Notificación

Este artículo se refiere a Looker Studio. Para consultar la documentación de Looker, visita https://cloud.google.com/looker/docs/intro.

Configurar una cuenta de servicio de Google Cloud para Looker Studio

Crea y configura una cuenta de servicio para acceder a los datos en nombre de Looker Studio
Audiencia objetivo:

Este artículo está dirigido a administradores de Google Cloud. Para obtener información sobre cómo usar en tu fuente de datos de Looker Studio una cuenta de servicio ya creada, consulta Credenciales de acceso a datos.

En lugar de delegar el acceso mediante credenciales de propietario, o requerir que cada uno de los lectores de los informes acceda a los datos mediante credenciales de lector, Looker Studio puede usar una cuenta de servicio para acceder a ellos. Una cuenta de servicio es un tipo especial de cuenta de Google ideada para representar a un usuario que no es humano y que puede autenticarse y obtener autorización para acceder a los datos de las APIs y los productos de Google. Más información sobre las cuentas de servicio

Nota:

En la actualidad, las credenciales de cuenta de servicio solo están disponibles para las fuentes de datos de BigQuery.

Secciones de este artículo:

Ventajas de usar una cuenta de servicio con Looker Studio

Para usar una cuenta de servicio con Looker Studio, debes añadir el agente de servicio de Looker Studio de tu organización como un usuario (principal) de la cuenta. De este modo, podrás controlar qué cuentas de servicio pueden usarse con Looker Studio y asegurarte de que los usuarios de tu organización puedan acceder fácilmente a los datos que necesiten.

Usar una cuenta de servicio en lugar de las credenciales de un usuario concreto proporciona estas ventajas:

  • Las fuentes de datos que usan credenciales de cuenta de servicio no dejarán de funcionar si su creador deja la empresa.
  • Las credenciales de cuenta de servicio permiten acceder a los datos que se encuentren dentro de aquellos perímetros de Controles de Servicio de VPC que usen políticas de dispositivos.
  • Algunas funciones automatizadas, como los correos programados y los fragmentos de datos programados, funcionarán con fuentes de datos que se encuentren dentro de un perímetro de Controles de Servicio de VPC.
Te recomendamos que crees cuentas de servicio que solo se utilicen con Looker Studio. Por ejemplo, puedes crear cuentas de servicio independientes para los equipos de Marketing, Ventas e Ingeniería, de forma que cada uno de ellos pueda usar la suya con Looker Studio.

Antes de empezar

  • Para configurar una cuenta de servicio, debes tener el rol Administrador de cuentas de servicio (roles/iam.serviceAccountAdmin) o Crear cuentas de servicio (roles/iam.serviceAccountCreator) en tu proyecto de Google Cloud. Más información sobre los roles de las cuentas de servicio
  • Para obtener el agente de servicio de Looker Studio, debes ser usuario de Workspace o de Cloud Identity.

Instrucciones de configuración

Solo tienes que seguir las instrucciones de este artículo una vez, a menos que quieras crear distintas cuentas de servicio para diferentes equipos o grupos de usuarios. Para crear varias cuentas de servicio, repite estas instrucciones con cada una de ellas.

Obtener el agente de servicio de Looker Studio

Para permitir que la cuenta de servicio acceda a tus datos, debes proporcionar el agente de servicio de Looker Studio de tu organización. Puedes obtener este agente a través de una página de ayuda de Looker Studio:

  1. Ve a la página de ayuda del agente de servicio de Looker Studio.
  2. Copia la dirección de correo del agente de servicio que se muestra en esa página.

La página Agente de servicio de Looker Studio muestra la dirección de correo del agente de servicio que se necesita para configurar una cuenta de servicio que acceda a tus datos.

Crear una cuenta de servicio para Looker Studio

Puedes consultar las instrucciones para crear una cuenta de servicio en la documentación de Google Cloud IAM. Para crear una cuenta de este tipo, puedes usar la consola de Cloud o la línea de comandos de Cloud Shell.

