Notificação

Este artigo é sobre o Looker Studio. Acesse a documentação do Looker em https://cloud.google.com/looker/docs/intro.

Configurar uma conta de serviço do Google Cloud para o Looker Studio

Crie e configure uma conta de serviço para acessar dados em nome do Looker Studio.
Observação: 
  • Este artigo é destinado a administradores de contas de serviço. Para saber como usar uma conta de serviço na sua fonte de dados, consulte Credenciais de dados.
  • No momento, as credenciais da conta de serviço estão disponíveis apenas para fontes do BigQuery.

Em vez de delegar o acesso usando as credenciais do proprietário ou exigir que os leitores de relatório tenham acesso aos dados usando as credenciais de leitor, o Looker Studio pode usar uma conta de serviço para acessar as informações. Uma conta de serviço é um tipo especial de Conta do Google destinada a representar um usuário não humano que pode ser autenticado e autorizado a acessar dados em APIs e produtos do Google.

Para usar uma conta de serviço com o Looker Studio, adicione o agente de serviço do Looker Studio da sua organização como usuário (principal) na conta. Assim, você controla quais contas de serviço podem ser usadas com o Looker Studio, garantindo que os usuários da sua organização possam acessar facilmente os dados de que precisam.

O uso dessa conta em vez das credenciais de um usuário oferece estes benefícios:

  • As fontes de dados que usam credenciais de conta de serviço não vão ser interrompidas se o criador sair da empresa.
  • As credenciais da conta de serviço oferecem suporte ao acesso aos dados localizados atrás dos perímetros do VPC Service Controls que usam políticas de dispositivo.
  • Recursos automatizados, como extrações de dados e e-mails programados, funcionam com as fontes de dados que estão por trás de um perímetro do VPC Service Controls.

Saiba mais sobre as contas de serviço.

Crie novas contas de serviço para usar somente com o Looker Studio. Por exemplo, é possível criar contas dedicadas às equipes de marketing, vendas e engenharia para usar com o Looker Studio.
Neste artigo:

Antes de começar

  • Para configurar uma conta de serviço, você precisa ter papel de Administrador da conta de serviço (roles/iam.serviceAccountAdmin) ou Criar contas de serviço (roles/iam.serviceAccountCreator) no seu projeto do Google Cloud. Saiba mais sobre papéis de conta de serviço.
  • Para receber o agente de serviço do Looker Studio, você precisa ser um usuário do Cloud Identity ou do Workspace.

Instruções de configuração

Você só vai precisar seguir as instruções neste artigo uma vez, a menos que queira criar contas de serviço diferentes para equipes ou grupos de usuários distintos. Repita essas instruções para cada conta que criar.

Acessar o agente de serviço do Looker Studio

Para permitir que a conta de serviço acesse seus dados, você precisa fornecer o agente de serviço do Looker Studio da sua organização. Você pode encontrar o agente em uma página de ajuda no Looker Studio:

  1. Navegue até a página de ajuda do agente de serviço do Looker Studio.
  2. Copie o endereço de e-mail do agente mostrado nessa página.

Exemplo da página de ajuda do agente de serviço do Looker Studio que mostra a organização e o agente de serviço. Um ícone de ajuda mostra mais explicações. O hiperlink "conta de serviço" direciona você à página de configuração do Console do Cloud. A página "Clique aqui para ver instruções" direciona você à Central de Ajuda.

Crie uma conta de serviço para o Looker Studio

As instruções sobre como criar uma conta de serviço estão na documentação do Google Cloud IAM. Use o console do Cloud ou a linha de comando do Cloud Shell para criar a conta de serviço.

Usar o console do Cloud

Etapa 1: criar uma nova conta de serviço

  1. No console do Cloud, acesse a página Criar conta de serviço.

    Acesse "Criar conta de serviço"

  2. Selecione um projeto.

  3. Insira um nome de conta a ser exibido no console do Cloud.

    O console do Cloud vai gerar um ID de conta de serviço com base nesse nome. Edite o ID agora, se necessário. Não vai ser possível mudar o ID depois.

  4. Opcional: digite uma descrição da conta de serviço.

  5. Clique em CRIAR E CONTINUAR.
    Exemplo da interface do Google Cloud Platform mostrando a etapa 1 "Criar uma conta de serviço": detalhes da conta de serviço. O campo do nome da conta de serviço mostra "Conta de serviço do Looker Studio". O ID da conta de serviço mostra "data-studio-service-accoun-309". O campo de descrição da conta de serviço mostra "Uma conta de serviço para usuários do Looker Studio". O botão CRIAR E CONTINUAR está destacado.

