Seguridad a nivel de fila de BigQuery con servicios avanzados

Por ejemplo, supongamos que intentas crear una solución para tus ventas organización. La organización de ventas está dividida en varias regiones, donde cada región tiene su propio administrador regional. El conjunto de datos de ventas en BigQuery tiene ventas cantidad por región y fecha.

La solución propuesta tendrá un único panel en el que los gerentes regionales pueden ver los datos de ventas de sus propias regiones.

Requisitos

• Los lectores del panel accederán con una Cuenta de Google.
• Existe una asignación entre el correo electrónico del usuario y los datos o las filas que tiene. a los que tienes acceso.
• Se usará una cuenta de servicio para acceder a los datos de BigQuery. Así, la facturación estará centralizada y administrada por el proveedor del panel.

Limitaciones

• El panel requiere una autorización única de cada lector por primera vez vista.
• Los lectores no pueden editar el panel ni compartirlo con otros usuarios.
• Si eres cliente de Workspace y tu administrador inhabilitó el uso compartido Conduce archivos a “Cualquier persona con un vínculo” y quita el uso compartido o desarrollar la solución en una cuenta de Gmail.com.

Solución

Completa todos los pasos que se indican a continuación para implementar la solución.

Crea un nuevo conector de la comunidad

Revisa el artículo Cómo funcionan los conectores de la comunidad y completa el Conector de la comunidad. Codelab para comenzar. Usa la Herramienta para desarrolladores que permite crear conectores para un un proceso de desarrollo más rápido y fácil.

Escribe el código del conector

1. getAuthType() debe mostrar NONE.
2. getConfig() debería mostrar una configuración vacía.
   • Opcional: Si necesitas entradas específicas para configurar el panel, puedes puede solicitar la entrada del usuario aquí.
3. getSchema() debería mostrar el esquema para tu consulta.
   • Opcional: Puedes agregar campos y cálculos personalizados en el SQL una consulta o usar campos calculados como parte del esquema.
4. getData() se completará en un paso posterior.

Actualizar manifiesto

Consulta la referencia del manifiesto y complétalo con todos los información que incluye lo siguiente:

1. establece dataStudio.forceViewersCredentials en true.
2. establece dataStudio.advancedServices.data en true.
3. Para oauthScopes, agrega https://www.googleapis.com/auth/userinfo.email y https://www.googleapis.com/auth/script.external_request Consulta Autorización Alcances de Apps Script para obtener más información.
   • Condicional: Agrega todos los permisos relevantes para los servicios que se usan en o del conector.

El manifiesto debería verse de la siguiente manera:

{
  ...
  "dataStudio": {
    "forceViewersCredentials": true,
    "advancedServices": {
       "data": true
    },
    ...
  }
  "oauthScopes": [
    "https://www.googleapis.com/auth/script.external_request",
    "https://www.googleapis.com/auth/userinfo.email"
    ],
  ...
}

Cómo implementar una cuenta de servicio

1. Crea una cuenta de servicio en tu proyecto de Google Cloud. Este será tu proyecto de facturación.
2. Asegúrate de que esta cuenta de servicio tenga acceso a BigQuery en el proyecto de la nube.
   • Roles de Identity and Access Management (IAM) requeridos: BigQuery Data Viewer, BigQuery Job User
3. Descarga el archivo JSON para obtener las claves de las cuentas de servicio. Guarda las claves en las propiedades de secuencia de comandos del proyecto de conector.
4. Incluye la biblioteca de OAuth2 para Apps Script en tu proyecto de Apps Script.
5. Implementa el código de OAuth2 necesario para la cuenta de servicio:

   var SERVICE_ACCOUNT_CREDS = 'SERVICE_ACCOUNT_CREDS';
   var SERVICE_ACCOUNT_KEY = 'private_key';
   var SERVICE_ACCOUNT_EMAIL = 'client_email';
   var BILLING_PROJECT_ID = 'project_id';
   
   /**
    * Copy the entire credentials JSON file from creating a service account in GCP.
    */
   function getServiceAccountCreds() {
     return JSON.parse(scriptProperties.getProperty(SERVICE_ACCOUNT_CREDS));
   }
   
   function getOauthService() {
     var serviceAccountCreds = getServiceAccountCreds();
     var serviceAccountKey = serviceAccountCreds[SERVICE_ACCOUNT_KEY];
     var serviceAccountEmail = serviceAccountCreds[SERVICE_ACCOUNT_EMAIL];
   
     return OAuth2.createService('RowLevelSecurity')
       .setAuthorizationBaseUrl('https://accounts.google.com/o/oauth2/auth')
       .setTokenUrl('https://accounts.google.com/o/oauth2/token')
       .setPrivateKey(serviceAccountKey)
       .setIssuer(serviceAccountEmail)
       .setPropertyStore(scriptProperties)
       .setCache(CacheService.getScriptCache())
       .setScope(['https://www.googleapis.com/auth/bigquery.readonly']);
   }
   

Implementa getData().