Usar la consola de Cloud

Paso 1: Crea una cuenta de servicio

  1. En la consola de Cloud, ve a la página Crear cuenta de servicio.

    Ir a Crear cuenta de servicio

  2. Selecciona un proyecto.
  3. Escribe el nombre de la cuenta de servicio, que será el que se muestre en la consola de Cloud.

    La consola de Cloud genera un ID de cuenta de servicio basado en este nombre. Cambia el ID en este momento del proceso si fuera necesario. No podrás cambiarlo más adelante.

  4. Opcional: Escribe la descripción de la cuenta de servicio.
  5. Haz clic en CREAR Y CONTINUAR.
    Página Crear cuenta de servicio de Google Cloud Platform con los campos Nombre de la cuenta de servicio, ID de la cuenta de servicio y Descripción de la cuenta de servicio rellenados.

  6. En el paso 2, que consiste en conceder a esta cuenta de servicio acceso al proyecto, asigna a la cuenta de servicio el rol de gestión de identidades y accesos Usuario de tareas de BigQuery en el proyecto que contiene los datos a los que quieres conectarte en Looker Studio. Ten en cuenta que puede ser un proyecto diferente a aquel en el que creaste la cuenta de servicio.
    Un usuario introduce el texto "Tarea de BigQuery" en el cuadro de filtro Rol y selecciona el rol Usuario de tareas de BigQuery en el menú desplegable de resultados.
  7. Haz clic en Continuar.
  8. En el campo Rol de usuarios de la cuenta de servicio, añade los usuarios que pueden usar esta cuenta para proporcionar las credenciales de sus fuentes de datos. Si no es el mejor momento para añadirlos, puedes hacerlo más tarde siguiendo las instrucciones del Paso 3: Asigna roles de usuario, que se indica más abajo.
  9. Haz clic en HECHO para guardar la cuenta de servicio y volver a la página donde se muestra la lista de cuentas de servicio de tu proyecto.

Paso 2: Permite que el agente de servicio de Looker Studio acceda a tu cuenta de servicio

  1. Vuelve a la lista de cuentas de servicio de la consola de Cloud.
  2. Para seleccionar la cuenta de servicio de Looker Studio que acabas de crear, haz clic en ella.
  3. En la parte superior, haz clic en PERMISOS.
  4. Haz clic en DAR ACCESO Icono para compartir.
  5. En la parte derecha, en Añadir principales a <proyecto>, pega en el cuadro Principales nuevas el correo del agente de servicio de Looker Studio que has copiado en el paso 1 de este artículo.
  6. Selecciona un rol que conceda al agente de servicio el permiso iam.serviceAccount.getAccessToken. Por ejemplo, puedes usar el rol Creador de tokens de cuenta de servicio, pero también puedes usar cualquier rol personalizado que conceda este permiso.
  7. Haz clic en GUARDAR.
Nota: La dirección de tu agente de servicio tiene el formato service-account@<id_de_proyecto>.iam.gserviceaccount.com. Si conoces el ID de tu proyecto, puedes crear la dirección manualmente.

En el panel Añadir principales, un usuario introduce el correo del agente de servicio de Looker Studio en el campo Principales nuevas, escribe la palabra "token" en el cuadro de filtro Rol y selecciona el rol Creador de tokens de cuenta de servicio en el menú desplegable de resultados.

Paso 3: Asigna roles de usuario

Nota: Este paso es opcional si ya has añadido usuarios de Looker Studio al crear la cuenta de servicio, tal como se describe en el paso 1 de este artículo.

Los usuarios de Looker Studio que vayan a crear o a editar fuentes de datos deben tener un rol que incluya el permiso iam.serviceAccounts.actAs, como el rol Usuario de cuenta de servicio (roles/iam.serviceAccountUser). Puedes asignar este rol en el proyecto o en una cuenta de servicio concreta, pero te recomendamos que lo asignes solo en la cuenta de servicio. Para ver instrucciones al respecto, consulta el artículo sobre cómo gestionar la suplantación de identidad en cuentas de servicio.