  6. Na etapa 2, Conceda a essa conta de serviço acesso ao projeto, dê à conta de serviço o papel do IAM chamado Usuário de jobs do BigQuery.
    Como conceder a uma conta de serviço acesso a um projeto. Neste exemplo, o usuário digitou "BigQuery Job" na caixa de filtro e selecionou a função do usuário BigQuery Job.
  7. Clique em Continuar.
  8. No campo Papel de usuários da conta de serviço, adicione os usuários que podem usar essa conta para informar credenciais às fontes de dados deles. Se você não quiser incluir pessoas agora, faça isso depois seguindo as instruções na Etapa 3: conceder papéis de usuário abaixo.
  9. Clique em CONCLUÍDO para salvar a conta de serviço e voltar à página da lista de contas do seu projeto.

Etapa 2: permitir que o agente de serviço do Looker Studio acesse sua conta de serviço

  1. Volte para a lista de contas de serviço do console do Cloud.
  2. Selecione a conta de serviço do Looker Studio que você acabou de criar clicando nela na lista.
  3. Na parte de cima, clique em PERMISSÕES.
  4. Clique em Ícone de compartilhamentoCONCEDER ACESSO.
  5. À direita, em Adicionar principais ao <projeto>, cole o e-mail do agente de serviço do Looker Studio (que você copiou na etapa 1 acima) na caixa Novas principais.
  6. Selecione um papel que conceda ao agente de serviço a permissão iam.serviceAccount.getAccessToken. Por exemplo, você pode usar o papel de Criador do token da conta de serviço, mas também pode usar qualquer função personalizada que conceda essa permissão.
  7. Clique em SALVAR.
Dica: o endereço do agente de serviço usa o formato service-account@<project_id>.iam.gserviceaccount.com. Se você souber o ID do projeto, vai ser possível criar o endereço manualmente.

Exemplo de adição do agente de serviço do Looker Studio como o principal na conta de serviço. O agente de serviço do Looker Studio foi adicionado como um novo principal. O papel de "Criador de token da conta de serviço" foi concedido.

Etapa 3: conceder funções de usuário

Observação: essa etapa é opcional se você já adicionou usuários do Looker Studio ao criar a conta de serviço, conforme descrito na etapa 1 acima.

Os usuários do Looker Studio que criam ou editam fontes de dados precisam receber um papel que inclua a permissão iam.serviceAccounts.actAs, como o papel de Usuário da conta de serviço (roles/iam.serviceAccountUser). É possível fazer isso no projeto ou em uma conta de serviço, mas recomendamos que você escolha a segunda alternativa. Para ver instruções, consulte o artigo Como gerenciar a representação de uma conta de serviço.

Dica: se você não quiser seguir essa etapa agora, volte a ela mais tarde.
Dica: recomendamos que você NÃO conceda aos usuários que não são agentes de serviço o papel de Criador do token da conta de serviço porque isso não é necessário para o Looker Studio.
Observação: os usuários que só veem relatórios do Looker Studio não precisam ter permissões na conta de serviço.
  1. Navegue até a lista de contas de serviço do console do Cloud.
  2. Selecione sua conta do Looker Studio clicando nela na lista.
  3. Na parte de cima da página, clique em PERMISSÕES.
  4. Clique em Ícone de compartilhamentoCONCEDER ACESSO.
  5. À direita, em Adicionar principais e papéis da <conta de serviço>, insira os endereços de e-mail dos seus usuários na caixa Novos principais.
  6. Selecione o papel Usuário da conta de serviço.
  7. Clique em SALVAR.

Exemplo de como adicionar um usuário como o principal na conta de serviço, concedendo a função do usuário da conta de serviço.

Etapa 4: permitir que a conta de serviço acesse seus dados do BigQuery

Para permitir que o Looker Studio acesse seus dados, conceda o papel de Leitor de dados do BigQuery à conta no nível da tabela ou do conjunto de dados.

Observação: não recomendamos conceder acesso à conta de serviço no nível do projeto.

Para conceder acesso a uma tabela:

  1. Navegue até a lista de contas de serviço do console do Cloud.
  2. Copie o endereço de e-mail da conta do Looker Studio.
  3. Acesse o BigQuery e abra um projeto.
  4. Clique em para expandir um conjunto de dados.
  5. Selecione uma tabela.
  6. Na barra de ferramentas, clique em Ícone de compartilhamentoCOMPARTILHAR.
  7. No painel que for aberto à direita, clique em Ícone de compartilhamentoADICIONAR PRINCIPAL.
  8. Na caixa Novas principais, cole o endereço de e-mail da conta de serviço do Looker Studio.
  9. Selecione o papel de Leitor de dados do BigQuery.
  10. Clique em SALVAR.

