Looker Studio のアセット(レポート、データソース、データ探索)は、作成したユーザー、または移管されたユーザーがオーナーとなります。オーナーが退職した場合、引き続き Looker Studio アセットを使用できるようにするには、管理者が対象のアセットを他のユーザーに移管する必要があります。移管しなかった場合、それらのアセットは削除され、退職したユーザーのデータ認証情報が取り消されて、そのユーザーのレポートおよびデータソースは破棄されます。
一方、Looker Studio Pro のアセットは、Cloud Identity または Google Workspace の組織を最終的なオーナーとして階層的に編成されます。組織オーナー権限があれば、各オーナーが退職しても、Looker Studio アセットを引き続き使用できます。
組織オーナー権限には次のメリットがあります。
- ユーザーが作成した Looker Studio アセットは、すべて管理者が制御、管理している Google Cloud プロジェクトに保存されます。
- Looker Studio Pro アセットは、作成者が退職した場合でも削除されません。
- IAM を使用すれば、組織内のすべての Looker Studio Pro アセットにプロジェクト レベルの権限を割り当てられます。
- Looker Studio Pro アセットを他のクラウド サービス(Dataplex のリネージなど)で使用できます。
組織で Looker Studio Pro を使用する
組織で Looker Studio Pro を使用するには、Looker Studio Pro を Google Cloud プロジェクトにリンクする必要があります。そのプロジェクトには必要に応じて、Looker Studio アセットを管理するプリンシパルを追加できます。
Google Cloud プロジェクトにリンクする
この手順を実施するには、Looker Studio アセットの管理に使用する Google Cloud プロジェクトを指定します。このプロジェクトは、Looker Studio Pro サブスクリプションのお支払いにも使用されます。
resourcemanager.projects.updateLiens 権限があることを確認してください。この権限は、Google Cloud がリーエンを作成できるように、roles/owner ロールと roles/resourcemanager.lienModifier ロールを持つユーザーに付与されるものです。-
- Google Cloud コンソール アカウント管理ページに移動します。
- Looker Studio アセットの管理とお支払いに使用するプロジェクトを見つけて、プロジェクト ID をメモします。
-
クラウド プロジェクトの要件
重要: Google Cloud プロジェクトは慎重に選択してください。Looker Studio を一度プロジェクトにリンクすると、Looker Studio アセットを別のプロジェクトに移動できなくなります。Looker Studio 専用のツールを使用することをおすすめします。- 選択するプロジェクトでは、Looker Studio サブスクリプションに使用しているのと同じ請求先アカウントを使用する必要があります。
- Looker Studio Pro へのアップグレードを行うユーザーは、Workspace サービス管理者のロール、またはプロジェクトを所有する組織で
Looker Studio の設定を管理する権限を付与する別のロールを持っている必要があります。 -
Looker Studio Pro へのアップグレードを行うユーザーは、プロジェクトのオーナーロールも持っている必要があります。
-
販売パートナー様の場合: 販売パートナー経由でサブスクリプションを購入されたお客様は、サブスクリプションの請求先アカウントにリンクされているプロジェクトを指定する必要があります。
手順を進める前に、ベスト プラクティスのセクションを参考にしてください。
-
- Looker Studio にログインします。
- 左側のナビゲーションで [エンタープライズ管理者] をクリックします。
- 表示される設定ダイアログの左側で、[プロジェクト所有権] をクリックします。
- [プロジェクト ID] フィールドに、Google Cloud プロジェクト ID を入力します。
省略可: プロジェクトにプリンシパルを追加する
個々の Looker Studio ユーザーをプロジェクトに追加する必要はありませんが、組織内の他のユーザーが Looker Studio プロジェクトを管理できるようにする場合は、Google Cloud コンソールの IAM リソース マネージャーを使用して、プロジェクトにプリンシパルを追加します。ベスト プラクティスのセクションを参考にしてください。
プリンシパルには次の IAM ロールを付与できます。
注:
- 現在、これらのロールでは Data Studio(データポータル)での名前を使用しています。
- Looker Studio では、カスタムロールはサポートされていません。
- 各ロールに含まれる個別の IAM 権限については、IAM permissions reference(英語)をご覧ください。
|
ロール |
説明 |
|---|---|
|
Data Studio Admin(データポータル管理者) ( |
レポートとデータソースに対するすべての権限が含まれます。 |
|
Data Studio Asset Viewer(データポータル アセット閲覧者) ( |
レポートとデータソースに対する閲覧権限が含まれます。 |
|
Data Studio Asset Editor(データポータル アセット編集者) ( |
レポートとデータソースに対する編集権限が含まれます。削除権限は含まれません。 |
ベスト プラクティス
Looker Studio Pro プロジェクトの設定は、次のベスト プラクティスに沿って行うことをおすすめします。
Looker Studio Pro アセット用の個別の Google Cloud プロジェクトを作成する
Looker Studio Pro アセットの管理専用プロジェクトを作成することをおすすめします。管理専用プロジェクトを他のプロジェクトと分けることで、プロジェクトの用途を明確にし、誤ってアセットを削除してしまうことを防げます。
プロジェクトのプリンシパル数を制限する
プロジェクトに追加するプリンシパルの数は最小限に抑えてください。なお、Looker Studio は、プロジェクトへのアクセス権がなくても使用できます。その代わりに、Looker Studio プロジェクトへのアクセス権は、一部の限られたユーザーに管理機能を委任するための方法として使用できます。
「最小権限」の原則に準拠する
プロジェクトに追加したユーザーには、組織のポリシーに則って、Looker Studio アセットの管理に必要な最小限のロールを付与してください。
その際は、Looker Studio に固有のロールを使用し、IAM の基本ロールは使用しないでください。基本ロールには、すべての Google Cloud サービスにかかわる多くの権限が含まれます。本番環境では、他に選択肢がない限り、基本ロールを付与しないでください。代わりに、ニーズに合った最低減の事前定義ロールを付与しましょう。
詳しくは、IAM を安全に使用する方法をご覧ください。
組織の変更
Looker Studio Pro を 1 つの組織のプロジェクトにリンクしていて、後からそのプロジェクトを別の組織に移管する場合は、次の手順を実施します。
-
- Google Cloud コンソールで新しい組織を設定します。
- 元のプロジェクト、ユーザー、リソースを、現在の組織から新しい組織に移行します。詳しくは、プロジェクトの移行をご覧ください。
- Looker Studio にログインします。
- 左側のナビゲーションで [エンタープライズ管理者] をクリックします。
- 表示される設定ダイアログの左側で、[プロジェクト所有権] をクリックします。
- [プロジェクト ID] フィールドに、Google Cloud プロジェクト ID を入力します。注意: 移行元の組織で使用されていたプロジェクトと同じものを指定する必要があります。
- [プロジェクトをリンク] をクリックします。
その他の移管シナリオについては、Cloud カスタマーケアにお問い合わせください。
Google Cloud のリンクに関する制限事項
- Looker Studio をリンクできるプロジェクトは 1 つに限られます。
- すでにプロジェクトにリンクされている Looker Studio は、別のプロジェクトにリンクできません。
- Looker Studio Pro プロジェクトには Google Cloud リーエンが設定されているため、アセットが誤って削除されることはありません。ただし、手動でプロジェクトを削除すると、そのプロジェクト内のすべてのアセットが完全に削除されるため、注意が必要です。