Nota: Si no es el mejor momento para completar este paso, puedes volver a él más tarde.
Consejo: Te recomendamos que NO asignes el rol Creador de tokens de cuenta de servicio a los usuarios que no sean agentes de servicio, ya que no es necesario para usar Looker Studio.
Nota: Los usuarios que solo vayan a consultar informes de Looker Studio no necesitan tener permisos en la cuenta de servicio.
  1. Ve a la lista de cuentas de servicio de la consola de Cloud.
  2. En la lista, selecciona tu cuenta de servicio de Looker Studio haciendo clic en ella.
  3. En la parte superior de la página, haz clic en PERMISOS.
  4. Haz clic en DAR ACCESO Icono para compartir.
  5. En la parte derecha, en Añadir principales y roles a <cuenta de servicio>, escribe las direcciones de correo de tus usuarios en el cuadro Principales nuevas.
  6. Selecciona el rol Usuario de cuenta de servicio.
  7. Haz clic en GUARDAR.

Ejemplo de cómo añadir un usuario como principal en la cuenta de servicio, lo que le concede el rol Usuario de cuenta de servicio.

Paso 4: Habilita la cuenta de servicio para que pueda acceder a tus datos de BigQuery

Para permitir que Looker Studio acceda a tus datos, asigna el rol Lector de datos de BigQuery a la cuenta de servicio a nivel de tabla o de conjunto de datos.

Nota: No recomendamos dar acceso a la cuenta de servicio a nivel de proyecto.

Para dar acceso a una tabla, sigue estos pasos:

  1. Ve a la lista de cuentas de servicio de la consola de Cloud.
  2. Copia la dirección de correo de la cuenta de servicio de Looker Studio.
  3. Ve a BigQuery y abre un proyecto.
  4. Para desplegar un conjunto de datos, haz clic en .
  5. Selecciona una tabla.
  6. En la barra de herramientas, haz clic en COMPARTIR Icono para compartir.
  7. En el panel que se abre a la derecha, haz clic en AÑADIR PRINCIPAL Icono para compartir.
  8. En el cuadro Principales nuevas, pega la dirección de correo de la cuenta de servicio de Looker Studio.
  9. Selecciona el rol Lector de datos de BigQuery.
  10. Haz clic en GUARDAR.

Para dar acceso a un conjunto de datos, sigue estos pasos:

  1. Ve a la lista de cuentas de servicio de la consola de Cloud.
  2. Copia la dirección de correo de tu cuenta de servicio de Looker Studio.
  3. Ve a BigQuery, abre un proyecto y busca el conjunto de datos.
  4. A la derecha del nombre del conjunto de datos, haz clic en Ver acciones Icono "Más opciones".
  5. Haz clic en Abrir.
  6. En la barra de herramientas, haz clic en COMPARTIR Icono para compartir > Permisos.
  7. En el panel que se abre a la derecha, haz clic en AÑADIR PRINCIPAL Icono para compartir.
  8. En el cuadro Principales nuevas, pega la dirección de correo de la cuenta de servicio de Looker Studio.
  9. Selecciona el rol Lector de datos de BigQuery.
  10. Haz clic en GUARDAR.
Usar Cloud Shell

Paso 1: Crea una cuenta de servicio

Sigue los pasos generales que se indican en la pestaña gcloud del artículo sobre cómo crear y gestionar cuentas de servicio.

  1. Abre Cloud Shell.
  2. Selecciona un proyecto si es necesario.
  3. Para crear la cuenta de servicio, ejecuta el comando gcloud iam service-accounts create. Puedes usar el nombre, la descripción y el nombre visible que quieras para identificar la cuenta.


    Ejemplo:

    gcloud iam service-accounts create datastudio_service_account \
    --description="Usa esta cuenta para acceder a BigQuery con Looker Studio" \
    --display-name="DS_BQ"
    .
  1. Para acceder a los datos de BigQuery en el proyecto de Google Cloud que quieras usar con Looker Studio, da el permiso bigquery.jobs.create a la cuenta de servicio en ese proyecto. Para dar este permiso, puedes asignar el rol de gestión de identidades y accesos Usuario de tareas de BigQuery.

