Notification

Cet article concerne Looker Studio. Pour accéder à la documentation Looker, consultez https://cloud.google.com/looker/docs/intro.

Configurer un compte de service Google Cloud pour Looker Studio

Créez et configurez un compte de service pour accéder à des données au nom de Looker Studio.
Remarque : 
  • Cet article s'adresse aux administrateurs de compte de service. Pour savoir comment utiliser un compte de service existant dans votre source de données, consultez Identifiants d'accès aux données.
  • À l'heure actuelle, les identifiants du compte de service ne sont disponibles que pour les sources de données BigQuery.

Au lieu de déléguer l'accès à l'aide des identifiants du propriétaire ou d'obliger chaque lecteur d'un rapport d'accéder aux données à l'aide de ses identifiants, Looker Studio peut utiliser un compte de service pour accéder aux données. Il s'agit d'un compte Google spécial destiné à représenter un utilisateur non humain qui peut s'authentifier et obtenir les autorisations permettant d'accéder aux données des produits et des API Google.

Pour utiliser un compte de service avec Looker Studio, vous devez ajouter l'agent de service Looker Studio de votre entreprise en tant qu'utilisateur (entité principale) au niveau du compte. Vous pouvez ainsi contrôler les comptes de service utilisables avec Looker Studio, tout en vous assurant que les utilisateurs de votre entreprise accèdent facilement aux données dont ils ont besoin.

Il existe plusieurs avantages à utiliser un compte de service plutôt que les identifiants d'un utilisateur individuel :

  • Les sources de données qui utilisent des identifiants de compte de service restent opérationnelles si le créateur quitte votre entreprise.
  • Les identifiants de compte de service permettent d'accéder aux données associées à un périmètre VPC Service Controls utilisant des règles relatives aux appareils.
  • Les fonctionnalités automatisées telles que l'envoi planifié d'e-mails et l'extraction planifiée des données sont compatibles avec les sources de données associées à un périmètre VPC Service Controls.

En savoir plus sur les comptes de service

Nous vous recommandons de créer des comptes de service réservés à Looker Studio. Par exemple, vous pouvez créer des comptes de service distincts à utiliser avec Looker Studio, et dédiés aux équipes marketing, commerciale et d'ingénierie.
Au sommaire de cet article :

Avant de commencer

  • Pour configurer un compte de service, vous devez disposer du rôle Administrateur de compte de service (roles/iam.serviceAccountAdmin) ou de l'autorisation Créer des comptes de service (roles/iam.serviceAccountCreator) au niveau de votre projet Google Cloud. En savoir plus sur les rôles de compte de service
  • Pour obtenir l'agent de service Looker Studio, vous devez être un utilisateur Workspace ou Cloud Identity.

Instructions de configuration

Vous ne devez suivre les instructions de cet article qu'une seule fois, sauf si vous souhaitez créer plusieurs comptes de service pour différentes équipes ou différents groupes d'utilisateurs. Pour créer plusieurs comptes, suivez ces instructions pour chaque compte supplémentaire.

Obtenir l'agent de service Looker Studio

Pour autoriser le compte de service à accéder à vos données, vous devez fournir l'agent de service Looker Studio de votre entreprise. Vous pouvez obtenir l'agent de service à partir d'une page d'aide dans Looker Studio :

  1. Accédez à la page d'aide de l'agent de service Looker Studio.
  2. Copiez l'adresse e-mail de l'agent de service affichée sur cette page.

Exemple de page d'aide de l'agent de service Looker Studio montrant l'organisation et l'agent de service. Une icône d'aide affiche plus d'explications. Le lien hypertexte "service account" (compte de service) vous redirige vers la page de configuration de Cloud Console. La page "click here for instructions" (Pour obtenir des instructions, cliquez ici) vous redirige vers le centre d'aide.

Créer un compte de service pour Looker Studio

Pour savoir comment créer un compte de service, consultez la documentation Google Cloud IAM. Vous pouvez utiliser la console Cloud ou la ligne de commande Cloud Shell.

