您可以在社群連接器中使用服務帳戶,集中管理資源存取權。常見的用途是,委派使用者無法透過自己的憑證存取的資料。
請參閱瞭解服務帳戶,熟悉這個主題。
優點
- 您可以合併資料存取權的帳單。
- 您可以在連接器中自行實作存取權控管層。
- 您可以委派使用者憑證無法存取的資料或資源。
導入步驟
- 為您要擷取資料的平台建立服務帳戶。
- 為服務帳戶提供必要的權限,讓服務帳戶能存取必要資源。
- 將服務帳戶的憑證儲存在連接器的指令碼屬性中。
- 在連接器執行期間,使用已儲存的憑證擷取必要資料。
- 選用:導入存取權控管邏輯來篩選資料。
範例:透過 Looker Studio Advanced 服務和服務帳戶存取 BigQuery
您正在建構解決方案,使用者會透過 BigQuery 資料表建構資訊主頁。如果使用者使用 Looker Studio 的 BigQuery 連接器,則需要 BigQuery 資料表的讀取權限。他們也需要有 Google Cloud Platform (GCP) 的帳單帳戶。以下步驟說明如何使用服務帳戶合併帳單並委派 BigQuery 資料的存取權。
- 在所需的 GCP 專案中建立服務帳戶。
- 確認服務帳戶可以建立 BigQuery 工作,並查看必要資料表的資料。詳情請參閱 BigQuery 存取權控管。
- 為服務帳戶建立金鑰,並將憑證儲存在連接器的指令碼屬性中。
- 在 Apps Script 專案中納入 OAuth2 Apps Script 程式庫。
- 針對
getData 函式驗證服務帳戶並產生存取權杖。將 OAuth2 範圍設為 https://www.googleapis.com/auth/bigquery.readonly。
- 在
getData 回應中傳回存取權杖搭配其他設定項目。
以下是連接器程式碼的完整範例:
main.js
var cc = DataStudioApp.createCommunityConnector();
var scriptProperties = PropertiesService.getScriptProperties();
function isAdminUser() {
return true;
}
function getAuthType() {
var AuthTypes = cc.AuthType;
return cc
.newAuthTypeResponse()
.setAuthType(AuthTypes.NONE)
.build();
}
function getConfig(request) {
var config = cc.getConfig();
config
.newInfo()
.setId('generalInfo')
.setText('This is an example connector to showcase row level security.');
return config.build();
}
function getFields() {
var fields = cc.getFields();
var types = cc.FieldType;
var aggregations = cc.AggregationType;
fields
.newDimension()
.setId('region')
.setName('Region')
.setType(types.TEXT);
fields
.newMetric()
.setId('sales')
.setName('Sales')
.setType(types.NUMBER)
.setAggregation(aggregations.SUM);
fields
.newDimension()
.setId('date')
.setName('Date')
.setType(types.YEAR_MONTH_DAY);
return fields;
}
function getSchema(request) {
return {schema: getFields().build()};
}
var SERVICE_ACCOUNT_CREDS = 'SERVICE_ACCOUNT_CREDS';
var SERVICE_ACCOUNT_KEY = 'private_key';
var SERVICE_ACCOUNT_EMAIL = 'client_email';
var BILLING_PROJECT_ID = 'project_id';
/**
* Copy the entire credentials JSON file from creating a service account in GCP.
*/
function getServiceAccountCreds() {
return JSON.parse(scriptProperties.getProperty(SERVICE_ACCOUNT_CREDS));
}
function getOauthService() {
var serviceAccountCreds = getServiceAccountCreds();
var serviceAccountKey = serviceAccountCreds[SERVICE_ACCOUNT_KEY];
var serviceAccountEmail = serviceAccountCreds[SERVICE_ACCOUNT_EMAIL];
return OAuth2.createService('RowLevelSecurity')
.setAuthorizationBaseUrl('https://accounts.google.com/o/oauth2/auth')
.setTokenUrl('https://accounts.google.com/o/oauth2/token')
.setPrivateKey(serviceAccountKey)
.setIssuer(serviceAccountEmail)
.setPropertyStore(scriptProperties)
.setCache(CacheService.getScriptCache())
.setScope(['https://www.googleapis.com/auth/bigquery.readonly']);
}
var BASE_SQL =
'SELECT d.region, d.sales, d.date ' +
'FROM `datastudio-solutions.row_level_security.data` d ' +
'INNER JOIN `datastudio-solutions.row_level_security.access` a ' +
'ON d.region = a.region ' +
'where a.email=@email';
function getData(request) {
var accessToken = getOauthService().getAccessToken();
var serviceAccountCreds = getServiceAccountCreds();
var billingProjectId = serviceAccountCreds[BILLING_PROJECT_ID];
var email = Session.getEffectiveUser().getEmail();
var bqTypes = DataStudioApp.createCommunityConnector().BigQueryParameterType;
return cc
.newBigQueryConfig()
.setAccessToken(accessToken)
.setBillingProjectId(billingProjectId)
.setUseStandardSql(true)
.setQuery(BASE_SQL)
.addQueryParameter('email', bqTypes.STRING, email)
.build();
}