    Concede también a la cuenta de servicio los permisos bigquery.tables.getData y bigquery.tables.get en el proyecto o en el conjunto de datos que quieras usar con Looker Studio. Para dar estos permisos, puedes asignar el rol Lector de datos de BigQuery (roles/bigquery.dataViewer).

    Para asignar estos roles, ejecuta el comando gcloud projects add-iam-policy-binding. En los ejemplos siguientes, sustituye ID_PROYECTO por el ID de tu proyecto.

    Ejemplo:
    gcloud projects add-iam-policy-binding ID_PROYECTO \
    --member = "serviceAccount:datastudio_sa@ID_PROYECTO.iam.gserviceaccount.com" \
    --role="roles/bigquery.jobUser"
     
    gcloud projects add-iam-policy-binding ID_PROYECTO \
    --member = "serviceAccount:datastudio_sa@ID_PROYECTO.iam.gserviceaccount.com" \
    --role="roles/bigquery.dataViewer"

Paso 2: Permite que el agente de servicio de Looker Studio acceda a tu cuenta de servicio

Para permitir que el agente de servicio de Looker Studio acceda a los datos mediante la cuenta de servicio, asigna el rol Creador de tokens de cuenta de servicio (roles/iam.serviceAccountTokenCreator) al agente de servicio. Para ello, ejecuta el comando gcloud iam service-accounts add-iam-policy-binding. En el ejemplo siguiente, sustituye ID_ORG por el ID de tu organización.

Ejemplo:

gcloud iam service-accounts add-iam-policy-binding \ datastudio_service_account@ID_PROYECTO.iam.gserviceaccount.com \ --member="service-ID_ORG@gcp-sa-datastudio.iam.gserviceaccount.com" \ --role=" roles/iam.serviceAccountTokenCreator"

Paso 3: Asigna roles de usuario

Los usuarios de Looker Studio que vayan a crear o a editar fuentes de datos deben tener un rol que incluya el permiso iam.serviceAccounts.actAs, como el rol Usuario de cuenta de servicio (roles/iam.serviceAccountUser). Puedes asignar este rol en el proyecto o en una cuenta de servicio concreta, pero te recomendamos que lo asignes solo en la cuenta de servicio. Para ver instrucciones al respecto, consulta el artículo sobre cómo gestionar la suplantación de identidad en cuentas de servicio.

Si no es el mejor momento para completar este paso, puedes volver a él más tarde.
Consejo: Te recomendamos que NO asignes el rol Creador de tokens de cuenta de servicio a los usuarios que no sean agentes de servicio, ya que no es necesario para usar Looker Studio.
Nota: Los usuarios que solo vayan a consultar informes de Looker Studio no necesitan tener permisos en la cuenta de servicio.

Para asignar el rol Usuario de cuenta de servicio, ejecuta el comando gcloud projects add-iam-policy-binding. En los ejemplos siguientes, sustituye ID_PROYECTO por el ID de tu proyecto y usuario@example.com por una o varias direcciones de correo electrónico válidas separadas por comas.

Ejemplo:

gcloud iam service-accounts add-iam-policy-binding \ datastudio_service_account@ID_PROYECTO.iam.gserviceaccount.com \
--member="usuario:usuario@example.com" \
-role="roles/iam.serviceAccountUser"

Paso 4: Habilita la cuenta de servicio para que pueda acceder a tus datos de BigQuery

Para permitir que Looker Studio acceda a tus datos, asigna el rol Lector de datos de BigQuery a la cuenta de servicio a nivel de tabla o de conjunto de datos.

Este procedimiento es más fácil si sigues las instrucciones de la consola de Cloud, tal como se indica en el paso 4 de este artículo. Para dar acceso a los datos con la herramienta de línea de comandos bq, consulta el artículo sobre cómo controlar el acceso a los conjuntos de datos.

