Настройка разрешений на уровне строк с помощью DataStudio для пользователей, которые не используют BigQuery и вне GSuite.

Я пытаюсь создать отчет DataStudio с источником BigQuery View с разрешением на уровне строки на основе CURRENT_USER() для людей за пределами моей организации
(электронные письма в AccessControlTable в электронной таблице)

Есть еще проблема:

«Ошибка конфигурации набора данных Data Studio не может подключиться к вашему набору данных».
Ошибка конфигурации набора данных

Что у меня есть:

  1. Проект BigQuery

    • DatasetPrivate:

      • MainTable (ID:STRING, ...)
      • AccessControlTable (ID:STRING, allow_viewer:STRING)
      • Основное представление
        SELECT * FROM [project:DatasetPrivate.MainTable] WHERE ID = (SELECT ID FROM [project:DatasetPrivate.AccessControl] WHERE CURRENT_USER()= allowed_viewer)

    • DatasetShared Общий доступ только для просмотра DataStudioView@group

      • SharedView
        SELECT * FROM [project:DatasetShared.MainView]
        ACL: SharedView is added to DatasetPrivate as Authorized View.

  2. Группа GSuite: я создал группу DataStudioView@group (общедоступную, только по приглашению)

  3. IAM: я создал пользовательскую роль DataStudio Viewer в IAM с разрешением: bigquery.jobs.create и добавил DataStudioView@group
  4. DataStudio: доступ к источнику данных установлен на «Учетные данные зрителя» и предоставлен DataStudioView@group.
  5. Test user:
    • added to AccessControlTable
    • добавлено в DataStudioView@group
    • никогда не использовал BigQuery
    • не принадлежит моей организации GSuite.

Я не знаю, что еще мне нужно сделать, и не могу найти это ни в одном учебнике/теме.
Я хочу, чтобы тестовый пользователь видел в отчете DataStudio данные, которым присвоен идентификатор в AccessControlTable.


google-bigquery row-level-security google-data-studio
person AverageTom    schedule 28.07.2019    source источник
comment
Когда я сделал это, я использовал следующие два ответа, поэтому стоит взглянуть на них.   -  person Bobbylank    schedule 29.07.2019
comment
stackoverflow .com/questions/29682618/   -  person Bobbylank    schedule 29.07.2019
comment
stackoverflow.com/questions/29683423/   -  person Bobbylank    schedule 29.07.2019
comment
Спасибо, я основывал свою настройку именно на этих руководствах и даже добавил пользовательскую роль IAM (рекомендуется в этом руководстве: medium.com/7-lab/) - но все равно что-то не работает должным образом   -  person AverageTom    schedule 29.07.2019
comment
Можете ли вы увидеть запрос, созданный в Bigquery, чтобы узнать, дает ли он какие-либо подсказки?   -  person Bobbylank    schedule 30.07.2019
comment
Моя учетная запись администратора добавлена ​​в AccessControlTable, а запрос SharedView дает правильный результат: только те записи с идентификатором, назначенным allow_viewer в AccessControlTable. Тестовый пользователь не использует BigQuery и не имеет никакого проекта.   -  person AverageTom    schedule 30.07.2019
comment
Вы пытались добавить своего тестового пользователя напрямую (не через группу Google), чтобы хотя бы диагностировать, в чем проблема?   -  person Bobbylank    schedule 30.07.2019
comment
Да. Я подозреваю, что что-то не так с авторизованным просмотром или IAM.   -  person AverageTom    schedule 30.07.2019
comment
Моя настройка очень похожа, но я получаю, что Datastudio не может подключиться к вашему набору данных. В bigquery я жестко закодировал идентификаторы электронной почты для проверки фильтрации на уровне строк, и она работает. Но в отчетах этого не видно.   -  person Urvah Shabbir    schedule 27.01.2020