Utiliser la console Cloud

Étape 1 : Créer un compte de service

  1. Dans la console Cloud, accédez à la page Créer un compte de service.

    Accéder à la page "Créer un compte de service"

  2. Sélectionnez un projet.

  3. Saisissez le nom du compte de service à afficher dans la console Cloud.

    La console Cloud génère un ID de compte de service basé sur ce nom. Si nécessaire, modifiez l'ID dès maintenant. Vous ne pourrez pas le faire par la suite.

  4. Facultatif : saisissez la description du compte de service.

  5. Cliquez sur CRÉER ET CONTINUER.
    Exemple de l'interface Google Cloud Platform, montrant la section "Créer un compte de service" (Étape 1 : Détails du compte de service). Le champ de nom du compte de service contient "Looker Studio service account" (Compte de service Looker Studio). L'ID du compte de service contient la valeur "data-studio-service-accoun-309". Le champ de description du compte de service contient "A service account for Looker Studio users" (Un compte de service pour les utilisateurs de Looker Studio). Le bouton "CREATE AND CONTINUE" (CRÉER ET CONTINUER) est en surbrillance.

  6. À l'étape 2, Autoriser ce compte de service à accéder au projet, accordez le rôle IAM Utilisateur de tâche BigQuery au compte de service.
    Accorder à un compte de service l'accès à un projet. Dans cet exemple, l'utilisateur a saisi "BigQuery Job" (Tâche BigQuery) dans la zone de filtre et a sélectionné le rôle BigQuery Job User (Utilisateur de tâche BigQuery).
  7. Cliquez sur Continuer.
  8. Dans le champ Rôle utilisateurs du compte de service, ajoutez les utilisateurs autorisés à se servir de ce compte de service afin de fournir des identifiants pour leurs sources de données. Si vous ne souhaitez pas ajouter des utilisateurs dès maintenant, vous pouvez le faire ultérieurement en suivant les instructions de l'Étape 3 : Attribuer des rôles utilisateur ci-dessous.
  9. Cliquez sur OK pour enregistrer le compte de service et revenir à la page de votre projet qui regroupe les comptes de service.

Étape 2 : Autoriser l'agent de service Looker Studio à accéder à votre compte de service

  1. Revenez à la liste des comptes de service de la console Cloud.
  2. Cliquez sur le compte de service Looker Studio que vous venez de créer pour le sélectionner.
  3. En haut de l'écran, cliquez sur AUTORISATIONS.
  4. Cliquez sur Icône de partage ACCORDER L'ACCÈS.
  5. Sur la droite, sous Ajouter des comptes principaux à <projet>, collez l'adresse e-mail de l'agent de service Looker Studio (que vous avez copiée à l'étape 1) dans la zone Nouveaux comptes principaux.
  6. Sélectionnez un rôle accordant l'autorisation iam.serviceAccount.getAccessToken à l'agent de service. Par exemple, vous pouvez utiliser le rôle Créateur de jetons du compte de service (ou tout autre rôle personnalisé qui accorde cette autorisation).
  7. Cliquez sur ENREGISTRER.
Astuce : L'adresse de votre agent de service respecte le format service-account@<project_id>.iam.gserviceaccount.com. Si vous connaissez l'ID de votre projet, vous pouvez créer l'adresse manuellement.

Exemple d'ajout de l'agent de service Looker Studio en tant qu'entité principale sur le compte de service. L'agent de service Looker Studio est ajouté en tant que nouvelle entité principale. Le rôle de créateur de jetons du compte de service est attribué.

Étape 3 : Attribuer des rôles utilisateur

Remarque : Cette étape est facultative si vous avez déjà ajouté des utilisateurs Looker Studio durant la création du compte de service, comme décrit à l'étape 1.

Les utilisateurs de Looker Studio qui créent ou modifient des sources de données ont besoin d'un rôle qui inclut l'autorisation iam.serviceAccounts.actAs, comme Utilisateur du compte de service (roles/iam.serviceAccountUser). Vous pouvez accorder ce rôle au niveau du projet ou d'un compte de service individuel. Toutefois, nous vous recommandons de ne l'attribuer que sur le compte de service. Pour savoir comment procéder, consultez Gérer l'emprunt d'identifiants pour un compte de service.