Para conceder acesso a um conjunto de dados, faça o seguinte:

  1. Navegue até a lista de contas de serviço do console do Cloud.
  2. Copie o endereço de e-mail da conta do Looker Studio.
  3. Acesse o BigQuery, abra um projeto e localize o conjunto de dados.
  4. À direita do nome do conjunto de dados, clique em Ver ações Ícone "Mais opções".
  5. Clique em Abrir.
  6. Na barra de ferramentas, clique em Ícone de compartilhamentoCOMPARTILHAMENTO > Permissões.
  7. No painel que for aberto à direita, clique em Ícone de compartilhamentoADICIONAR PRINCIPAL.
  8. Na caixa Novas principais, cole o endereço de e-mail da conta de serviço do Looker Studio.
  9. Selecione o papel de Leitor de dados do BigQuery.
  10. Clique em SALVAR.
Usar o Cloud Shell

Etapa 1: criar uma nova conta de serviço

Siga as etapas gerais listadas em gcloud em Como criar e gerenciar contas de serviço.

  1. Abra o Cloud Shell.
  2. Selecione um projeto, se necessário.
  3. Para criar a conta de serviço, execute o comando gcloud iam service-accounts create. Você pode usar qualquer nome, descrição e nome de exibição na conta.


    Exemplo:

    gcloud iam service-accounts create datastudio_service_account \
    --description="Use for Looker Studio access to BigQuery" \
    --display-name="DS_BQ"
  1. Para acessar os dados do BigQuery no projeto do GCP que você quer usar com o Looker Studio, conceda à conta de serviço a permissão bigquery.jobs.create. Você pode conceder o papel do IAM chamado Usuário de jobs do BigQuery para dar essa permissão.

    Além disso, dê à conta as permissões bigquery.tables.getData e bigquery.tables.get no projeto ou conjunto de dados que você quer usar com o Looker Studio. Você pode conceder o papel de Leitor de dados do BigQuery (roles/bigquery.dataViewer) para dar essas permissões.

    Para conceder esses papéis, execute o comando gcloud projects add-iam-policy-binding. Nos exemplos a seguir, substitua PROJECT_ID pelo ID do seu projeto.

    Exemplo:
    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/bigquery.jobUser"
     
    gcloud projects add-iam-policy-binding PROJECT_ID \
    --member = "serviceAccount:datastudio_sa@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/bigquery.dataViewer"

Etapa 2: permitir que o agente de serviço do Looker Studio acesse sua conta de serviço

Para permitir que o agente de serviço do Looker Studio acesse dados usando a conta de serviço, conceda a esse agente o papel de Criador do token da conta de serviço (roles/iam.serviceAccountTokenCreator). Para fazer isso, execute o comando gcloud iam service-accounts add-iam-policy-binding. No exemplo a seguir, substitua ORG_ID pelo ID da sua organização.

Exemplo:

gcloud iam service-accounts add-iam-policy-binding \ datastudio_service_account@PROJECT_ID.iam.gserviceaccount.com \ --member="service-ORG_ID@gcp-sa-datastudio.iam.gserviceaccount.com" \ --role="roles/iam.serviceAccountTokenCreator"

Etapa 3: conceder funções de usuário

Os usuários do Looker Studio que criam ou editam fontes de dados precisam receber um papel que inclua a permissão iam.serviceAccounts.actAs, como o papel de Usuário da conta de serviço (roles/iam.serviceAccountUser). É possível fazer isso no projeto ou em uma conta de serviço, mas recomendamos que você escolha a segunda alternativa. Para ver instruções, consulte o artigo Como gerenciar a representação de uma conta de serviço.

Se você não quiser seguir essa etapa agora, volte a ela mais tarde.
Dica: recomendamos que você NÃO conceda aos usuários que não são agentes de serviço o papel de Criador do token da conta de serviço porque isso não é necessário para o Looker Studio.
Observação: os usuários que só veem relatórios do Looker Studio não precisam ter permissões na conta de serviço.

Para conceder o papel de Usuário da conta de serviço, execute o comando gcloud projects add-iam-policy-binding. Nos exemplos a seguir, substitua PROJECT_ID pelo ID do seu projeto e "user@example.com" por um ou mais endereços de e-mail válidos (separe várias entradas por vírgulas).

Exemplo:

gcloud iam service-accounts add-iam-policy-binding \ datastudio_service_account@PROJECT_ID.iam.gserviceaccount.com \
--member="user:user@example.com" \
--role="roles/iam.serviceAccountUser"

Etapa 4: permitir que a conta de serviço acesse seus dados do BigQuery

Para permitir que o Looker Studio acesse seus dados, conceda o papel de Leitor de dados do BigQuery à conta no nível da tabela ou do conjunto de dados.

É mais fácil fazer isso seguindo as instruções do console do Cloud na etapa 4 acima. Para conceder acesso aos dados usando a ferramenta de linha de comando bq, leia Como controlar o acesso a conjuntos de dados.

