您可以使用「連結試算表」功能,也就是新的試算表資料連接器,藉此存取、分析、共用並以圖表呈現試算表中數十億列的資料。此外,您還可以使用連結試算表進行以下操作:
- 與合作夥伴、分析師或其他相關人員利用熟悉的試算表介面協同合作。
- 允許使用者將存取權委派給協作者。
- 不需要額外匯出 .csv 檔案,就能確保您是使用相同的來源進行資料分析。
- 分析根據屬性限制存取權的特定範圍資料,例如使用者的 IP 位址和裝置資訊。
您可以在 BigQuery 或 Looker 中手動或依排定的時程執行連結試算表查詢。Google 試算表會將這些查詢的結果儲存在試算表,方便您進行分析及共用。歡迎觀看這些教學影片,進一步瞭解如何搭配 BigQuery 使用連結試算表。
您可以在雲端硬碟記錄事件中查看連結試算表查詢事件。
設定 BigQuery 來分析資料
步驟 1:啟用 Google Cloud
請確認貴機構已啟用 Google Cloud。如需操作說明,請參閱「查看已為使用者、群組或機構單位開啟哪些應用程式」。如要開啟 Google Cloud,請參閱「為使用者開啟或關閉 Google Cloud」。
如需瞭解如何在 BigQuery 中使用連結試算表,請參閱「開始在 Google 試算表中使用 BigQuery 資料」。
步驟 2:檢閱 IAM 角色
您可以使用 IAM (身分與存取權管理) 角色指派權限,控制使用者可以存取哪些資料。如要在試算表中新增或使用 BigQuery 專案,使用者在 BigQuery 中的 IAM 角色必須為 bigquery.user 或 bigquery.jobUser 和 bigquery.dataViewer。
如要瞭解這些角色,請參閱「BigQuery 預先定義的 IAM 角色」。
使用者可以執行的動作取決於他們的 IAM 角色和試算表權限,而非試算表擁有者的權限。除非得到您的許可,否則機構外人士無法使用貴機構的試算表。
| 可在試算表中執行的動作 | 須具備的 BigQuery 身分與存取權管理角色 | 須具備的試算表權限 |
|---|---|---|
| 使用 BigQuery 資料表或檢視表建立圖表、資料透視表、公式或擷取內容 |
bigquery.user 或bigquery.jobUser 和 bigquery.dataViewer |
編輯者 |
| 查看透過 BigQuery 資料建立的圖表、資料透視表、公式、擷取內容或預覽畫面 | 無 | 編輯者或檢視者 |
| 建立或編輯自訂 BigQuery 查詢 |
bigquery.user 或 bigquery.jobUser 和 bigquery.dataViewer |
編輯者 |
| 查看自訂 BigQuery 查詢 | 無 | 編輯者或檢視者 |
| 重新整理 BigQuery 資料 |
bigquery.user 或 bigquery.jobUser 和 bigquery.dataViewer |
編輯者 |
步驟 3:指派 IAM 角色
您可以在 BigQuery 控制台中將 IAM 角色指派給資料集。詳情請參閱「使用 IAM 控管資源存取權」。
步驟 4:(選用) 設定 VPC Service Controls,允許使用連結試算表
除了使用 IAM 授權哪些使用者可以存取 BigQuery 資料之外,您也可以使用 VPC Service Controls 建立服務範圍,根據使用者的 IP 位址和裝置資訊等屬性限制存取權。只有在您設定範圍,將其設為允許試算表將查詢複製到使用者的試算表後,使用者才能透過連結試算表存取受到 VPC Service Controls 保護的 BigQuery 資料。詳情請參閱「存取權控管」。
設定 Looker 來分析資料
如要搭配使用連結試算表和 Looker,請在 Google 管理控制台中開啟非獨立控制服務的存取權。詳情請參閱「管理非獨立控制服務的存取權」。此外,Looker 管理員必須先在 Looker 管理員 UI 中啟用連結試算表。如需更詳細的操作說明,請參閱「使用 Looker 連結試算表」。
允許使用者委派 BigQuery 連結試算表的存取權
