שימוש בגיליונות מקושרים בארגון

המאמר הזה מיועד לאדמינים. לקבלת עזרה בניהול הקבצים שלכם, אפשר להיעזר במרכז הלמידה.

התכונה 'גיליונות מקושרים' היא מחבר הנתונים של Sheets, שמאפשר לכם לגשת למיליארדי שורות של נתונים מתוך הגיליון האלקטרוני, לנתח אותם, ליצור מהם תרשימים ולשתף אותם. אפשר להשתמש ב'גיליונות מקושרים' גם כדי:

לשתף פעולה עם שותפים, אנליסטים או בעלי עניין אחרים בממשק מוכר של גיליונות אלקטרוניים.
איך מאפשרים למשתמשים להעניק גישה לשותפים לעריכה
להבטיח שיהיה מקור אחד לניתוח נתוני אמת, ללא ייצוא נוסף של קובצי CSV.
ניתוח נתונים בתוך גבולות גזרה שמוגבלת אליו הגישה על סמך מאפיינים כמו כתובת ה-IP של המשתמש ופרטי המכשיר.

אתם יכולים להריץ שאילתות מגיליונות מקושרים ב-BigQuery או ב-Looker באופן ידני או לפי לוח זמנים מוגדר. התוצאות של השאילתות האלה נשמרות בגיליון האלקטרוני ב-Sheets כדי שתוכלו לנתח ולשתף אותן. כדי לקבל מידע נוסף על שימוש בגיליונות מקושרים עם BigQuery, אפשר לצפות בסרטוני ההדרכה הבאים.

אפשר לראות אירועים של שאילתות ב-Connected Sheets באירועים ביומן של Drive.

הגדרת BigQuery לניתוח נתונים

שלב 1: מפעילים את Google Cloud

מוודאים ש-Google Cloud מופעל בארגון. הוראות מופיעות במאמר איך בודקים אילו אפליקציות מופעלות אצל משתמש, קבוצה או יחידה ארגונית. אם אתם צריכים להפעיל את Google Cloud, תוכלו לעשות זאת לפי ההוראות במאמר הפעלה או השבתה של Google Cloud למשתמשים.

הוראות לשימוש בגיליונות מקושרים עם BigQuery זמינות במאמר איך מתחילים לעבוד עם נתוני BigQuery ב-Google Sheets.

שלב 2: בדיקת תפקידים ב-IAM

אתם משתמשים בתפקידים ב-IAM (ניהול זהויות והרשאות גישה) כדי להקצות הרשאות לגבי הנתונים שהמשתמשים יכולים לגשת אליהם. כדי להוסיף פרויקט BigQuery ב-Sheets או להשתמש בפרויקט קיים, תפקיד ה-IAM של המשתמש ב-BigQuery חייב להיות bigquery.user או bigquery.jobUser וגם bigquery.dataViewer.

מידע על התפקידים האלה מופיע במאמר תפקידים מוגדרים מראש ב-IAM ב-BigQuery.

הפעולות שהמשתמשים יכולים לבצע תלויות בתפקיד ה-IAM שלהם ובהרשאות שלהם בגיליון האלקטרוני, ולא בהרשאות של בעלי הגיליון האלקטרוני. אנשים מחוץ לארגון שלכם יכולים ליצור אינטראקציה עם גיליונות אלקטרוניים בארגון שלכם רק אם אתם מאפשרים זאת.

פעולות ב-Sheets	תפקיד נדרש ב-IAM ב-BigQuery	הרשאות נדרשות ב-Sheets
יצירת תרשימים, טבלאות צירים, נוסחאות או חלְצֵי-נתונים (extracts) באמצעות טבלאות או תצוגות מפורטות של BigQuery	bigquery.user או bigquery.jobUser ו-bigquery.dataViewer	עריכה
צפייה בתרשימים, בטבלאות צירים, בנוסחאות, בחילוצים או בתצוגות מקדימות שנוצרו מנתוני BigQuery	ללא	עורך או צופה
יצירה או עריכה של שאילתת BigQuery בהתאמה אישית	bigquery.user או bigquery.jobUser ו-bigquery.dataViewer	עריכה
הצגת שאילתה מותאמת אישית ב-BigQuery	ללא	עורך או צופה
רענון נתונים מ-BigQuery	bigquery.user או bigquery.jobUser ו-bigquery.dataViewer	עריכה

שלב 3: הקצאת תפקידי IAM

מקצים תפקידי IAM למערכי הנתונים במסוף BigQuery. פרטים נוספים זמינים במאמר בנושא שליטה בגישה למשאבים באמצעות IAM.

