Notifica

Questo articolo riguarda Looker Studio. Per la documentazione di Looker, visita https://cloud.google.com/looker/docs/intro.

Configurare un account di servizio Google Cloud per Looker Studio

Crea e configura un account di servizio per accedere ai dati per conto di Looker Studio.
Nota 
  • Questo articolo è destinato agli amministratori di account di servizio. Per informazioni su come utilizzare un account di servizio esistente nell'origine dati, vedi Credenziali dei dati.
  • Al momento le credenziali dell'account di servizio sono disponibili solo per le origini dati BigQuery.

Anziché delegare l'accesso utilizzando le credenziali del proprietario o richiedere a singoli visualizzatori dei report di accedere ai dati utilizzando le credenziali del visualizzatore, Looker Studio può usare un account di servizio per accedere ai dati. Un account di servizio è un tipo speciale di Account Google destinato a rappresentare un utente "non umano" che può eseguire l'autenticazione ed essere autorizzato ad accedere ai dati nelle API e nei prodotti Google.

Per utilizzare un account di servizio con Looker Studio, aggiungi l'agente di servizio Looker Studio della tua organizzazione come utente (entità) nell'account. Questo ti permette di controllare quali account di servizio possono essere utilizzati con Looker Studio, garantendo al contempo che gli utenti della tua organizzazione possano accedere facilmente ai dati di cui hanno bisogno.

L'utilizzo di un account di servizio invece delle credenziali di un singolo utente comporta i seguenti vantaggi:

  • Le origini dati che utilizzano le credenziali dell'account di servizio non subiranno interruzioni se il creatore lascia l'azienda.
  • Le credenziali dell'account di servizio supportano l'accesso ai dati situati dietro perimetri Controlli di servizio VPC che utilizzano criteri relativi ai dispositivi.
  • Le funzionalità automatizzate come le email pianificate e le estrazioni di dati pianificate funzioneranno con le origini dati che si trovano dietro un perimetro Controlli di servizio VPC.

Scopri di più sugli account di servizio.

Ti consigliamo di creare nuovi account di servizio da utilizzare esclusivamente con Looker Studio. Ad esempio, puoi creare account di servizio distinti dedicati per team di marketing, vendite e progettazione da utilizzare con Looker Studio.
Contenuti di questo articolo:

Prima di iniziare

  • Per configurare un account di servizio, devi disporre del ruolo Amministratore account di servizio (roles/iam.serviceAccountAdmin) o Creazione account di servizio (roles/iam.serviceAccountCreator) per il tuo progetto Google Cloud. Scopri di più sui ruoli degli account di servizio.
  • Per ottenere l'agente di servizio Looker Studio, devi essere un utente di Workspace o Cloud Identity.

Istruzioni di configurazione

Devi seguire le istruzioni in questo articolo solo una volta, a meno che tu non voglia creare altri account di servizio per team o gruppi di utenti diversi. Per creare più account, ripeti queste istruzioni per ciascun account aggiuntivo.

Trovare l'agente di servizio Looker Studio

Per consentire all'account di servizio di accedere ai tuoi dati, devi fornire l'agente di servizio Looker Studio per la tua organizzazione. Puoi trovarlo in una pagina di assistenza di Looker Studio:

  1. Vai alla pagina di assistenza dell'agente di servizio Looker Studio.
  2. Copia l'indirizzo email dell'agente di servizio visualizzato nella pagina.

Esempio della pagina di assistenza dell'agente di servizio Looker Studio che mostra l'organizzazione e l'agente di servizio. Un'icona della guida mostra ulteriori spiegazioni. Il link ipertestuale "account di servizio" ti rimanda alla pagina di configurazione di Cloud Console. La pagina "Fai clic qui per le istruzioni" ti rimanda al Centro assistenza.

Creare un account di servizio per Looker Studio

Le istruzioni sulla creazione di un account di servizio sono disponibili nella documentazione di Google Cloud IAM. Per creare l'account di servizio puoi utilizzare Cloud Console o la riga di comando di Cloud Shell.