Conseil : Si vous n'êtes pas prêt à suivre cette étape, vous pouvez y revenir ultérieurement.
Conseil : Le rôle Créateur de jetons du compte de service n'étant pas nécessaire pour Looker Studio, nous vous recommandons de NE PAS l'attribuer aux utilisateurs autres que l'agent de service.
Remarque : Les utilisateurs qui ne peuvent afficher que des rapports Looker Studio n'ont pas besoin d'autorisations au niveau du compte de service.
  1. Accédez à la liste des comptes de service de la console Cloud.
  2. Cliquez votre compte de service Looker Studio pour le sélectionner.
  3. En haut de la page, cliquez sur AUTORISATIONS.
  4. Cliquez sur Icône de partage ACCORDER L'ACCÈS.
  5. Sur la droite, dans Ajouter des comptes principaux et des rôles à <compte de service>, saisissez les adresses e-mail de vos utilisateurs dans la zone Nouveaux comptes principaux.
  6. Sélectionnez le rôle Utilisateur du compte de service.
  7. Cliquez sur ENREGISTRER.

Exemple d'ajout d'un utilisateur en tant qu'entité principale sur le compte de service, avec accès au rôle Service Account User (Utilisateur du compte de service).

Étape 4 : Autoriser le compte de service à accéder à vos données BigQuery

Pour autoriser Looker Studio à accéder à vos données, attribuez le rôle Lecteur de données BigQuery au compte de service au niveau de la table ou de l'ensemble de données.

Remarque : Nous vous déconseillons d'accorder l'accès au compte de service au niveau du projet.

Pour autoriser l'accès à une table :

  1. Accédez à la liste des comptes de service de la console Cloud.
  2. Copiez l'adresse e-mail du compte de service Looker Studio.
  3. Accédez à BigQuery et ouvrez un projet.
  4. Développez un ensemble de données en cliquant sur .
  5. Sélectionnez une table.
  6. Dans la barre d'outils, cliquez sur Icône de partage PARTAGER.
  7. Dans le panneau qui s'ouvre à droite, cliquez sur Icône de partage AJOUTER UN COMPTE PRINCIPAL.
  8. Dans la zone Nouveaux comptes principaux, collez l'adresse e-mail du compte de service Looker Studio.
  9. Sélectionnez le rôle Lecteur de données BigQuery.
  10. Cliquez sur ENREGISTRER.

Pour accorder l'accès à un ensemble de données :

  1. Accédez à la liste des comptes de service de la console Cloud.
  2. Copiez l'adresse e-mail de votre compte de service Looker Studio.
  3. Accédez à BigQuery, ouvrez un projet, puis localisez l'ensemble de données.
  4. À droite du nom de l'ensemble de données, cliquez sur Afficher les actions icône "Plus d'options".
  5. Cliquez sur Ouvrir.
  6. Dans la barre d'outils, cliquez sur Icône de partage PARTAGE > Autorisations.
  7. Dans le panneau qui s'ouvre à droite, cliquez sur Icône de partage AJOUTER UN COMPTE PRINCIPAL.
  8. Dans la zone Nouveaux comptes principaux, collez l'adresse e-mail du compte de service Looker Studio.
  9. Sélectionnez le rôle Lecteur de données BigQuery.
  10. Cliquez sur ENREGISTRER.
Utiliser Cloud Shell

Étape 1 : Créer un compte de service

Suivez les étapes générales décrites sous gcloud dans la rubrique Créer et gérer des comptes de service.

  1. Ouvrez Cloud Shell.
  2. Sélectionnez un projet si nécessaire.
  3. Pour créer le compte de service, exécutez la commande gcloud iam service-accounts create. Vous pouvez utiliser le nom de compte, la description et le nom à afficher de votre choix.


    Exemple :

    gcloud iam service-accounts create datastudio_service_account \
    --description="Utiliser pour autoriser Looker Studio à accéder à BigQuery" \
    --display-name="DS_BQ"
  1. Pour accéder aux données BigQuery sur le projet GCP que vous souhaitez utiliser avec Looker Studio, accordez l'autorisation bigquery.jobs.create au compte de service. Pour ce faire, vous pouvez octroyer le rôle IAM Utilisateur de tâche BigQuery.

    Attribuez également les autorisations bigquery.tables.getData et bigquery.tables.get au compte de service au niveau du projet ou de l'ensemble de données que vous souhaitez utiliser avec Looker Studio. Pour ce faire, vous pouvez accorder le rôle Lecteur de données BigQuery (roles/bigquery.dataViewer).