שלב 4: (אופציונלי) הגדרת VPC Service Controls כדי לאפשר גישה לגיליונות מקושרים

בנוסף לשימוש ב-IAM כדי להגדיר אילו משתמשים יכולים לגשת לנתוני BigQuery, אפשר להשתמש ב-VPC Service Controls כדי ליצור גבולות גזרה לשירות שמגבילים את הגישה על סמך מאפיינים כמו כתובת ה-IP של המשתמש ופרטי המכשיר. משתמשים יכולים להשתמש בגיליונות מקושרים כדי לגשת לנתוני BigQuery שמוגנים על ידי VPC Service Controls רק אם מגדירים את גבולות הגזרה כך ש-Sheets תוכל להעתיק את תוצאות השאילתה לגיליונות האלקטרוניים של המשתמשים. פרטים נוספים זמינים במאמר בנושא בקרת גישה.

הגדרה של Looker לניתוח נתונים

כדי להשתמש ב-Connected Sheets עם Looker, צריך להפעיל גישה לשירותים שאין להם מתג נפרד במסוף Google Admin. מידע נוסף זמין במאמר ניהול הגישה לשירותים שאין להם מתג נפרד. בנוסף, אדמין ב-Looker צריך קודם להפעיל את התכונה 'גיליונות מקושרים' בממשק המשתמש של האדמין ב-Looker. הוראות מפורטות יותר זמינות במאמר שימוש בגיליונות מקושרים ל-Looker.

המשתמשים יכולים להעניק גישה לגיליונות מקושרים ל-BigQuery

התכונה הזו תומכת במהדורות הבאות: Enterprise Standard ו-Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials ו-Enterprise Essentials Plus. השוואה בין מהדורות

אתם יכולים לאפשר למשתמשים להעניק גישה בגיליונות מקושרים ל-BigQuery, כדי שהם יוכלו לשתף פעולה עם משתמשים אחרים בניתוח נתונים ובהרצת שאילתות.

כדי להעניק גישה, המשתמשים צריכים לשתף את הגיליון עם המשתמש האחר. עם זאת, הם לא יכולים להעניק גישת עריכה לגיליון ששותף באופן ציבורי באמצעות קישור. אפשר לבדוק את המשתמש שהעניק גישה ואת המשתמש שמריץ שאילתה באירועים ביומן של Drive או ביומני ביקורת של Cloud.

הפעלה או השבתה של גישה שהוענקה

לפני שמתחילים: לפי הצורך, קוראים את המאמר בנושא החלה של הגדרה על מחלקה או על קבוצה.

במסוף Google Admin, נכנסים לתפריט אפליקציות Google Workspace ‏Drive ו-Docs תכונות ואפליקציות.

אל "תכונות ואפליקציות"

כדי לעשות את זה צריך הרשאות אדמין להגדרות השירות.
בקטע גישה שהוענקה בגיליונות מקושרים, לוחצים על סמל העריכה .
(אופציונלי) כדי להחיל את ההגדרה רק על חלק מהמשתמשים, בצד, בוחרים יחידה ארגונית (בדרך כלל מדובר במחלקה) או הגדרות לקבוצת משתמשים (מתקדם).
ההגדרות של קבוצות מבטלות את ההגדרות של היחידות הארגוניות. מידע נוסף
בקטע הגדרות הענקת גישה, מסמנים את התיבה משתמשים עם גישת עריכה בגיליון אלקטרוני יכולים להפעיל אפשרות הענקת גישה לגיליונות מקושרים או מבטלים את הסימון שלה.
אם אתם מגדירים יחידה ארגונית או קבוצה, בוחרים באפשרות רק משתמשים ביחידה ארגונית או בקבוצה ספציפיות יכולים להשתמש בהענקת הרשאה.
אם רוצים לאפשר לכל משתמש עם גישה לגיליון להעניק גישה, בוחרים באפשרות כל משתמש יכול להקצות הרשאות. האפשרות הזו כוללת משתמשים מחוץ לארגון אם יש להם גישה לגיליון.
לוחצים על שמירה. לחלופין, אתם יכולים ללחוץ על שינוי עבור יחידה ארגונית.
אם מאוחר יותר רוצים לשחזר את הערך שעבר בירושה, לוחצים על ירושה (או על ביטול הגדרות עבור קבוצה).

אם מפעילים את האפשרות להעניק גישה, צריך להסביר למשתמשים שהם יכולים לפעול לפי השלבים האלה כדי להעניק גישה לגיליון אלקטרוני.

