Wenn wir Open Data für Sie aktivieren, erstellen wir automatisch auch eine Google-Gruppe für Ihre Organisation. Der Google Account, den Sie zu Beginn angegeben haben, hat standardmäßig die Rolle "Manager" für die Gruppe und ermöglicht Ihnen die Verwaltung des Nutzerzugriffs auf Ihre BigQuery-Datensätze.
Eine Gruppe kann nicht Manager einer anderen Gruppe sein.
Alle, die Sie zu dieser Open Data Zugriffsgruppe hinzufügen, können sich bei Google Cloud anmelden, um Abfragen durchzuführen und Daten zu exportieren.
Ihre Nutzer müssen einen Google Account haben, um sich bei BigQuery anmelden zu können. Stellen Sie also sicher, dass Sie E-Mail-Adressen verwenden, die mit einem Google Account verknüpft sind, wenn Sie Personen zu Ihrer Google-Gruppe hinzufügen.
Auf diese Weise können Sie den Zugriff auf Ihre Datensätze entweder Personen innerhalb Ihres Unternehmens oder externen Beratern gewähren.
Aus Sicherheitsgründen haben Sie nur Zugriff auf die Administratorseite für den Service Account und nicht auf die anderen Seiten von Google Cloud Platform Identity and Access Manager.
Zugriff gewähren
So fügen Sie Personen zu Ihrer Open Data Zugriffsgruppe hinzu:
- Melden Sie sich bei Google Groups an.
- Klicken Sie All groups oder My groups, wenn Sie ein Group Admin sind.
Group Admin Ansicht:
- Klicken Sie unter dem Namen der Open Data Zugriffsgruppe, die Sie verwalten wollen, die Option Members.
Wenn Sie für das Marketing mehrerer Brands oder Tochterunternehmen verantwortlich sind, sehen Sie auf dieser Seite möglicherweise mehrere Gruppen, die mit Ihrer Organisation verbunden sind.
- Klicken Sie im Menü auf der linken Seite Add members.
- Füllen Sie das Formular aus und klicken Sie die Schaltfläche Add members.
Gruppeneinladungen werden nicht immer verschickt, daher sollten Sie nur die Funktion Add member verwenden. Wenn Sie einen Benutzer versehentlich auf andere Weise hinzugefügt haben, rufen Sie das Menü Pending members auf, wählen Sie den Benutzer aus und klicken Sie Revoke invitation. Nachdem Sie die Einladung entfernt haben, sollten Sie das Mitglied direkt hinzufügen können.
Alle Benutzer, die zu Ihrer Open Data Zugriffsgruppe hinzugefügt werden, erhalten die folgenden Berechtigungen:
- bigquery.jobs.create
- iam.serviceAccountKeys.create
- iam.serviceAccountKeys.delete
- iam.serviceAccountKeys.get
- iam.serviceAccountKeys.list
- iam.serviceAccounts.create
- iam.serviceAccounts.delete
- iam.serviceAccounts.get
- iam.serviceAccounts.getIamPolicy
- iam.serviceAccounts.list
- iam.serviceAccounts.setIamPolicy
- iam.serviceAccounts.update
- resourcemanager.projects.get
- resourcemanager.projects.list
- serviceusage.services.list
- storage.buckets.list
- bigquery.readsessions.*
- bigquery.savedqueries.get
- bigquery.savedqueries.list
- pubsub.subscriptions.consume
- pubsub.subscriptions.create
- pubsub.subscriptions.delete
- pubsub.subscriptions.get
- pubsub.subscriptions.list
- pubsub.subscriptions.update
Weitere Informationen zu den Rollen für die Google Cloud Platform erhalten Sie auf den Google Support-Seiten.
Zugriff aufheben
So entfernen Sie Nutzer aus Ihrer Open Data Zugriffsgruppe:
- Melden Sie sich bei Google Groups an.
- Klicken Sie My Groups.
- Wählen Sie Switch organization view to: emarsys.com aus.
- Klicken Sie unter dem Namen der Open Data Zugriffsgruppe, die Sie verwalten wollen, die Option Manage Members.
- Wählen Sie das Mitglied aus, das Sie entfernen wollen.
- Klicken Sie Actions > Remove from group.
Für weitere Informationen zum Verwalten Ihrer Google-Gruppen besuchen Sie die Google Support-Seiten.
Manager-Zugriff gewähren
In bestimmten Fällen kann es erforderlich sein, einem anderen Nutzer die Rolle eines Gruppenmanagers zuzuweisen, damit er den Zugriff auf Ihre Open Data Zugriffsgruppe ebenfalls verwalten kann. So vergeben Sie die Manager-Rolle:
- Melden Sie sich bei Google Groups mit einem Google Account an, der die Rolle "Manager" bereits hat.
