Associar o Looker (Google Cloud Core) à sua base de dados

Assim que a instância do Looker (Google Cloud core) for aprovisionada, é apresentada na página Instâncias do seu Google Cloud projeto. Clique no URL da instância para aceder e autenticar na instância.

Depois de iniciar sessão na instância do Looker (essencial para o Google Cloud), pode configurar uma ligação à base de dados à instância do Looker (essencial para o Google Cloud).

Configure uma ligação à base de dados

O Looker (Google Cloud core) tem de estar ligado a uma base de dados para permitir a exploração de dados. Consulte a lista de dialetos suportados para saber que dialetos são suportados pelo Looker (Google Cloud core).

Pode criar uma ligação à base de dados numa instância do Looker (Google Cloud core) se tiver uma das seguintes autorizações:

• A função de administrador do Looker
• A manage_project_connections autorização do Looker

Pode seguir o guia Configurar o Looker que aparece dinamicamente na instância do Looker (Google Cloud core) para ligar a sua base de dados ou seguir os passos indicados nas páginas de documentação específicas do dialeto. A maioria das definições é comum à maioria dos dialetos de bases de dados. Consulte a página de documentação Associar o Looker à sua base de dados para obter informações sobre os campos comuns na janela de configuração da associação do Looker.

Existem passos adicionais se quiser configurar a sua ligação do Looker (Google Cloud core) com qualquer uma das seguintes opções:

• Ligações privadas: se a sua instância do Looker (Google Cloud core) usar ligações privadas, tem de configurar o Private Service Connect ou o acesso a serviços privados (consoante o tipo de ligação que a instância usa) para a ligar a qualquer um dos seguintes tipos de bases de dados:

  • Uma base de dados numa rede diferente dentro do Google Cloud
  • Uma base de dados alojada por outro fornecedor de serviços na nuvem
  • Uma base de dados nas instalações

  Para configurar uma ligação privada a bases de dados alojadas por outros fornecedores de serviços na nuvem, certifique-se de que o seu Google Cloud projeto está configurado para encaminhar o tráfego para esses fornecedores de serviços na nuvem para permitir a troca de dados. Saiba mais sobre a ligação de ambientes na nuvem na página de documentação Padrões para ligar outros fornecedores de serviços na nuvem com Google Cloud.

• Autentique-se com as Credenciais Predefinidas da Aplicação para bases de dados do BigQuery e do Cloud SQL: as instâncias do Looker (Google Cloud core) podem usar as Credenciais Predefinidas da Aplicação (ADC) para se autenticarem na sua base de dados, conforme descrito nas secções seguintes:

  • Usar as Credenciais predefinidas da aplicação para estabelecer ligação a uma base de dados do BigQuery
  • Usar as Credenciais predefinidas da aplicação com uma base de dados do BigQuery num Google Cloud projeto diferente
  • Usar credenciais padrão da aplicação para ligar a uma base de dados do Cloud SQL

• Autentique-se numa base de dados do BigQuery através do OAuth: para associações do BigQuery, o Looker (Google Cloud core) pode usar as credenciais da aplicação OAuth que o administrador do Looker usou quando criou a instância do Looker (Google Cloud core). Consulte a secção Configurar a autenticação OAuth com o BigQuery desta página para mais informações.

Usar credenciais padrão da aplicação para estabelecer ligação a uma base de dados do BigQuery

As instâncias do Looker (Google Cloud core) podem usar as credenciais predefinidas da aplicação (ADC) para autenticar quando configura uma ligação a uma base de dados SQL padrão do BigQuery. Quando usa a ADC, a ligação é autenticada na base de dados através das credenciais da conta de serviço do projeto do Looker (essencial para o Google Cloud).

Para usar o ADC com uma base de dados do BigQuery, selecione Credenciais predefinidas da aplicação no campo Autenticação da página Definições de ligação da instância do Looker. Para ver o procedimento completo, consulte a documentação sobre como associar o Looker a uma base de dados do BigQuery.

Se a sua instância do Looker (Google Cloud core) usar tabelas derivadas persistentes com um conjunto de dados do BigQuery, também tem de conceder à conta de serviço do Looker a função de gestão de identidades e acessos (IAM) de editor de dados do BigQuery.

Se estiver a estabelecer ligação a uma base de dados do BigQuery que se encontra num projeto diferente da sua instância do Looker (Google Cloud core), é necessária alguma configuração adicional. Consulte a secção Usar as Credenciais padrão da aplicação com uma base de dados do BigQuery num Google Cloud projeto diferente.