支援這項功能的版本:Enterprise Standard 和 Enterprise Plus;Education Standard 和 Education Plus;Enterprise Essentials 和 Enterprise Essentials Plus。版本比較您可以讓使用者委派 BigQuery 連結試算表的存取權,方便他們與其他使用者協同合作進行資料分析,並透過 BigQuery 執行查詢。
如要委派存取權,使用者需要與其他使用者共用試算表。不過,如果試算表是透過連結公開共用,使用者便無法委派該試算表的存取權。您可以在雲端硬碟記錄事件或 Cloud 稽核記錄中,查看委派存取權的使用者,以及執行查詢的使用者。
開啟或關閉委派存取權
事前準備:如有需要,請參閱這篇文章,瞭解如何將設定套用至特定部門或群組。
-
在 Google 管理控制台中,依序前往「選單」圖示
「應用程式」「Google Workspace」「雲端硬碟與文件」「功能與應用程式」。必須擁有服務設定管理員權限。
- 在「連結試算表的委派存取權」部分,按一下「編輯」圖示
。 -
(選用) 如果只要對部分使用者套用設定,請在側邊選取「組織單位」或「配置群組」,前者通常代表部門,後者為進階設定。
群組設定會覆寫機構單位。瞭解詳情
- 在「委派設定」中,勾選或取消勾選「允許具有試算表編輯權限的使用者啟用連結試算表的存取權委派功能」。
- 如果要設定機構單位或群組,請選取「僅限特定機構單位或群組中的使用者使用委派功能」。
- 如要開放任何擁有工作表存取權的使用者委派存取權,請選取「任何使用者都能使用委派功能」。 這個選項也包括能夠存取試算表的機構外部使用者。
-
按一下「儲存」。如果是機構單位,您也可以按一下「覆寫」。
如要日後還原沿用的值,請按一下「沿用」 (如果是群組,請點選「取消設定」)。
如果您開啟委派功能,請告知使用者可以按照這些步驟委派試算表的存取權。
查看連結試算表的記錄事件
連結試算表存取 BigQuery 和 Looker 資料時,相關項目會記錄在 Google 雲端硬碟記錄事件中。存取 BigQuery 資料的相關項目會記錄在 Cloud 稽核記錄中,存取 Looker 資料的相關項目則會記錄在系統活動記錄探索中。記錄中會顯示存取資料的使用者和存取時間。
使用 Reports API 分析雲端硬碟記錄事件
如要進一步瞭解如何從 Google 管理控制台分析雲端硬碟記錄事件,請參閱「存取雲端硬碟記錄事件資料」。
使用 Reports API 即可查看「連結試算表查詢」事件。以下示例是依據「連結試算表查詢」事件類型擷取所有雲端硬碟事件:
您可以在本頁面下方的「完整 JSON 回應」一節查看對此 API 呼叫的完整 JSON 回應。
啟動查詢的使用者會顯示為執行者。
Google 試算表提供了以參數形式執行的查詢的相關額外資訊。
execution_trigger 欄位是根據試算表叫用查詢的方式來設定:
| 標籤 | 執行查詢的方式 |
|---|---|
| sheets_ui | 透過試算表 UI 手動執行 |
| 排程 | 透過試算表中預定的重新整理功能執行 |
| api | 透過 Sheets API 執行 |
| apps-script | 透過 Apps Script 執行 |
系統會根據資料連接器設定
query_type 欄位。| 標籤 | 資料連接器 |
|---|---|
| big_query | BigQuery |
| Looker | Looker |
data_connection_id 欄位是根據資料連線的 ID 來設定。如果是 BigQuery,此為帳單專案 ID。如果是 Looker,此為執行個體的網址。
execution_id 是根據已執行的查詢 ID 來設定。
| 值的結構 | 查詢實體 |
|---|---|
| jobs/<JOB_ID> | BigQuery 工作 |
| datasets/<DATASET_NAME>/tables/<TABLE_NAME> | BigQuery 資料表 |
| query_tasks/<QUERY_TASK_ID> | Looker 查詢 |