1. Elabora tu consulta de BigQuery.
   • Con el correo electrónico, busca la asignación entre el correo electrónico y los datos.
   • Usa la cláusula JOIN o WHERE para filtrar los datos.
2. Obtén el correo electrónico del usuario efectivo (referencia de identidad del usuario).
3. Usa los Servicios avanzados de Looker Studio para mostrar la configuración de la consulta desde getData.
   • Pasa la consulta construida, el proyecto de facturación y la cuenta de servicio token de OAuth.
   • Condicional: Si recibes la entrada del usuario a través del conector getConfig, debes incorporar la entrada como parámetros de BigQuery.

Crea el panel

1. Comprende cómo funcionan las implementaciones y versiones para los conectores.
2. Crea una implementación de producción para el conector.
3. Usa la implementación de producción para crear una fuente de datos y un informe nuevo en en Looker Studio.
4. Agrega todas las tablas y gráficos del informe.
5. El panel ya está listo para compartirlo con tus usuarios.

Poner el panel a disposición de los usuarios

1. Comparte la secuencia de comandos del conector con los usuarios seleccionados o con "Cualquier persona". con un vínculo”.
2. Comparte el panel con los usuarios seleccionados o con "Cualquier persona con "enlace".
3. Opcional: Usa un servicio de abreviación de URL para crear un vínculo corto para el URL del panel. Comparte la URL abreviada con tus usuarios. Esto ayuda a reemplazar la URL del panel más adelante si es necesario.
4. Opcional: Mide el uso del panel configurando Google Analytics para tu informe.

Código de ejemplo

var cc = DataStudioApp.createCommunityConnector();
var scriptProperties = PropertiesService.getScriptProperties();

function isAdminUser() {
  return true;
}

function getAuthType() {
  var AuthTypes = cc.AuthType;
  return cc
    .newAuthTypeResponse()
    .setAuthType(AuthTypes.NONE)
    .build();
}

function getConfig(request) {
  var config = cc.getConfig();

  config
    .newInfo()
    .setId('generalInfo')
    .setText('This is an example connector to showcase row level security.');

  return config.build();
}

function getFields() {
  var fields = cc.getFields();
  var types = cc.FieldType;
  var aggregations = cc.AggregationType;

  fields
    .newDimension()
    .setId('region')
    .setName('Region')
    .setType(types.TEXT);

  fields
    .newMetric()
    .setId('sales')
    .setName('Sales')
    .setType(types.NUMBER)
    .setAggregation(aggregations.SUM);

  fields
    .newDimension()
    .setId('date')
    .setName('Date')
    .setType(types.YEAR_MONTH_DAY);

  return fields;
}

function getSchema(request) {
  return {schema: getFields().build()};
}

var SERVICE_ACCOUNT_CREDS = 'SERVICE_ACCOUNT_CREDS';
var SERVICE_ACCOUNT_KEY = 'private_key';
var SERVICE_ACCOUNT_EMAIL = 'client_email';
var BILLING_PROJECT_ID = 'project_id';

/**
 * Copy the entire credentials JSON file from creating a service account in GCP.
 */
function getServiceAccountCreds() {
  return JSON.parse(scriptProperties.getProperty(SERVICE_ACCOUNT_CREDS));
}

function getOauthService() {
  var serviceAccountCreds = getServiceAccountCreds();
  var serviceAccountKey = serviceAccountCreds[SERVICE_ACCOUNT_KEY];
  var serviceAccountEmail = serviceAccountCreds[SERVICE_ACCOUNT_EMAIL];

  return OAuth2.createService('RowLevelSecurity')
    .setAuthorizationBaseUrl('https://accounts.google.com/o/oauth2/auth')
    .setTokenUrl('https://accounts.google.com/o/oauth2/token')
    .setPrivateKey(serviceAccountKey)
    .setIssuer(serviceAccountEmail)
    .setPropertyStore(scriptProperties)
    .setCache(CacheService.getScriptCache())
    .setScope(['https://www.googleapis.com/auth/bigquery.readonly']);
}

var BASE_SQL =
  'SELECT d.region, d.sales, d.date ' +
  'FROM `datastudio-solutions.row_level_security.data` d ' +
  'INNER JOIN `datastudio-solutions.row_level_security.access` a ' +
  'ON d.region = a.region ' +
  'where a.email=@email';

function getData(request) {
  var accessToken = getOauthService().getAccessToken();
  var serviceAccountCreds = getServiceAccountCreds();
  var billingProjectId = serviceAccountCreds[BILLING_PROJECT_ID];
  var email = Session.getEffectiveUser().getEmail();

  var bqTypes = DataStudioApp.createCommunityConnector().BigQueryParameterType;

  return cc
    .newBigQueryConfig()
    .setAccessToken(accessToken)
    .setBillingProjectId(billingProjectId)
    .setUseStandardSql(true)
    .setQuery(BASE_SQL)
    .addQueryParameter('email', bqTypes.STRING, email)
    .build();
}