Utilizzare Cloud Console

Passaggio 1: crea un nuovo account di servizio

  1. Dalla console Cloud, vai alla pagina Crea account di servizio.

    Vai a Crea account di servizio

  2. Seleziona un progetto.

  3. Inserisci il nome di un account di servizio da visualizzare in Cloud Console.

    Cloud Console genera un ID account di servizio in base a questo nome. Se necessario, modifica l'ID. Non potrai modificare l'ID in un secondo momento.

  4. (Facoltativo) Inserisci una descrizione per l'account di servizio.

  5. Fai clic su CREA E CONTINUA.
    Esempio dell'interfaccia di Google Cloud Platform che mostra il passaggio 1 "Creare un account di servizio": dettagli dell'account di servizio. Il campo del nome dell'account di servizio contiene "Account di servizio Looker Studio". L'ID dell'account di servizio contiene "data-studio-service-accoun-309". Il campo della descrizione dell'account di servizio contiene "Un account di servizio per gli utenti di Looker Studio". Il pulsante CREA E CONTINUA è evidenziato.

  6. Nel passaggio 2, Concedi a questo account di servizio l'accesso al progetto, concedi il ruolo IAM Utente job BigQuery all'account di servizio.
    Concessione a un account di servizio dell'accesso a un progetto. In questo esempio, l'utente ha digitato "BigQuery Job" (Job BigQuery) nella casella di filtro e ha selezionato il ruolo Utente job BigQuery.
  7. Fai clic su Continua.
  8. Nel campo Ruolo degli utenti dell'account di servizio, aggiungi gli utenti che possono utilizzare questo account di servizio per fornire le credenziali per le loro origini dati. Se non vuoi aggiungere gli utenti ora, puoi farlo in un secondo momento seguendo le istruzioni riportate al Passaggio 3: concedi i ruoli utente di seguito.
  9. Fai clic su FINE per salvare l'account di servizio e tornare alla pagina dell'elenco degli account di servizio per il progetto.

Passaggio 2: consenti all'agente di servizio Looker Studio di accedere al tuo account di servizio

  1. Torna all'elenco degli account di servizio della console Cloud.
  2. Seleziona con un clic nell'elenco l'account di servizio di Looker Studio appena creato.
  3. In alto, fai clic su AUTORIZZAZIONI.
  4. Fai clic su Icona di condivisioneCONCEDI ACCESSO.
  5. A destra, in Aggiungi entità a <progetto>, incolla l'indirizzo email dell'agente di servizio Looker Studio (copiato nel passaggio 1 sopra) nella casella Nuove entità.
  6. Seleziona un ruolo che conceda all'agente di servizio l'autorizzazione iam.serviceAccount.getAccessToken. Ad esempio, puoi utilizzare il ruolo Creatore token account di servizio, ma anche qualsiasi ruolo personalizzato che conceda questa autorizzazione.
  7. Fai clic su SALVA.
Suggerimento: l'indirizzo dell'agente di servizio utilizza il formato service-account@<project_id>.iam.gserviceaccount.com. Se conosci l'ID progetto, puoi creare l'indirizzo manualmente.

Esempio di aggiunta dell'agente di servizio Looker Studio come entità nell'account di servizio. L'agente di servizio Looker Studio viene aggiunto come nuova entità. Il ruolo Creatore token account di servizio è stato concesso.

Passaggio 3: concedi i ruoli utente

Nota: questo passaggio è facoltativo se hai già aggiunto utenti di Looker Studio durante la creazione dell'account di servizio, come descritto nel passaggio 1 riportato sopra.

Agli utenti di Looker Studio che creano o modificano le origini dati deve essere concesso un ruolo che includa l'autorizzazione iam.serviceAccounts.actAs, ad esempio il ruolo Utente account di servizio (roles/iam.serviceAccountUser). Puoi concedere questo ruolo nel progetto o in un account di servizio singolo, ma ti consigliamo di concederlo solo nell'account di servizio. Per le istruzioni, vedi Gestione del furto d'identità degli account di servizio.

