コミュニティ コネクタでサービス アカウントを使用すると、リソースのアクセス権限を集中管理できます。一般的な使用例は、ユーザーが自分の認証情報ではアクセスできないデータへのアクセスを委任することです。
このトピックについて、サービス アカウントについて もご確認ください。
メリット
データアクセスの請求を統合できます。
コネクタに独自のアクセス制御レイヤを実装できます。
ユーザーの認証情報で付与されるデータまたはリソースへのアクセス権を委任できる
アクセス権がないファイルです
実装の手順
データを取得するプラットフォームのサービス アカウントを作成します。
サービス アカウントが必要なリソースにアクセスできるように、必要な権限をサービス アカウントに付与します。
サービス アカウントの認証情報をコネクタのスクリプト プロパティに保存します。
コネクタの実行中に、保存されている認証情報を使用して必要な
分析できます
(省略可 )データをフィルタ処理するアクセス制御ロジックを実装します。
で確認できます。
注意: サービス アカウントの認証情報をコードに保存しないでください。代わりに
コネクタのスクリプト プロパティを使用して、
コードへのアクセス(Apps Script または外部コード リポジトリ経由)
認証情報を確認することはできません。 例: Looker Studio の拡張サービスとサービス アカウントを使用して BigQuery にアクセスする
ユーザー自身が BigQuery テーブルからダッシュボードを作成できるようにするソリューションを構築しているとします。ユーザーが Looker Studio の BigQuery コネクタを使用している場合、
BigQuery テーブルへの読み取りアクセス権が必要です。Google Cloud Platform(GCP)の請求先アカウントも必要になります。次の手順では、Cloud Storage バケットを
請求を統合して BigQuery データへのアクセスを委任するためのサービス アカウント。
目的の GCP プロジェクトでサービス アカウント を作成します。
サービス アカウントが BigQuery ジョブを作成し、
必要があります。詳しくは、BigQuery アクセス制御についての記事 をご覧ください。
サービス アカウントのキーを作成 し、認証情報を
コネクタのスクリプト プロパティ 。OAuth2 Apps Script ライブラリを
Apps Script プロジェクト。getDatahttps://www.googleapis.com/auth/bigquery.readonly。getData レスポンスで他の設定アイテムとともにアクセス トークンを返します。
以下は、コネクタの完全なサンプルコードです。
main.js
var cc = DataStudioApp.createCommunityConnector();
var scriptProperties = PropertiesService.getScriptProperties();
function isAdminUser() {
return true;
}
function getAuthType() {
var AuthTypes = cc.AuthType;
return cc
.newAuthTypeResponse()
.setAuthType(AuthTypes.NONE)
.build();
}
function getConfig(request) {
var config = cc.getConfig();
config
.newInfo()
.setId('generalInfo')
.setText('This is an example connector to showcase row level security.');
return config.build();
}
function getFields() {
var fields = cc.getFields();
var types = cc.FieldType;
var aggregations = cc.AggregationType;
fields
.newDimension()
.setId('region')
.setName('Region')
.setType(types.TEXT);
fields
.newMetric()
.setId('sales')
.setName('Sales')
.setType(types.NUMBER)
.setAggregation(aggregations.SUM);
fields
.newDimension()
.setId('date')
.setName('Date')
.setType(types.YEAR_MONTH_DAY);
return fields;
}
function getSchema(request) {
return {schema: getFields().build()};
}
var SERVICE_ACCOUNT_CREDS = 'SERVICE_ACCOUNT_CREDS';
var SERVICE_ACCOUNT_KEY = 'private_key';
var SERVICE_ACCOUNT_EMAIL = 'client_email';
var BILLING_PROJECT_ID = 'project_id';
/**
* Copy the entire credentials JSON file from creating a service account in GCP.
*/
function getServiceAccountCreds() {
return JSON.parse(scriptProperties.getProperty(SERVICE_ACCOUNT_CREDS));
}
function getOauthService() {
var serviceAccountCreds = getServiceAccountCreds();
var serviceAccountKey = serviceAccountCreds[SERVICE_ACCOUNT_KEY];
var serviceAccountEmail = serviceAccountCreds[SERVICE_ACCOUNT_EMAIL];
return OAuth2.createService('RowLevelSecurity')
.setAuthorizationBaseUrl('https://accounts.google.com/o/oauth2/auth')
.setTokenUrl('https://accounts.google.com/o/oauth2/token')
.setPrivateKey(serviceAccountKey)
.setIssuer(serviceAccountEmail)
.setPropertyStore(scriptProperties)
.setCache(CacheService.getScriptCache())
.setScope(['https://www.googleapis.com/auth/bigquery.readonly']);
}
var BASE_SQL =
'SELECT d.region, d.sales, d.date ' +
'FROM `datastudio-solutions.row_level_security.data` d ' +
'INNER JOIN `datastudio-solutions.row_level_security.access` a ' +
'ON d.region = a.region ' +
'where a.email=@email';
function getData(request) {
var accessToken = getOauthService().getAccessToken();
var serviceAccountCreds = getServiceAccountCreds();
var billingProjectId = serviceAccountCreds[BILLING_PROJECT_ID];
var email = Session.getEffectiveUser().getEmail();
var bqTypes = DataStudioApp.createCommunityConnector().BigQueryParameterType;
return cc
.newBigQueryConfig()
.setAccessToken(accessToken)
.setBillingProjectId(billingProjectId)
.setUseStandardSql(true)
.setQuery(BASE_SQL)
.addQueryParameter('email', bqTypes.STRING, email)
.build();
}
