コミュニティ コネクタでサービス アカウントを使用すると、リソースのアクセス権限を集中管理できます。一般的な使用例は、ユーザーが自分の認証情報ではアクセスできないデータへのアクセスを委任することです。
このトピックについて、サービス アカウントについてもご確認ください。
利点
- データアクセスの請求を統合できます。
- コネクタに独自のアクセス制御レイヤを実装できます。
- ユーザーの認証情報ではアクセスできないデータまたはリソースへのアクセス権を委任できます。
実装手順
- データを取得するプラットフォームのサービス アカウントを作成します。
- サービス アカウントが必要なリソースにアクセスできるように、必要な権限をサービス アカウントに付与します。
- サービス アカウントの認証情報をコネクタのスクリプト プロパティに保存します。
- コネクタの実行中に、保存されている認証情報を使用して必要なデータを取得します。
- (省略可)データをフィルタ処理するアクセス制御ロジックを実装します。
例: Looker Studio の高度なサービスとサービス アカウントを使用して BigQuery にアクセスする
ユーザー自身が BigQuery テーブルからダッシュボードを作成できるようにするソリューションを構築しているとします。ユーザーが Looker Studio の BigQuery コネクタを使用する場合は、BigQuery テーブルに対する読み取りアクセス権が必要になります。Google Cloud Platform(GCP)の請求先アカウントも必要になります。次の手順では、サービス アカウントを使用して請求を統合し、BigQuery データへのアクセスを委任する方法について説明します。
- 目的の GCP プロジェクトでサービス アカウントを作成します。
- サービス アカウントで BigQuery ジョブを作成し、必要なテーブルのデータを表示できるようにします。詳しくは、BigQuery アクセス制御についての記事をご覧ください。
- サービス アカウントのキーを作成し、認証情報をコネクタのスクリプト プロパティに保存します。
- Apps Script プロジェクトに OAuth2 Apps Script ライブラリを含めます。
getData 関数では、サービス アカウントを認証してアクセス トークンを生成します。OAuth2 スコープを https://www.googleapis.com/auth/bigquery.readonly に設定します。getData レスポンスで他の設定アイテムとともにアクセス トークンを返します。
以下は、コネクタの完全なサンプルコードです。
main.js
var cc = DataStudioApp.createCommunityConnector();
var scriptProperties = PropertiesService.getScriptProperties();
function isAdminUser() {
return true;
}
function getAuthType() {
var AuthTypes = cc.AuthType;
return cc
.newAuthTypeResponse()
.setAuthType(AuthTypes.NONE)
.build();
}
function getConfig(request) {
var config = cc.getConfig();
config
.newInfo()
.setId('generalInfo')
.setText('This is an example connector to showcase row level security.');
return config.build();
}
function getFields() {
var fields = cc.getFields();
var types = cc.FieldType;
var aggregations = cc.AggregationType;
fields
.newDimension()
.setId('region')
.setName('Region')
.setType(types.TEXT);
fields
.newMetric()
.setId('sales')
.setName('Sales')
.setType(types.NUMBER)
.setAggregation(aggregations.SUM);
fields
.newDimension()
.setId('date')
.setName('Date')
.setType(types.YEAR_MONTH_DAY);
return fields;
}
function getSchema(request) {
return {schema: getFields().build()};
}
var SERVICE_ACCOUNT_CREDS = 'SERVICE_ACCOUNT_CREDS';
var SERVICE_ACCOUNT_KEY = 'private_key';
var SERVICE_ACCOUNT_EMAIL = 'client_email';
var BILLING_PROJECT_ID = 'project_id';
/**
* Copy the entire credentials JSON file from creating a service account in GCP.
*/
function getServiceAccountCreds() {
return JSON.parse(scriptProperties.getProperty(SERVICE_ACCOUNT_CREDS));
}
function getOauthService() {
var serviceAccountCreds = getServiceAccountCreds();
var serviceAccountKey = serviceAccountCreds[SERVICE_ACCOUNT_KEY];
var serviceAccountEmail = serviceAccountCreds[SERVICE_ACCOUNT_EMAIL];
return OAuth2.createService('RowLevelSecurity')
.setAuthorizationBaseUrl('https://accounts.google.com/o/oauth2/auth')
.setTokenUrl('https://accounts.google.com/o/oauth2/token')
.setPrivateKey(serviceAccountKey)
.setIssuer(serviceAccountEmail)
.setPropertyStore(scriptProperties)
.setCache(CacheService.getScriptCache())
.setScope(['https://www.googleapis.com/auth/bigquery.readonly']);
}
var BASE_SQL =
'SELECT d.region, d.sales, d.date ' +
'FROM `datastudio-solutions.row_level_security.data` d ' +
'INNER JOIN `datastudio-solutions.row_level_security.access` a ' +
'ON d.region = a.region ' +
'where a.email=@email';
function getData(request) {
var accessToken = getOauthService().getAccessToken();
var serviceAccountCreds = getServiceAccountCreds();
var billingProjectId = serviceAccountCreds[BILLING_PROJECT_ID];
var email = Session.getEffectiveUser().getEmail();
var bqTypes = DataStudioApp.createCommunityConnector().BigQueryParameterType;
return cc
.newBigQueryConfig()
.setAccessToken(accessToken)
.setBillingProjectId(billingProjectId)
.setUseStandardSql(true)
.setQuery(BASE_SQL)
.addQueryParameter('email', bqTypes.STRING, email)
.build();
}