Fornecer as contas de serviço do Looker Studio aos usuários do Looker Studio

Os usuários do Looker Studio precisam saber qual conta de serviço usar ao criar fontes de dados. Como não é possível ver a lista de contas de serviço disponíveis no Looker Studio, você precisa disponibilizar essas informações pela documentação da sua organização, pelo site interno ou por e-mail.

Observação: não é preciso gerenciar as chaves de contas de serviço manualmente, e os usuários não precisam fazer o download delas no console do Cloud nem o upload no Looker Studio. O limite de 10 chaves por conta de serviço não se aplica ao Looker Studio.

 

Editar uma fonte de dados usando as credenciais da conta de serviço

Quando alguém edita uma fonte de dados usando as credenciais da conta de serviço, o Looker Studio verifica se a pessoa tem permissão para utilizar a conta. Quando não tem, a fonte de dados passa a usar as credenciais dela.

Ver quem está usando a conta de serviço para acessar dados

Você pode verificar os registros de auditoria das contas de serviço no console do Cloud. É necessário ativar os registros de auditoria do IAM para a atividade de acesso aos dados se você quiser receber registros de auditoria das contas de serviço.

Erros

Nesta seção, explicamos os erros que podem ocorrer quando os criadores de fontes de dados do Looker Studio e os leitores de relatório tentam usar uma conta de serviço. Na maioria dos casos, esses erros têm a mesma causa: configuração incorreta ou incompleta da conta de serviço.

A função do agente de serviço não foi informada

Mensagens

  • O agente de serviço do Looker Studio não tem a permissão iam.serviceAccount.getAccessToken para essa conta de serviço.
  • O papel "Criador do token da conta de serviço" não foi informado para o agente de serviço usado pela conta de serviço dessa fonte de dados.

Causa

O agente de serviço não recebeu o papel de Criador do token da conta de serviço (ou outro papel que inclua a permissão iam.serviceAccount.getAccessToken).

Solução

Conceda o papel Criador de token da conta de serviço à conta de serviço.

Sem acesso aos dados

Mensagem

Esta conta de serviço não pode acessar o conjunto de dados relacionado.

Causa

A conta de serviço não recebeu acesso aos dados do projeto.

Solução

Conceda pelo menos o papel de Leitor de dados do BigQuery à sua conta de serviço na tabela, conjunto de dados ou projeto relacionado.

Papel do usuário ausente

Mensagem

Você não tem permissão para usar esta conta de serviço.

Causa

O usuário não foi adicionado como principal à conta de serviço com o papel de Usuário da conta de serviço.

Solução

Conceda o papel de Usuário da conta de serviço a ele na conta de serviço.

O agente de serviço não está disponível para a conta

Mensagens

  • Não é possível gerar agentes do serviço para esta conta. Tente novamente com uma conta gerenciada do Cloud Identity ou do Google Workspace.
  • As credenciais do agente de serviço estão disponíveis apenas para organizações gerenciadas do Cloud Identity ou do Google Workspace. Use outra conta para esse recurso.

Causa

O usuário está tentando acessar dados controlados por uma conta de serviço de uma Conta do Google padrão (usuário consumidor).

Solução

Use uma conta do Google Workspace ou do Cloud Identity para acessar os dados.

Não é possível usar o agente de serviço na caixa de diálogo de credenciais

Mensagem

Os agentes de serviço do Looker Studio não podem ser usados para fazer uma conexão direta com os dados. Use uma conta de serviço.

Solução

Agentes e contas de serviço são diferentes. Insira uma conta de serviço na caixa de diálogo de credenciais. Você encontra a lista de contas de serviço disponíveis no console do Cloud:

Usar o console do Cloud

  1. Navegue até a página Google Cloud Platform > IAM e administrador > Contas de serviço.
  2. Selecione um projeto, se necessário.
  3. Na página Contas de serviço do projeto, localize a conta de serviço que o Looker Studio vai usar para acessar seus dados do BigQuery.
  4. Copie o endereço de e-mail da conta.

Usar o Cloud Shell

  1. Abra o Cloud Shell.
  2. Selecione um projeto, se necessário.
  3. Para listar as contas de serviço a que você tem acesso, execute o comando gcloud iam service-accounts list.

Exemplo:

gcloud iam service-accounts list

Limites

  • No momento, as credenciais da conta de serviço estão disponíveis apenas para fontes de dados do BigQuery. Os limites do IAM se aplicam às contas de serviço.
  • Pode levar alguns minutos para que as mudanças nas permissões da conta de serviço apareçam no Looker Studio.

Recursos relacionados

Isso foi útil?

Como podemos melhorá-lo?
true
Novidades do Looker Studio

Saiba mais sobre novos recursos e mudanças recentes. Notas da versão do Looker Studio disponíveis no Google Cloud.

Pesquisa
Limpar pesquisa
Fechar pesquisa
Menu principal
18396351244345487494
true
Pesquisar na Central de Ajuda
true
true
true
true
true
102097
false
false