Suggerimento: se non vuoi completare ora questo passaggio, puoi farlo in seguito.
Suggerimento: ti consigliamo di NON concedere agli utenti non agenti di servizio il ruolo Creatore token account di servizio perché non è necessario per Looker Studio.
Nota: gli utenti che visualizzano solo i report Looker Studio non devono disporre delle autorizzazioni per l'account di servizio.
  1. Vai all'elenco degli account di servizio della console Cloud.
  2. Seleziona con un clic nell'elenco l'account di servizio di Looker Studio.
  3. Nella parte superiore della pagina, fai clic su AUTORIZZAZIONI.
  4. Fai clic su Icona di condivisioneCONCEDI ACCESSO.
  5. A destra, in Aggiungi entità e ruoli a <account di servizio>, inserisci gli indirizzi email degli utenti nella casella Nuove entità.
  6. Seleziona il ruolo Utente account di servizio.
  7. Fai clic su SALVA.

Esempio di aggiunta di un utente come entità nell'account di servizio con la concessione del ruolo Utente account di servizio.

Passaggio 4: attiva l'account di servizio per accedere ai dati BigQuery

Per consentire a Looker Studio di accedere ai tuoi dati, concedi il ruolo Visualizzatore dati BigQuery all'account di servizio a livello di tabella o set di dati.

Nota: non è consigliabile concedere all'account di servizio l'accesso a livello di progetto.

Per concedere l'accesso a una tabella:

  1. Vai all'elenco degli account di servizio della console Cloud.
  2. Copia l'indirizzo email dell'account di servizio di Looker Studio.
  3. Vai a BigQuery e apri un progetto.
  4. Espandi un set di dati facendo clic su .
  5. Seleziona una tabella.
  6. Fai clic su Icona di condivisione CONDIVIDI nella barra degli strumenti.
  7. Nel riquadro che si apre a destra, fai clic su Icona di condivisione AGGIUNGI ENTITÀ.
  8. Nella casella Nuove entità, incolla l'indirizzo email dell'account di servizio di Looker Studio.
  9. Seleziona il ruolo Visualizzatore dati BigQuery.
  10. Fai clic su SALVA.

Per concedere l'accesso a un set di dati:

  1. Vai all'elenco degli account di servizio della console Cloud.
  2. Copia l'indirizzo email dell'account di servizio di Looker Studio.
  3. Vai a BigQuery, apri un progetto e individua il set di dati.
  4. A destra del nome del set di dati, fai clic su Visualizza azioni Icona "Altre opzioni".
  5. Fai clic su Apri.
  6. Nella barra degli strumenti, fai clic su Icona di condivisioneCONDIVISIONE > Autorizzazioni.
  7. Nel riquadro che si apre a destra, fai clic su Icona di condivisione AGGIUNGI ENTITÀ.
  8. Nella casella Nuove entità, incolla l'indirizzo email dell'account di servizio di Looker Studio.
  9. Seleziona il ruolo Visualizzatore dati BigQuery.
  10. Fai clic su SALVA.
Utilizzare Cloud Shell

Passaggio 1: crea un nuovo account di servizio

Segui la procedura generale indicata in gcloud in Creazione e gestione degli account di servizio.

  1. Apri Cloud Shell.
  2. Seleziona un progetto, se necessario.
  3. Per creare l'account di servizio, esegui il comando gcloud iam service-accounts create. Puoi utilizzare qualsiasi nome, descrizione e nome visualizzato dell'account che preferisci.


    Esempio:

    gcloud iam service-accounts create datastudio_service_account \
    --description="Use for Looker Studio access to BigQuery" \
    --display-name="DS_BQ"
  1. Per accedere ai dati BigQuery nel progetto GCP che vuoi utilizzare con Looker Studio, assegna all'account di servizio l'autorizzazione bigquery.jobs.create. Per concedere questa autorizzazione, puoi assegnare il ruolo IAM Utente job BigQuery.

    Inoltre, concedi all'account di servizio le autorizzazioni bigquery.tables.getData e bigquery.tables.get nel progetto o nel set di dati da utilizzare con Looker Studio. Per concedere queste autorizzazioni, puoi assegnare il ruolo Visualizzatore dati BigQuery (roles/bigquery.dataViewer).