    Pour attribuer ces rôles, exécutez la commande gcloud projects add-iam-policy-binding. Dans les exemples suivants, remplacez PROJECT_ID par l'ID de votre projet.

    Exemple :
    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/bigquery.jobUser"
     
    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/bigquery.dataViewer"

Étape 2 : Autoriser l'agent de service Looker Studio à accéder à votre compte de service

Pour autoriser l'agent de service Looker Studio à accéder aux données via le compte de service, attribuez-lui le rôle Créateur de jetons du compte de service (roles/iam.serviceAccountTokenCreator). Pour ce faire, exécutez la commande gcloud iam service-accounts add-iam-policy-binding. Dans l'exemple suivant, remplacez ORG_ID par l'ID de votre entreprise.

Exemple :

gcloud iam service-accounts add-iam-policy-binding \ datastudio_service_account@PROJECT_ID.iam.gserviceaccount.com \ --member="service-ORG_ID@gcp-sa-datastudio.iam.gserviceaccount.com" \ --role="roles/iam.serviceAccountTokenCreator"

Étape 3 : Attribuer des rôles utilisateur

Les utilisateurs de Looker Studio qui créent ou modifient des sources de données ont besoin d'un rôle qui inclut l'autorisation iam.serviceAccounts.actAs, comme Utilisateur du compte de service (roles/iam.serviceAccountUser). Vous pouvez accorder ce rôle au niveau du projet ou d'un compte de service individuel. Toutefois, nous vous recommandons de ne l'attribuer que sur le compte de service. Pour savoir comment procéder, consultez Gérer l'emprunt d'identifiants pour un compte de service.

Si vous n'êtes pas prêt à suivre cette étape, vous pouvez y revenir ultérieurement.
Conseil : Le rôle Créateur de jetons du compte de service n'étant pas nécessaire pour Looker Studio, nous vous recommandons de NE PAS l'attribuer aux utilisateurs autres que l'agent de service.
Remarque : Les utilisateurs qui ne peuvent afficher que des rapports Looker Studio n'ont pas besoin d'autorisations au niveau du compte de service.

Pour octroyer le rôle Utilisateur du compte de service, exécutez la commande gcloud projects add-iam-policy-binding. Dans les exemples suivants, remplacez PROJECT_ID par votre ID de projet et utilisateur@example.com par une ou plusieurs adresses e-mail valides (séparez-les par une virgule).

Exemple :

gcloud iam service-accounts add-iam-policy-binding \ datastudio_service_account@PROJECT_ID.iam.gserviceaccount.com \
--member="user:utilisateur@example.com" \
--role="roles/iam.serviceAccountUser"

Étape 4 : Autoriser le compte de service à accéder à vos données BigQuery

Pour autoriser Looker Studio à accéder à vos données, attribuez le rôle Lecteur de données BigQuery au compte de service au niveau de la table ou de l'ensemble de données.

Pour effectuer cette opération, le plus simple est de suivre les instructions pour la console Cloud (Étape 4 ci-dessus). Pour accorder l'accès aux données à l'aide de l'outil de ligne de commande bq, consultez la rubrique sur le contrôle de l'accès aux ensembles de données.

Fournir les informations sur le(s) compte(s) de service Looker Studio aux utilisateurs

Les utilisateurs de Looker Studio doivent savoir quel compte de service utiliser pour créer des sources de données. Puisqu'il n'est pas possible d'afficher la liste des comptes de service disponibles dans Looker Studio, vous devez fournir ces informations par e-mail, ou dans la documentation ou le site Web interne de votre entreprise.

Remarque : Vous n'avez pas besoin de gérer les clés de compte de service manuellement. Il n'est pas non plus nécessaire que les utilisateurs téléchargent ces clés à partir de la console Cloud et les importent dans Looker Studio. La limite de 10 clés par compte de service ne s'applique pas à Looker Studio.

 

Modifier une source de données utilisant des identifiants du compte de service

Lorsque des utilisateurs modifient une source de données utilisant des identifiants du compte de service, Looker Studio vérifie s'ils sont autorisés à se servir de ces identifiants. Si ce n'est pas le cas, la source de données utilise leurs identifiants à la place.