使用憑證的使用者電子郵件地址可在記錄中顯示為 delegating_principal 欄位。
完整 JSON 回應
使用 BigQuery 連線的記錄檔探索工具分析 Cloud 稽核記錄
每份試算表都有專屬的試算表 ID,位於試算表的網址中。BigQueryAuditMetadata 格式的記錄項目包含傳送 BigQuery 資料存取要求的試算表 ID。
您可以使用 Google Cloud 控制台中的記錄檔探索工具來建立查詢,藉此擷取及分析記錄檔。請在記錄檔探索工具中輸入:
這會顯示含有非空白試算表 ID 的項目,如以下範例所示:
試算表會使用工作標籤,為查詢工作加入資訊。這些標籤可提供更多資料供您分析,如以下範例所示:
sheets_trigger 欄位的值是根據試算表叫用查詢的方式設定:
| 標籤 | 執行查詢的方式 |
|---|---|
| 使用者 | 透過試算表 UI 手動執行 |
| 排程 | 透過試算表中預定的重新整理功能執行 |
| api | 透過 Sheets API 執行 |
| apps-script | 透過 Apps Script 執行 |
舉例來說,如果連結試算表已排定重新整理作業,而您要尋找與這項重新整理作業相對應的項目,就可以使用記錄檔探索工具執行以下查詢:
如果啟用委派存取權,您可以在記錄中找到使用憑證執行查詢的使用者電子郵件地址,也可以找出觸發查詢的使用者的電子郵件地址,如以下範例所示:
注意:只有在使用者將委派存取權用於查詢時,系統才會顯示 serviceAccountDelegationInfo 欄位。在此情況下,principalEmail 中列出的聯絡人就是委派存取權的對象。
如需更詳細的說明文件,請參閱「使用記錄檔探索工具」和「在記錄檔探索工具中建構查詢」。
進一步瞭解 BigQuery 稽核記錄、試算表 ID、BigQueryAuditMetadata 格式、SheetsMetadata、共用試算表和 Google Sheets API。
分析 Looker 系統活動
- 在 Looker 執行個體左側,依序按一下「Explore」「History」。
- 在「Find a Field」部分,輸入 API Client Name,然後按一下「Filter」圖示
,將這個欄位新增至資料集。 - 選取「Filters」下方的「is equal to」,接著在旁邊的欄位中輸入「Connected Sheets」。
- 在「Find a Field」部分,輸入「Connected Sheets Spreadsheets ID」,將這個欄位新增至資料集。
- 在「Find a Field」部分,輸入「Connected Sheets Trigger」,將這個欄位新增至資料集。
- 在「Find a Field」部分,輸入 History Slug,將這個欄位新增至資料集。
- 「歷史記錄 Slug」相當於儲存在雲端硬碟記錄事件中的 QUERY_TASK_ID,如要在雲端硬碟記錄中尋找特定查詢,請在該欄位新增篩選器。
- (選用) 如要在資料集中新增任何其他欄位,例如「User Name」和「History Created Date」,請選取這些欄位。
- (選用) 如要新增篩選器,請選取所需篩選器。
舉例來說,您可以將「記錄建立日期」篩選為「最近 7 天」,也可以篩選特定「試算表 ID」,只查看特定試算表 ID 啟動的 Looker 查詢。 - 按一下「執行」。
疑難排解
如果試算表停止運作
按一下試算表頂端的「提供意見」。
BigQuery 更新內容無法顯示在「連結試算表」中
在試算表檔案中按一下「重新整理」,即可將任何 BigQuery 更新資料擷取至「連結試算表」中。如要重新整理「連結試算表」中的所有項目,請依序按一下「資料」「資料連接器」「重新整理資料」「全部重新整理」。
使用者無法開啟「連結試算表」檔案
如果您為貴機構的試算表檔案設定了特定權限 (例如禁止機構外的使用者存取試算表檔案),他們就無法開啟連結試算表檔案。如要變更權限,請參閱「設定雲端硬碟使用者的共用權限」。
如果問題仍未解決,請參閱「修正 Google 試算表中 BigQuery 資料的相關問題」,以及「排解 Looker 連結試算表的問題」。