- Klicken Sie My Groups.
- Wählen Sie Switch organization view to: emarsys.com aus.
- Klicken Sie unter dem Namen der Open Data Zugriffsgruppe, die Sie verwalten wollen, die Option Manage Members.
- Wählen Sie das Gruppenmitglied aus, dem Sie die Manager-Rolle zuordnen wollen.
- Klicken Sie Actions > Add to role > Manager.
Eine Gruppe kann nicht Manager einer anderen Gruppe sein.
Manager-Zugriff aufheben
- Melden Sie sich bei Google Groups mit einem Google Account an, der die Rolle "Manager" bereits hat.
- Klicken Sie My Groups.
- Wählen Sie Switch organization view to: emarsys.com aus.
- Klicken Sie unter dem Namen der Open Data Zugriffsgruppe, die Sie verwalten wollen, die Option Manage Members.
- Wählen Sie das Gruppenmitglied aus, dem Sie die Manager-Rolle wegnehmen wollen. Klicken Sie Actions > Remove from role > Manager.
API Key erstellen
Sie können auf Ihr Open Data Projekt über ein API zugreifen; dafür verwenden Sie den Service Account, den wir beim Einrichten des Open Data Projekts erstellt haben. Um einen Access Key zu erstellen, gehen Sie wie folgt vor:
- Öffnen Sie Google Cloud Console. Stellen Sie sicher, dass Sie einen Account verwenden, der zuvor zu Ihrer Open Data Zugriffsgruppe hinzugefügt wurde. In der rechten oberen Ecke können Sie den aktiven Account überprüfen.
- Wählen Sie Ihr Open Data Projekt aus. Der Name Ihres Projekts entspricht immer der Namenskonvention
sap-od-<Kunde>
. - Öffnen Sie das Menü, führen Sie den Cursor über Identity und wählen Sie Service accounts aus.
Aus Sicherheitsgründen haben Sie nur Zugriff auf die Administratorseite für den Service Account und nicht auf die anderen Seiten von Google Cloud Identity and Access Manager.
- Suchen Sie nach dem Service Account, der einen Namen wie den folgenden hat:
client-service-account@sap-od-<Kunde>.iam.gserviceaccount.com
.
- Klicken Sie Actions > Create key.
- Wählen Sie den gewünschten Key type aus und klicken Sie Create.
Service Account erstellen
Wenn Sie den Zugriff auf Ihr Google Cloud Platform Projekt getrennt halten wollen, können Sie mehrere Service Accounts erstellen. So erstellen Sie einen neuen Service Account:
- Öffnen Sie Google Cloud Console. Stellen Sie sicher, dass Sie einen Account verwenden, der zuvor zu Ihrer Open Data Zugriffsgruppe hinzugefügt wurde. In der rechten oberen Ecke können Sie den aktiven Account überprüfen.
- Wählen Sie Ihr Open Data Projekt aus. Der Name Ihres Projekts entspricht immer der Namenskonvention
sap-od-<Kunde>
. - Öffnen Sie das Menü, führen Sie den Cursor über IAM & Admin und wählen Sie Service accounts aus.
Aus Sicherheitsgründen haben Sie nur Zugriff auf die Seite für den Service Account Administrator und nicht auf die anderen Seiten von Google Cloud IAM.
- Klicken Sie Create Service Account.
- Füllen Sie das Formular aus und klicken Sie Create.
- Um für diesen neu erstellten Service Account den erforderlichen Zugriff zu gewähren, müssen Sie ihn zu Ihrer Open Data Zugriffsgruppe hinzufügen: Kopieren Sie seine Adresse und befolgen Sie die Schritte unter Zugriff gewähren.
Service Account Keys erneuern
Um Ihren Zugriffg so sicher wie möglich zu halten, müssen Sie die Keys Ihres Service Accounts alle 90 Tage erneuern.
Wenn Ihre Anmeldedaten für den Open Data Service Account geändert werden müssen, z.B. weil sie über 90 Tage alt sind, erhalten Sie eine Nachricht vom Benachrichtigungs-Center. Diese Nachricht enthält einen Link, der Sie zum Dashboard des Service Accounts führt.
So aktualisieren Sie Ihre Anmeldedaten:
- Klicken Sie Ihren Service Account.
- Auf dem Tab Keys klicken Sie Add Key.
- Wählen Sie Ihr Format (JSON oder p12) aus und klicken Sie Create, um den neuen Key herunterzuladen.