הצגת אירועים ביומן של גיליונות מקושרים

כשגיליונות מקושרים ניגשים לנתונים ב-BigQuery וב-Looker, הרשומות מתועדות ביומן האירועים ב-Drive. רשומות מתועדות גם ביומני הביקורת של Cloud לגבי גישה ל-BigQuery, ובהיסטוריית פעילות המערכת ב-Explore לגבי גישה ל-Looker. היומנים מראים מי ניגש לנתונים ומתי.

ניתוח אירועים ביומן של Drive באמצעות Reports API

פרטים על ניתוח אירועים ביומן של Drive במסוף Google Admin זמינים במאמר בנושא גישה לנתוני אירועים ביומן של Drive.

באמצעות Reports API, אפשר לראות את אירועי השאילתות של Connected Sheets. בדוגמה הבאה מאחזרים את כל האירועים ב-Drive לפי סוג האירוע Connected Sheets Query:

תגובת ה-JSON המלאה לקריאה ל-API הזו מוצגת בקטע 'תגובת JSON מלאה' שבהמשך הדף.

המשתמש שיזם את השאילתה מוצג בתור השחקן.

Sheets מספק מידע נוסף על השאילתה שהופעלה כפרמטרים.

השדה execution_trigger מוגדר בהתאם לאופן ההפעלה של השאילתה מ-Sheets:

הוספת תווית	איך מתבצעת שאילתה
sheets_ui	באופן ידני דרך ממשק המשתמש של Sheets
לוח זמנים	באמצעות התכונה 'רענון מתוזמן' ב-Sheets
api	באמצעות Sheets API
apps-script	באמצעות Apps Script

השדה query_type מוגדר על סמך מחבר הנתונים.

הוספת תווית	מחבר נתונים
big_query	BigQuery
Looker	Looker

השדה data_connection_id מוגדר על סמך המזהה של חיבור הנתונים. ב-BigQuery, זהו מזהה פרויקט החיוב. ב-Looker, זו כתובת ה-URL של המופע.

הערך של execution_id מוגדר על סמך המזהה של השאילתה שהופעלה.

מבנה הערך	שאילתת ישות
jobs/<JOB_ID>	משימה ב-BigQuery
datasets/<DATASET_NAME>/tables/<TABLE_NAME>	טבלה ב-BigQuery
query_tasks/<QUERY_TASK_ID>	שאילתת Looker

כתובת האימייל של המשתמש שנעשה שימוש בפרטי הכניסה שלו זמינה ביומנים בשדה delegating_principal.

תגובת JSON מלאה

{ "kind": "admin#reports#activity", "id": { "time": "2022-10-26T17:33:51.929Z", "uniqueQualifier": "report's unique ID", "applicationName": "drive", "customerId": "ABC123xyz" }, "actor": { "email": "collaborator@example.com", "profileId": "user's unique Google Workspace profile ID" }, "events": [ { "type": "access", "name": "connected_sheets_query", "parameters": [ { "name": "execution_trigger", "value": "sheets_ui" }, { "name": "query_type", "value": "big_query" }, { "name": "data_connection_id", "value": "The Cloud project ID" }, { "name": "execution_id", "multiValue": [ "jobs/big_query_job_id" ] }, { "name": "doc_id", "value": "aBC-123-xYz" }, { "name": "doc_type", "value": "spreadsheet" }, { "name": "is_encrypted", "boolValue": false }, { "name": "doc_title", "value": "Document title" }, { "name": "visibility", "value": "shared_internally" }, { "name": "actor_is_collaborator_account", "boolValue": false }, { "name": "delegating_principal", "value": "owner@example.com" }, { "name": "owner", "value": "owner@example.com" }, { "name": "owner_is_shared_drive", "boolValue": false }, { "name": "owner_is_team_drive", "boolValue": false } ] } ] }

ניתוח יומני ביקורת של Cloud באמצעות הכלי Logs Explorer לחיבורים ל-BigQuery

לכל גיליון אלקטרוני יש מזהה גיליון ייחודי שמופיע בכתובת ה-URL של הגיליון האלקטרוני. רשומות ביומן בפורמט BigQueryAuditMetadata מכילות את המזהה של הגיליון האלקטרוני שממנו נשלחה בקשת הגישה לנתונים ב-BigQuery.

