Bigqueryを参照するLooker Studioのレポートを認証をサービスアカウントに切り替える方法

はじめに

この記事ではBigqueryを参照するLooker Studioのレポートを認証をサービスアカウントに切り替える方法について解説します。

実現したいこと

Looker Studioのあるレポートの認証をオーナーに設定しており、そのオーナーが退職してアカウントを削除した場合、オーナー認証で設定していたレポートの全てが閲覧できなくなる場合があります。 もし複数のレポートをオーナー認証にしていた場合、その影響範囲は大きいです。 この記事では、それを事前に防ぐために最初からオーナー認証ではなく、サービスカウントによる認証を設定する方法について解説していきます。 最初からサービスアカウントによるに認証を設定しておけば、管理者の退職などの人為的なリスクを防ぐことができます。

サービスアカウントの作成・権限付与の手順。(管理画面)

ここではサービスアカウントの作成と権限付与の手順について解説していきます。

1. サービスアカウントの作成

• GCPコンソール → 「IAMと管理」→「サービスアカウント」→「サービスアカウントを作成」をクリック。
• アカウントIDと表示名を入力して作成。

2. サービスエージェントに「サービスアカウント トークン作成者」ロールを付与

• 「IAM」→「メンバーを追加」をクリック。
• メンバーにサービスエージェントのIDを指定。
• 「役割」から「IAM」→「サービスアカウント トークン作成者」を選択。

所属の組織またはプロジェクトのサービスエージェントは以下のヘルプページで確認してください。 https://lookerstudio.google.com/serviceAgentHelp

3 . サービスアカウントに「BigQuery ジョブユーザー」と「BigQuery データ閲覧者」ロールを付与

• 「IAM」→「メンバーを追加」をクリック。
• メンバーに先ほど作成したサービスアカウント（例: my-service-account@<project-id>.iam.gserviceaccount.com）を指定。
• 「役割」から「BigQueryジョブユーザー」と「BigQueryデータ閲覧者」をそれぞれ選択して付与。

以上がCGPの管理画面から実行した場合の解説です。

サービスアカウントの作成・権限付与の手順。(Terraform)

ここでは同様の手順をTerraformで実行する方法を解説します。

###　1. Providerの定義 以下はGoogleのプロバイダーを定義した例です。

provider "google" {
  project = your-project-id
}

provider "google-beta" {
  project = your-project-id
}

2. サービスアカウントの作成

resource "google_service_account" "my_service_account" {
  account_id   = "my-service-account"
  display_name = "My Service Account"
}

3. サービスエージェントに「サービスアカウント トークン作成者」権限を付与

resource "google_project_iam_member" "service_account_token_creator" {
  project = "your-project-id"
  role    = "roles/iam.serviceAccountTokenCreator"
  member  = "serviceAccount:service-org-XXXXXXXXXXXX@gcp-sa-datastudio.iam.gserviceaccount.com"
}

4. サービスアカウントに「BigQuery ジョブユーザー」と「BigQuery データ閲覧者」ロールを付与

resource "google_project_iam_member" "bigquery_job_user" {
  project = "your-project-id"
  role    = "roles/bigquery.jobUser"
  member  = "serviceAccount:${google_service_account.my_service_account.email}"
}

resource "google_project_iam_member" "bigquery_data_viewer" {
  project = "your-project-id"
  role    = "roles/bigquery.dataViewer"
  member  = "serviceAccount:${google_service_account.my_service_account.email}"
}

レポートの認証情報をサービスアカウントに切り替える手順

レポートの認証情報を切り替える手順を解説します。

手順

• 1. 画面上部のResourceをクリック。
• 2. 認証情報を変更したいデータソースのEDITをクリック。

• 3.［Data credentials］をクリック。

• 4.［Service Account Credentials］を選択して、サービスカウントIDをペースト。

• 5. Updateをクリック。

以上がレポートの認証情報をサービスアカウントに切り替える手順です。

まとめ

この記事では、BigQueryを参照するLooker Studioのレポートの認証方式を、オーナー認証からサービスアカウント認証に切り替える方法を解説しています。 サービスアカウント認証を利用することで、オーナーの退職やアカウント削除などによるレポート表示不可のリスクを回避できます。

参照

• Looker Studio Help
• Looker Studio | Serice Agent Help