    Per concedere questi ruoli, esegui il comando gcloud projects add-iam-policy-binding. Negli esempi riportati di seguito, sostituisci PROJECT_ID con il tuo ID progetto.

    Esempio:
    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/bigquery.jobUser"
     
    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/bigquery.dataViewer"

Passaggio 2: consenti all'agente di servizio Looker Studio di accedere al tuo account di servizio

Per consentire all'agente di servizio Looker Studio di accedere ai dati tramite l'account di servizio, concedi il ruolo Creatore token account di servizio (roles/iam.serviceAccountTokenCreator) all'agente di servizio. A questo scopo, esegui il comando gcloud iam service-accounts add-iam-policy-binding. Nell'esempio seguente, sostituisci ORG_ID con l'ID della tua organizzazione.

Esempio:

gcloud iam service-accounts add-iam-policy-binding \ datastudio_service_account@PROJECT_ID.iam.gserviceaccount.com \ --member="service-ORG_ID@gcp-sa-datastudio.iam.gserviceaccount.com" \ --role="roles/iam.serviceAccountTokenCreator"

Passaggio 3: concedi i ruoli utente

Agli utenti di Looker Studio che creano o modificano le origini dati deve essere concesso un ruolo che includa l'autorizzazione iam.serviceAccounts.actAs, ad esempio il ruolo Utente account di servizio (roles/iam.serviceAccountUser). Puoi concedere questo ruolo nel progetto o in un account di servizio singolo, ma ti consigliamo di concederlo solo nell'account di servizio. Per le istruzioni, vedi Gestione del furto d'identità degli account di servizio.

Se non vuoi completare ora questo passaggio, puoi farlo in seguito.
Suggerimento: ti consigliamo di NON concedere agli utenti non agenti di servizio il ruolo Creatore token account di servizio perché non è necessario per Looker Studio.
Nota: gli utenti che visualizzano solo i report Looker Studio non devono disporre delle autorizzazioni per l'account di servizio.

Per concedere il ruolo Utente account di servizio, esegui il comando gcloud projects add-iam-policy-binding. Negli esempi riportati di seguito, sostituisci PROJECT_ID con il tuo ID progetto e "user@example.com" con uno o più indirizzi email validi (separa le voci multiple con una virgola).

Esempio:

gcloud iam service-accounts add-iam-policy-binding \ datastudio_service_account@PROJECT_ID.iam.gserviceaccount.com \
--member="user:user@example.com" \
--role="roles/iam.serviceAccountUser"

Passaggio 4: attiva l'account di servizio per accedere ai dati BigQuery

Per consentire a Looker Studio di accedere ai tuoi dati, concedi il ruolo Visualizzatore dati BigQuery all'account di servizio a livello di tabella o set di dati.

Il modo più semplice per farlo è seguire le istruzioni di Cloud Console riportate sopra al passaggio 4. Per concedere l'accesso ai dati utilizzando lo strumento a riga di comando bq, consulta Controllo dell'accesso ai set di dati.

Fornire gli account di servizio di Looker Studio agli utenti di Looker Studio

Gli utenti di Looker Studio devono sapere quale account di servizio utilizzare per la creazione delle origini dati. Poiché non esiste un modo per visualizzare l'elenco degli account di servizio disponibili in Looker Studio, devi rendere accessibili queste informazioni tramite la documentazione, il sito web interno o le email della tua organizzazione.

Nota: non è necessario gestire manualmente le chiavi degli account di servizio né scaricare le chiavi degli account di servizio dalla console Cloud e caricarle in Looker Studio. Il limite di 10 chiavi per account di servizio non si applica a Looker Studio.

 

Modificare un'origine dati che utilizza le credenziali dell'account di servizio

Quando un utente modifica un'origine dati che utilizza le credenziali dell'account di servizio, Looker Studio controlla se possiede l'autorizzazione all'uso dell'account di servizio. In caso contrario, l'origine dati passa all'uso delle credenziali dell'utente.

Vedere chi utilizza l'account di servizio per accedere ai dati

Puoi esaminare i log di controllo per gli account di servizio in Cloud Console. Per ricevere i log di controllo per gli account di servizio, devi attivare i log di controllo IAM per l'attività di accesso ai dati.