Voir qui utilise le compte de service pour accéder aux données

Vous pouvez vérifier les journaux d'audit pour les comptes de service dans la console Cloud. Pour recevoir les journaux d'audit pour les comptes de service, vous devez activer les journaux d'audit IAM pour l'accès aux données.

Erreurs

Cette section explique les erreurs que les créateurs de sources de données Looker Studio et les lecteurs de rapports peuvent rencontrer en utilisant un compte de service. Le plus souvent, ces erreurs ont la même cause : une configuration incorrecte ou incomplète du compte de service.

Rôle d'agent de service introuvable

Messages

  • L'agent de service de Looker Studio ne dispose pas de l'autorisation iam.serviceAccount.getAccessToken pour ce compte de service.
  • L'agent de service utilisé par le compte de service de la source de données ne dispose pas du rôle "Créateur de jetons du compte de service".

Cause

L'agent de service ne s'est pas vu attribuer le rôle Créateur de jetons du compte de service (ou un autre rôle comprenant l'autorisation iam.serviceAccount.getAccessToken).

Solution

Attribuez le rôle Créateur de jetons du compte de service au compte de service.

Aucun accès aux données

Message

Le compte de service ne parvient pas à accéder à l'ensemble de données sous-jacent.

Cause

Le compte de service ne s'est pas vu octroyer l'accès aux données du projet.

Solution

Accordez au minimum le rôle Lecteur de données BigQuery à votre compte de service au niveau de la table, de l'ensemble de données ou du projet sous-jacents.

Rôle utilisateur manquant

Message

Vous ne disposez pas des autorisations nécessaires pour utiliser ce compte de service.

Cause

L'utilisateur n'a pas été ajouté en tant qu'entité principale avec le rôle Utilisateur du compte de service.

Solution

Attribuez le rôle Utilisateur du compte de service à l'utilisateur au niveau du compte de service.

Agent de service indisponible pour le compte

Messages

  • Impossible de générer des agents de service pour ce compte : réessayez avec un compte géré Google Workspace ou Cloud Identity.
  • Les identifiants d'agent de service ne sont disponibles que pour les entreprises gérées Google Workspace ou Cloud Identity. Pour bénéficier de cette fonctionnalité, veuillez utiliser un autre compte.

Cause

L'utilisateur tente d'accéder aux données contrôlées par un compte de service à partir d'un compte Google personnel standard.

Solution

Utilisez un compte Google Workspace ou Cloud Identity pour accéder aux données.

Impossible d'utiliser l'agent de service dans la boîte de dialogue des identifiants

Message

Impossible d'utiliser les agents de service Looker Studio pour créer une connexion directe aux données. Utilisez plutôt un compte de service.

Solution

Les agents de service et les comptes de service sont différents. Spécifiez un compte de service dans la boîte de dialogue des identifiants. Vous pouvez trouver la liste des comptes de service disponibles à l'aide de la console Cloud :

Utiliser la console Cloud

  1. Accédez à la page Google Cloud Platform > IAM et administration > Comptes de service.
  2. Sélectionnez un projet si nécessaire.
  3. Sur la page Comptes de service pour le projet, trouvez le compte de service que Looker Studio utilisera pour accéder à vos données BigQuery.
  4. Copiez l'adresse e-mail de ce compte.

Utiliser Cloud Shell

  1. Ouvrez Cloud Shell.
  2. Sélectionnez un projet si nécessaire.
  3. Pour obtenir la liste des comptes de service auxquels vous avez accès, exécutez la commande gcloud iam service-accounts list.

Exemple :

gcloud iam service-accounts list

Limites

  • À l'heure actuelle, les identifiants du compte de service ne sont disponibles que pour les sources de données BigQuery.Les limites IAM s'appliquent aux comptes de service.
  • Vous devrez peut-être patienter quelques instants avant que les modifications apportées aux autorisations du compte de service apparaissent dans Looker Studio.

Ressources associées

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?
true
Quoi de neuf dans Looker Studio ?

Découvrez les nouvelles fonctionnalités et les modifications récentes. Les notes de version de Looker Studio sont disponibles sur Google Cloud.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
4354765198916695307
true
Rechercher dans le centre d'aide
true
true
true
true
true
102097
false
false