Simulação de identidade de conta de serviço

Se quiser autenticar na base de dados do BigQuery através de uma conta de serviço que não seja a conta de serviço do projeto do Looker (Google Cloud core), pode criar um fluxo de pedidos delegados introduzindo outra conta de serviço ou uma cadeia de contas de serviço separadas por vírgulas no campo Conta de serviço representada. A conta de serviço do Looker (essencial para o Google Cloud) é usada automaticamente como a primeira conta de serviço na cadeia e não precisa de ser adicionada ao campo. A última conta de serviço na cadeia (também conhecida como a conta de serviço representada) é a que faz a autenticação com a base de dados.

Quando usar a simulação da conta de serviço, faça o seguinte:

• Ative a API Service Consumer Management.

  Ative a API

• Certifique-se de que todas as contas de serviço na cadeia, incluindo a conta de serviço do projeto do Looker (essencial para o Google Cloud), têm as autorizações do IAM adequadas.
• Certifique-se de que a conta de serviço com roubo de identidade tem a função de consumidor de utilização de serviços, a função de utilizador da tarefa do BigQuery e a função de visualizador de dados do BigQuery.
• Se tiver ativado as tabelas derivadas persistentes (PDTs) para a sua ligação, também tem de introduzir o endereço de email da conta de serviço com roubo de identidade no campo Endereço de email da conta de serviço na secção Substituições de PDT. Isto garante que os processos da PDT usam a conta de serviço roubada. Consulte a secção Ativar substituições de PDT na página de documentação Estabelecer ligação do Looker à sua base de dados para mais informações.

Usar credenciais padrão da aplicação com uma base de dados do BigQuery num Google Cloud projeto diferente

Os passos para usar a ADC para uma base de dados SQL padrão do BigQuery que esteja fora do projeto que aloja a sua instância do Looker (essencial para o Google Cloud) são os mesmos que os passos para configurar uma ligação no mesmo projeto. No entanto, antes de poder configurar a ligação na sua instância do Looker (essencial para o Google Cloud), a conta de serviço do projeto do Looker (essencial para o Google Cloud) tem de ter as seguintes funções do IAM:

• Função de visualizador de dados do BigQuery para o projeto que contém o conjunto de dados do BigQuery.
• Função de utilizador da tarefa do BigQuery e função de consumidor de utilização de serviços no projeto de faturação apresentado na página Definições de ligação.
• Se a sua instância do Looker (Google Cloud core) usar tabelas derivadas persistentes com um conjunto de dados do BigQuery, a conta de serviço também tem de ter a função de editor de dados do BigQuery para o projeto que contém o conjunto de dados do BigQuery.

Se a conta de serviço do Looker (Google Cloud core) ainda não tiver funções de IAM no projeto que contém o conjunto de dados do BigQuery, use o endereço de email da conta de serviço quando conceder funções nesse projeto. Para encontrar o endereço de email da conta de serviço, aceda à página IAM na Google Cloud consola e selecione a caixa de verificação Incluir concessões de funções fornecidas pela Google. O email tem o formato service-<project number>@gcp-sa-looker.iam.gserviceaccount.com. Use esse email para conceder as funções adequadas à conta de serviço.

Assim que as funções adequadas forem concedidas, siga os passos para usar o ADC.

Agora, pode usar a ADC com esta base de dados SQL padrão do BigQuery. O projeto associado à conta de serviço especificada na página Definições de ligação vai ser usado para a faturação e também vai funcionar como o projeto predefinido.

Usar credenciais padrão da aplicação para ligar a uma base de dados do Cloud SQL

As instâncias do Looker (Google Cloud core) podem usar o ADC para autenticar uma ligação a uma base de dados do Cloud SQL (Cloud SQL para PostgreSQL ou Cloud SQL para MySQL). Quando usa o ADC para autenticar a sua base de dados do Cloud SQL, o Google Cloud projeto onde a base de dados do Cloud SQL está a ser executada é o projeto faturado pelas consultas do Looker.

Para ligações do Looker ao Cloud SQL que usam o ADC, o ADC faz-se passar por uma conta de serviço ou uma cadeia de contas de serviço para aceder à sua base de dados. Quando cria a ligação do Looker à sua base de dados, usa o campo nomes de utilizador da base de dados da IAM para especificar a conta de serviço ou a cadeia de contas de serviço que o ADC vai representar. A conta de serviço do Looker que foi criada automaticamente quando criou a instância do Looker (essencial para o Google Cloud) é usada automaticamente como a primeira conta de serviço na cadeia e não precisa de ser adicionada ao campo.

Se quiser autenticar a sua base de dados do Cloud SQL através de uma conta de serviço que não seja a conta de serviço do Looker, pode criar um fluxo de pedidos delegados introduzindo outra conta de serviço ou uma cadeia de contas de serviço separadas por vírgulas no campo Nomes de utilizador da base de dados do IAM.