Proporcionar las cuentas de servicio de Looker Studio a tus usuarios de Looker Studio

Los usuarios de Looker Studio necesitarán saber qué cuenta de servicio usar al crear fuentes de datos. Como en Looker Studio no se puede ver la lista de cuentas de servicio disponibles, debes proporcionarles esta información en la documentación o en el sitio web interno de tu organización, o bien por correo electrónico.

Nota: No tienes que gestionar las claves de las cuentas de servicio de forma manual, ni tampoco descargarlas de la consola de Cloud para subirlas a Looker Studio. El límite de 10 claves por cuenta de servicio no se aplica en Looker Studio.

Importante: Solo con saber el nombre del agente del servicio, los usuarios no pueden acceder a los datos. El agente de servicio debe añadirse a una cuenta de servicio y los usuarios finales deben tener permiso para actuar como esa cuenta de servicio.

Crear una fuente de datos que usa credenciales de cuentas de servicio

Para crear fuentes de datos que usen credenciales de cuentas de servicio, los usuarios de Looker Studio pueden seguir los mismos pasos básicos que para otros tipos de credenciales de acceso a datos:

  1. Crea o edita una fuente de datos de BigQuery.
  2. En la barra de herramientas, haz clic en Credenciales de acceso a datos.
  3. Selecciona Credenciales de cuenta de servicio.
  4. Escribe la dirección de correo de tu cuenta de servicio en el cuadro correspondiente.
  5. Haz clic en Actualizar.

Editar una fuente de datos que usa credenciales de cuentas de servicio

Cuando un usuario edita una fuente de datos que usa credenciales de cuenta de servicio, Looker Studio comprueba si ese usuario tiene permiso para utilizar esa cuenta de servicio. Si no es así, la fuente de datos pasa a usar las credenciales de ese usuario.

Ver quién está usando la cuenta de servicio para acceder a los datos

Puedes consultar los registros de auditoría de las cuentas de servicio en la consola de Cloud. Si quieres recibir registros de auditoría de las cuentas de servicio, debes habilitar los registros de auditoría de gestión de identidades y accesos para que recojan la actividad de acceso a los datos.

Ejemplo de uso de cuentas de servicio

Supongamos que quieres asegurarte de que los usuarios de Looker Studio de tu empresa solo tengan acceso a los datos de la filial de su país. Una solución es crear una cuenta de servicio para cada país y dar permiso para actuar como cuenta de servicio solo a los usuarios de Looker Studio de ese país.

Configuración de ejemplo

En este ejemplo, crearás tres cuentas de servicio: una para el Reino Unido, otra para Francia y otra para Alemania. A continuación, asigna roles adecuados a tu agente de servicio y a los usuarios a los que quieras dar permiso para crear fuentes de datos que usen la cuenta de servicio como principales.

Cuenta de servicio del Reino Unido

service-account-1@example-org-uk-example-project.iam.gserviceaccount.com

Principales del Reino Unido

Principales Roles

service-org-12345@gcp-sa-datastudio.iam.gserviceaccount.com

Este es el agente de servicio.

Creador de tokens de cuenta de servicio
Usuario 1 Usuario de cuenta de servicio
Usuario 2 Usuario de cuenta de servicio

Cuenta de servicio de Francia

service-account-1@example-org-fr-example-project.iam.gserviceaccount.com

Principales de Francia

Principales Roles

service-org-12345@gcp-sa-datastudio.iam.gserviceaccount.com

Este es el agente de servicio.

Creador de tokens de cuenta de servicio
Usuario 3 Usuario de cuenta de servicio
Usuario 4 Usuario de cuenta de servicio

Cuenta de servicio de Alemania

service-account-1@example-org-de-example-project.iam.gserviceaccount.com

Principales de Alemania

Principales Roles

service-org-12345@gcp-sa-datastudio.iam.gserviceaccount.com

Este es el agente de servicio.