Errori

Questa sezione spiega i messaggi di errore che i creatori delle origini dati e i visualizzatori dei report di Looker Studio potrebbero ricevere quando tentano di utilizzare un account di servizio. Nella maggior parte dei casi, questi errori hanno la stessa causa principale: configurazione errata o incompleta dell'account di servizio.

Ruolo agente di servizio mancante

Messaggi

  • L'agente di servizio Looker Studio non ha l'autorizzazione iam.serviceAccount.getAccessToken per questo servizio.
  • All'agente di servizio utilizzato dall'account di servizio di questa origine dati manca il ruolo "Creatore token account di servizio".

Causa

All'agente di servizio non è stato concesso il ruolo Creatore token account di servizio (o un altro ruolo che include l'autorizzazione iam.serviceAccount.getAccessToken).

Soluzione

Concedi il ruolo Creatore token account di servizio all'account di servizio.

Nessun accesso ai dati

Messaggio

L'account di servizio non può accedere al set di dati sottostante.

Causa

All'account di servizio non è stato concesso l'accesso ai dati del progetto.

Soluzione

Concedi al tuo account di servizio almeno il ruolo Visualizzatore dati BigQuery nella tabella, nel set di dati o nel progetto sottostante.

Ruolo utente mancante

Messaggio

Non hai l'autorizzazione per utilizzare questo account di servizio.

Causa

L'utente non è stato aggiunto come entità all'account di servizio con il ruolo Utente account di servizio.

Soluzione

Concedi all'utente il ruolo Utente account di servizio nell'account di servizio.

Agente di servizio non disponibile per l'account

Messaggi

  • Non è possibile generare gli agenti di servizio per questo account. Riprova con un account gestito Google Workspace o Cloud Identity.
  • Le credenziali dell'agente di servizio sono disponibili solo per le organizzazioni gestite di Google Workspace o Cloud Identity. Utilizza un altro account per usare questa funzionalità.

Causa

L'utente sta tentando di accedere ai dati controllati da un account di servizio da un Account Google standard (utente consumatore).

Soluzione

Utilizza un account Google Workspace o Cloud Identity per accedere ai dati.

Impossibile utilizzare l'agente di servizio nella finestra di dialogo delle credenziali

Messaggio

Non è possibile utilizzare gli agenti di servizio Looker Studio per collegarsi direttamente ai dati. Utilizza un account di servizio.

Soluzione

Gli agenti e gli account di servizio sono diversi. Inserisci un account di servizio nella finestra di dialogo delle credenziali. Puoi trovare l'elenco degli account di servizio disponibili in Cloud Console:

Utilizzare Cloud Console

  1. Vai alla piattaforma Google Cloud > IAM e amministrazione > Account di servizio.
  2. Seleziona un progetto, se necessario.
  3. Nella pagina Account di servizio per il progetto, individua l'account di servizio che Looker Studio utilizzerà per accedere ai dati di BigQuery.
  4. Copia l'indirizzo email di quell'account.

Utilizzare Cloud Shell

  1. Apri Cloud Shell.
  2. Seleziona un progetto, se necessario.
  3. Per visualizzare un elenco degli account di servizio a cui hai accesso, esegui il comando gcloud iam service-accounts list.

Esempio:

gcloud iam service-accounts list

Limiti

  • Le credenziali dell'account di servizio sono attualmente disponibili solo per le origini dati BigQuery.I limiti IAM si applicano agli account di servizio.
  • Potrebbero essere necessari alcuni minuti prima che le modifiche alle autorizzazioni degli account di servizio vengano applicate in Looker Studio.

Risorse correlate

È stato utile?

Come possiamo migliorare l'articolo?
true
Novità di Looker Studio

Scopri di più su nuove funzionalità e modifiche recenti. Le note di rilascio di Looker Studio sono disponibili su Google Cloud.

Ricerca
Cancella ricerca
Chiudi ricerca
Menu principale
3714930268607653930
true
Cerca nel Centro assistenza
true
true
true
true
true
102097
false
false