden usar agentes de servicio de Looker Studio para conectarse directamente a los datos. Usa una cuenta de servicio para ello.

Solución

Los agentes de servicio y las cuentas de servicio son diferentes. Especifica una cuenta de servicio en el cuadro de diálogo de credenciales. Puedes usar la consola de Cloud para consultar la lista de cuentas de servicio disponibles:

Usar la consola de Cloud

Ve a la página Google Cloud Platform > IAM y administración > Cuentas de servicio.
Selecciona un proyecto si es necesario.
En la página Cuentas de servicio del proyecto, busca la cuenta de servicio que Looker Studio usará para acceder a tus datos de BigQuery.
Copia la dirección de correo de esa cuenta.

Usar Cloud Shell

Abre Cloud Shell.
Selecciona un proyecto si es necesario.
Para ver una lista de las cuentas de servicio a las que tienes acceso, ejecuta el comando gcloud iam service-accounts list.

Ejemplo:

gcloud iam service-accounts list

Límites

Las credenciales de cuenta de servicio solo están disponibles para acceder a las fuentes de datos de BigQuery.Las cuentas de servicio están sujetas a los límites de gestión de identidades y accesos.
Los cambios que se hagan en los permisos de las cuentas de servicio pueden tardar unos minutos en reflejarse en Looker Studio.

Recursos relacionados

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?