A última conta de serviço na cadeia (também conhecida como a conta de serviço representada) é a que se autentica com a base de dados, e esta conta tem de ser adicionada como um utilizador na sua base de dados do Cloud SQL. Se estiver a usar a conta de serviço do Looker como a última conta de serviço na cadeia (deixando o campo Nomes de utilizador da base de dados do IAM em branco), tem de adicionar a conta de serviço do Looker como um utilizador na sua base de dados do Cloud SQL.

Seguem-se os passos gerais para ligar uma base de dados do Cloud SQL para PostgreSQL ou do Cloud SQL para MySQL ao Looker através da ADC:

1. Adicione a conta de serviço simulada à sua base de dados do Cloud SQL.
2. Configure a representação da conta de serviço na sua base de dados do Cloud SQL.
3. Estabeleça ligação à sua base de dados para executar comandos de configuração adicionais para o Cloud SQL para PostgreSQL ou o Cloud SQL para MySQL.
4. Crie a ligação do Looker à sua base de dados.

Adicione a conta de serviço simulada à sua base de dados do Cloud SQL

Quando cria a ligação do Looker à sua base de dados, usa o campo Nomes de utilizador da base de dados do IAM para especificar a conta de serviço ou a cadeia de contas de serviço que o ADC vai roubar a identidade para realizar ações na sua base de dados. A última conta de serviço na cadeia de roubo de identidade é considerada a conta de serviço simulada.

Para usar o ADC com o Cloud SQL, tem de adicionar a conta de serviço roubada à sua base de dados do Cloud SQL:

• No caso predefinido, se deixar o campo Nomes de utilizador da base de dados da IAM em branco, o ADC vai roubar a identidade da conta de serviço do Looker. Neste caso, a conta de serviço do Looker é a conta de serviço simulada, pelo que tem de adicionar a conta de serviço do Looker à sua base de dados do Cloud SQL. Consulte a página de documentação Crie uma instância do Looker (Google Cloud core) para ver informações sobre a conta de serviço do Looker e o procedimento para ver o endereço de email da conta de serviço do Looker.
• Se especificar uma conta de serviço que não seja a conta de serviço do Looker ou se especificar uma cadeia de contas de serviço no campo Nomes de utilizador da base de dados do IAM, tem de adicionar a última conta de serviço na cadeia de roubo de identidade à sua base de dados do Cloud SQL.

Para adicionar uma conta de serviço à sua base de dados do Cloud SQL, tem de ter a função do IAM Administrador do Cloud SQL.

Siga o procedimento "Adicione um utilizador ou uma conta de serviço do IAM à instância da base de dados" para o dialeto da base de dados para adicionar a conta de serviço roubada à base de dados do Cloud SQL:

• Cloud SQL para PostgreSQL
• Cloud SQL para MySQL

Configure o roubo de identidade da conta de serviço na sua base de dados do Cloud SQL

Depois de criar o utilizador do Cloud SQL na sua base de dados, tem de configurar a base de dados do Cloud SQL para a representação de serviço através dos seguintes passos:

1. Siga o procedimento para ativar a API Admin do Cloud SQL.
2. Certifique-se de que todas as contas de serviço na cadeia, incluindo a conta de serviço do Looker, têm as autorizações do IAM adequadas.

3. Siga o procedimento para conceder uma única função na Google Cloud consola. Conceda as seguintes funções do Cloud SQL à conta de serviço roubada que adicionou à sua base de dados do Cloud SQL:

   • Utilizador da instância do Cloud SQL
   • Cliente do Cloud SQL
   • Service Usage Consumer

   Se especificar uma conta de serviço que não seja a conta de serviço do Looker ou se especificar uma cadeia de contas de serviço no campo Nomes de utilizador da base de dados do IAM, conceda a cada conta de serviço na cadeia a seguinte autorização:

   • Criador de tokens de contas de serviço

Comandos de configuração adicionais para o Cloud SQL para MySQL

Para o Cloud SQL para MySQL, tem de ligar-se à instância da base de dados e executar o seguinte comando na base de dados do Cloud SQL para MySQL:

GRANT ALL on DATABASE_NAME.* to 'DATABASE_USER'@'%'

Substitua o seguinte:

• DATABASE_NAME: O nome da sua base de dados.
• DATABASE_USER: o nome de utilizador da conta de serviço truncado da conta de serviço roubada que adicionou à sua base de dados do Cloud SQL. A conta de serviço tem o formato service-<project number>@gcp-sa-looker.iam.gserviceaccount.com. Trunque o nome de utilizador removendo o @ e tudo o que se segue. Após a truncagem, o nome de utilizador teria o seguinte aspeto: service-<project number>.

Por exemplo, se o nome de utilizador da conta de serviço for