אתם יכולים ליצור שאילתות כדי לאחזר ולנתח יומנים באמצעות Logs Explorer במסוף Google Cloud. ב-Logs Explorer, מזינים:

בדוגמה הבאה אפשר לראות רשומות עם מזהה גיליון אלקטרוני לא ריק:

‫Sheets מוסיף מידע לעבודות של שאילתות באמצעות תוויות של עבודות. הם יכולים לספק לכם יותר נתונים לניתוח, כמו בדוגמה הזו:

הערך של השדה sheets_trigger מוגדר בהתאם לאופן ההפעלה של השאילתה מ-Sheets:

הוספת תווית	איך מתבצעת שאילתה
משתמש	באופן ידני דרך ממשק המשתמש של Sheets
לוח זמנים	באמצעות התכונה 'רענון מתוזמן' ב-Sheets
api	באמצעות Sheets API
apps-script	באמצעות Apps Script

לדוגמה, כדי למצוא רשומות שמתאימות לרענונים מתוזמנים של גיליונות מקושרים, משתמשים בשאילתה הבאה ב-Logs Explorer:

אם הופעלה גישה שהוענקה, תוכלו למצוא את כתובת האימייל של המשתמש שפרטי הכניסה שלו שימשו להרצת השאילתה ביומנים. אפשר גם למצוא את כתובת האימייל של המשתמש שהפעיל את השאילתה, כמו שמוצג בדוגמה הבאה:

הערה: השדה serviceAccountDelegationInfo מופיע רק אם נעשה שימוש בגישה שהוענקה לשאילתה. במקרה הזה, האדם שמופיע בקטע principalEmail הוא זה שהעניק את הגישה שהוענקה.

למידע נוסף, אפשר לעיין במאמרי עזרה שימוש ב-Logs Explorer ויצירת שאילתות ב-Logs Explorer.

מידע נוסף על יומני ביקורת של BigQuery, מזהי גיליונות אלקטרוניים, פורמט BigQueryAuditMetadata,‏ SheetsMetadata,‏ שיתוף גיליונות אלקטרוניים ו-Google Sheets API

ניתוח פעילות המערכת ב-Looker

במופע Looker, בצד ימין, לוחצים על ניתוח היסטוריה.
בשדה חיפוש שדה, מזינים שם לקוח API ולוחצים על סמל המסנן כדי להוסיף את השדה הזה למערך הנתונים.
בקטע Filters (מסננים), בוחרים באפשרות is equal to (שווה ל), ובשדה שלידה מזינים Connected Sheets (גיליונות משולבים).
בשדה Find a Field (חיפוש שדה), מזינים Connected Sheets Spreadsheets ID (מזהה גיליון אלקטרוני של Connected Sheets) כדי להוסיף את השדה הזה למערך הנתונים.
בשדה Find a Field (חיפוש שדה), מזינים Connected Sheets Trigger (טריגר של Connected Sheets) כדי להוסיף את השדה הזה למערך הנתונים.
בשדה Find a Field (חיפוש שדה), מזינים History Slug (שם קצר של היסטוריה) כדי להוסיף את השדה הזה למערך הנתונים.
ה-History Slug (שם קצר של היסטוריה) מקביל ל-QUERY_TASK_ID (מזהה משימת השאילתה) שנרשם ביומן האירועים של Drive. אם רוצים למצוא שאילתה ספציפית ביומן של Drive, מוסיפים מסנן בשדה הזה.
(אופציונלי) כדי להוסיף שדות נוספים למערך הנתונים, כמו שם משתמש ותאריך יצירת ההיסטוריה, בוחרים אותם.
(אופציונלי) כדי להוסיף מסננים, בוחרים אותם.
לדוגמה, אפשר לסנן את התאריך שבו ההיסטוריה נוצרה לפי 7 הימים האחרונים, או לסנן לפי מזהה גיליון אלקטרוני ספציפי כדי לראות רק את השאילתות של Looker שהופעלו ממזהה גיליון אלקטרוני ספציפי.
לוחצים על Run.

פתרון בעיות

אם Sheets קורס

בחלק העליון של הגיליון, לוחצים על שליחת משוב.

עדכונים מ-BigQuery לא מוצגים בגיליונות מקושרים

בקבצים של Sheets, לוחצים על רענון כדי למשוך עדכונים של נתוני BigQuery לגיליונות מקושרים. כדי לרענן כל פריט בגיליונות מקושרים, לוחצים על נתונים מחברי נתונים רענון נתונים רענון של הכל.

המשתמשים לא יכולים לפתוח קובץ של גיליונות מקושרים

אם הגדרתם הרשאות מסוימות לקובצי Sheets בארגון, כמו הגבלת הגישה לקובצי Sheets למשתמשים מחוץ לארגון, המשתמשים האלה לא יוכלו לפתוח קובצי Connected Sheets. כדי לשנות את ההרשאות, אפשר לעיין במאמר בנושא הגדרת הרשאות שיתוף של משתמשים ב-Drive.

אם הבעיות נמשכות, אפשר לעיין במאמרים פתרון בעיות שקשורות לנתוני BigQuery ב-Google Sheets ופתרון בעיות בגיליונות מקושרים ל-Looker.