- Ersetzen Sie den alten Key durch den neuen, wo immer Sie ihn verwenden.
- Testen Sie den neuen Key, um sicherzustellen, dass er korrekt funktioniert.
- Löschen Sie den alten Key auf dem Tab Keys des Service Accounts.
Der Name der Datei enthält den Anfang der Key ID. So können Sie leichter feststellen, wann der Key erstellt wurde, und Sie können die Aktualisierungen der Service Keys verwalten, ohne sich auf Benachrichtigungen verlassen zu müssen.
Aus einem externen Projekt auf ein Open Data Projekt zugreifen
Wenn Sie bereits ein bestehendes Google Cloud Platform Projekt für die Verwendung eines Tools wie Lookerstudio haben und in diesem Projekt und nicht in dem von uns bereitgestellten Projekt arbeiten möchten, können Sie Ihr externes Projekt mit Open Data verbinden.
Um Ihre Daten zu schützen, verwenden wir Google VPC Service Controls, was bedeutet, dass die Aktivierung eines externen Projekts einen zweistufigen Prozess durchlaufen muss:
- Lassen Sie das Projekt in unseren Sicherheitsbereich aufnehmen.
- Fügen Sie das Projekt in Google hinzu.
Wenn Sie ein externes Projekt hinzufügen, können Sie Ihre Abfragen ausführen oder in Ihrem eigenen Projekt oder Tool arbeiten, anstatt das von Emarsys bereitgestellte Projekt zu verwenden.
Externe Google Cloud Platform Projekte und Tools sind Ihr Eigentum und werden von Ihnen, dem Kunden, verwaltet, was bedeutet, dass Sie für die Bereitstellung und Verwaltung des Zugriffs auf diese externen Ressourcen verantwortlich sind. Da diese Tools und Projekte außerhalb des durch die Emarsys Datenschutzfunktionen geschützten Bereichs existieren, müssen Sie alle sicherheitsrelevanten Themen für Ihr Projekt oder Ihre Tools selbst bearbeiten. Aus diesem Grund kann Emarsys nicht für Vorfälle haftbar gemacht werden, die von einem Tool oder Projekt ausgehen, dessen Aufnahme in den Kontrollumfang unseres VPC Service Sie beantragt haben. Wenn wir schädlichen Datenverkehr entdecken, der von einem (möglicherweise kompromittierten) externen Projekt ausgeht, wird Emarsys den Zugriff auf dieses Projekt ohne vorherige Benachrichtigung sperren.
1. Projekt zum Emarsys Sicherheitsbereich hinzufügen
Um ein Projekt zu unserem Sicherheitsbereich hinzuzufügen, müssen Sie die Projektnummer abrufen und diese entweder unserem technischen Support oder Ihrem Implementation Consultant (falls Sie einen haben) mitteilen.
Diese veranlassen, dass dieses Projekt mit Ihrem Open Data Account verknüpft wird, und benachrichtigen Sie, sobald Sie das Projekt in Google hinzufügen können.
2. Zugriff von Ihrem Google Cloud Platform Projekt gewähren
Um den Zugriff auf Ihr Open Data Projekt von Ihrem Google Cloud Platform Projekt aus zu gewähren, gehen Sie wie folgt vor:
- Öffnen Sie Google Cloud Console und dann das Projekt, auf das Sie Zugriff gewähren wollen.
- Navigieren Sie zu Identity/IAM und wählen Sie Service accounts aus.
- Kopieren Sie die Adresse des Service Accounts, dem Sie Zugriff gewähren wollen.
- Fügen Sie die Adresse dieses Accounts zu Ihrer Open Data Zugriffsgruppe hinzu, und zwar so, wie Sie einem einfachen Benutzer Zugriff gewähren würden.
Sobald Sie diese Schritte abgeschlossen haben, können Sie von Ihrem eigenen Projekt aus auf Ihren Open Data Account zugreifen. Wenn Sie Abfragen über den Browser ausführen wollen, müssen Sie sicherstellen, dass auch Ihr Nutzer-Account mit der Berechtigung für den Zugriff auf den Open Data Account eingerichtet wurde. Dies ist erforderlich, weil sich der Browser mit dem angemeldeten Nutzer-Account und nicht mit dem Service Account authentifiziert.
Open Data Datensätze speichern Daten in der EU. Wenn Ihre Daten an einem anderen Ort gespeichert werden, müssen Sie den Datensatz möglicherweise in eine andere Region kopieren. Weitere Informationen zu den BigQuery-Speicherorten bieten die Google Support-Seiten.