Creador de tokens de cuenta de servicio
Usuario 5 Usuario de cuenta de servicio
Usuario 6 Usuario de cuenta de servicio
Nota: El nombre de la cuenta de servicio no es información sensible: aunque el usuario 5 sepa que existe service-account-1@example-org-fr-example-project.iam.gserviceaccount.com, no puede usarla porque no tiene los permisos adecuados. El agente de servicio debe añadirse a una cuenta de servicio para que funcione. El agente de servicio es el medio con el que Looker Studio usa la cuenta de servicio.

Errores

En esta sección se explican los errores que los creadores de fuentes de datos y los lectores de informes de Looker Studio pueden recibir al intentar usar una cuenta de servicio. En la mayoría de los casos, estos errores tienen la misma causa principal: la configuración de la cuenta de servicio no es correcta o no está completa.

Falta el rol del agente de servicio

Mensajes

  • El agente de servicio de Looker Studio no tiene el permiso iam.serviceAccount.getAccessToken para acceder a este servicio.
  • El agente de servicio que se utiliza en la cuenta de servicio de esta fuente de datos no tiene el rol "Creador de tokens de cuenta de servicio".

Causa

El agente de servicio no tiene el rol Creador de tokens de cuenta de servicio (u otro rol que incluya el permiso iam.serviceAccount.getAccessToken).

Solución

Asigna el rol Creador de tokens de cuenta de servicio al agente de servicio.

No se puede acceder a los datos

Mensaje

Esta cuenta de servicio no puede acceder al conjunto de datos subyacente.

Causa

La cuenta de servicio no tiene acceso a los datos del proyecto.

Solución

Concede como mínimo a tu cuenta de servicio el rol Lector de datos de BigQuery en la tabla, el conjunto de datos o el proyecto subyacentes.

Falta el rol del usuario

Mensaje

No tienes permiso para usar esta cuenta de servicio.

Causa

El usuario no se ha añadido como un principal a la cuenta de servicio con el rol Usuario de cuenta de servicio.

Solución

Asigna en la cuenta de servicio el rol Usuario de cuenta de servicio a ese usuario.

No hay agente de servicio disponible para la cuenta

Mensajes

  • No se pueden generar agentes de servicio para esta cuenta. Inténtalo de nuevo con una cuenta gestionada de Google Workspace o de Cloud Identity.
  • Las credenciales de agente de servicio solo están disponibles en las organizaciones gestionadas de Google Workspace o Cloud Identity. Usa otra cuenta para emplear esta función.

Causa

El usuario está intentando acceder a los datos controlados por una cuenta de servicio desde una cuenta de Google estándar (es decir, desde una cuenta de consumidor).

Solución

Usa una cuenta de Google Workspace o de Cloud Identity para acceder a los datos.

No se puede usar el agente de servicio en el cuadro de diálogo de credenciales

Mensaje

No se pueden usar agentes de servicio de Looker Studio para conectarse directamente a los datos. Usa una cuenta de servicio para ello.

Solución

Los agentes de servicio y las cuentas de servicio son diferentes. Especifica una cuenta de servicio en el cuadro de diálogo de credenciales. Puedes usar la consola de Cloud para consultar la lista de cuentas de servicio disponibles:

Usar la consola de Cloud

  1. Ve a la página Google Cloud Platform > IAM y administración > Cuentas de servicio.
  2. Selecciona un proyecto si es necesario.
  3. En la página Cuentas de servicio del proyecto, busca la cuenta de servicio que Looker Studio usará para acceder a tus datos de BigQuery.
  4. Copia la dirección de correo de esa cuenta.

Usar Cloud Shell

  1. Abre Cloud Shell.
  2. Selecciona un proyecto si es necesario.
  3. Para ver una lista de las cuentas de servicio a las que tienes acceso, ejecuta el comando gcloud iam service-accounts list.

Ejemplo:

gcloud iam service-accounts list

Límites

  • Las credenciales de cuenta de servicio solo están disponibles para acceder a las fuentes de datos de BigQuery.Las cuentas de servicio están sujetas a los límites de gestión de identidades y accesos.
  • Los cambios que se hagan en los permisos de las cuentas de servicio pueden tardar unos minutos en reflejarse en Looker Studio.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal