← всі звіти · handoff-google-cloud-2026-04-14.md

Handoff: Google Cloud Audit + Ad Analytics Dashboard

Статус: ГОТОВО ДО ЗАПУСКУ
Призначено: Antigravity / Local Claude
Підготовлено: Server Claude (2026-04-14)
Акаунт: masterdigital@... (корпоративний — всі хмарні ресурси)

🎯 Мета

Провести повний аудит Google Cloud і задокументувати стан проектів, включаючи проект з дашбордом витрат. Результат — оновлена wiki + конкретний план дій.

Завдання 1: Аудит Google Cloud Console

Що зробити

Відкрий console.cloud.google.com з акаунту masterdigital
Зайди в IAM & Admin → Manage Resources — список всіх проектів

Що зафіксувати по кожному проекту

Поле	Що записати
Project ID	точний ідентифікатор
Name	назва
Status	ACTIVE / DELETE_REQUESTED
Billing	прив'язаний billing account
Enabled APIs	список активних API
Service Accounts	список + чи є ключі (.json)

Відомі проекти (для звірки)

Проект	Статус	Де розгорнутий	Примітки
biogaia-storybook-dm1	🟡 активний	Firebase Hosting	API key в клієнтському JS — ⚠️ критично
lunar-hubble-105435845108	🟡 активний	Cloud Run	Прототип, PIN захист
pharmagen-kz-web-122332041784	🟡 активний	Cloud Run	Backend нормально
Ad Analytics Hub	🟡 активний	локально/BQ	BigQuery + Google Ads Transfer
Zest Content Generator	🔴 архів	—	Стара версія PharmaGen, деактивувати
??? spending/dashboards	❓ невідомо	—	Згадав Сергій — треба знайти

API Keys — що перевірити

У кожному проекті: APIs & Services → Credentials

[ ] Перевірити всі API keys — чи є обмеження по домену/IP/API
[ ] BioGaia frontend key (AIzaSyBNd1lKkH2baJMHa-M6TpwldQ4sUneXF-c) — обмежити до biogaia-storybook-dm1.web.app + тільки Generative Language API
[ ] BioGaia backend key (AIzaSyBTOUd2OkFTx4JbxHhy5f6ZsOaZCHI-PF0) — обмежити по IP сервера або перенести в Secret Manager
[ ] Перевірити чи немає "зависших" ключів від видалених проектів

Service Accounts

[ ] Знайти SA для Ad Analytics Hub (BigQuery + Google Ads доступ)
[ ] Перевірити термін дії JSON ключів
[ ] Список SA без власника → видалити або задокументувати

Завдання 2: Проект "Дашборд витрат" (Spending Dashboard)

Сергій згадав що існував проект по дашбордах витрат. Можливо це:

Окремий GCP проект з BigQuery або Looker Studio
Або частина Ad Analytics Hub

Пошук

Шукай в консолі проект з назвою типу: spending, costs, billing, dashboard, analytics
Перевір Billing → Cost table — BigQuery export увімкнений?
Перевір BigQuery в проекті Ad Analytics — чи є dataset billing_data або схожий

Якщо знайдено

Зафіксуй:

Project ID і назву
Що там є (datasets, таблиці, дашборди)
Чи активний, чи застарів

Завдання 3: Ad Analytics Hub — поточний стан

Репо: serhiivereschak/ad-analytics
Локально: /srv/projects/ad-analytics/
URL (якщо розгорнутий): ще не задеплоєний, тільки localhost

Архітектура (вже реалізовано)

Google Ads MCC → BigQuery Data Transfer → Dataset: ad_data
                                              ↓
                                    Node.js Backend (server.js)
                                    Express API endpoints:
                                    - GET /api/accounts
                                    - GET /api/campaigns
                                    - GET /api/stats/monthly
                                              ↓
                                    Frontend dashboard (public/)

.env параметри (треба налаштувати)

GCP_PROJECT_ID=<project-id>
BQ_DATASET=ad_data
BQ_LOCATION=EU
GOOGLE_APPLICATION_CREDENTIALS=./credentials/service-account.json
GOOGLE_ADS_MCC_ID=<mcc-id>
GOOGLE_ADS_DEVELOPER_TOKEN=<dev-token>

Що потрібно для запуску

Знайти або створити GCP проект для Ad Analytics
Підтвердити що BigQuery Data Transfer налаштований і дані є
Скопіювати service-account.json в /srv/projects/ad-analytics/credentials/
Заповнити .env
npm install && npm start
Перевірити /api/accounts — чи повертає дані

Завдання 4: BioGaia — термінова правка API key

⚠️ КРИТИЧНО: API key відкритий публічно

Frontend файл: https://biogaia-storybook-dm1.web.app/script.js

const GOOGLE_API_KEY = "AIzaSyBNd1lKkH2baJMHa-M6TpwldQ4sUneXF-c"  // рядок 1

Мінімальний фікс (зробити зараз)

В Google Cloud Console → APIs & Services → Credentials:

Знайти цей ключ
Application restrictions: HTTP referrers → https://biogaia-storybook-dm1.web.app/*
API restrictions: тільки Generative Language API
Save

Повний фікс (окрема задача)

Перенести Gemini API виклики на Firebase Functions:

Frontend → Firebase Function (секрет всередині) → Gemini API

Репо: /srv/projects/biogaia-story/ або serhiivereschak/biogaia-story

Завдання 5: Cleanup — що деактивувати

Ресурс	Дія
Zest Content Generator	Видалити або архівувати GCP проект
Старі API keys без restriction	Додати обмеження або видалити
Невикористані Cloud Run сервіси	Перевірити і вимкнути якщо не потрібні

Результат — що записати у wiki

Після аудиту оновити:

/srv/wiki/infrastructure/google-cloud.md (новий файл):
- Повний список GCP проектів з ID, статусом, billing
- Список service accounts і ключів
- Список API keys і їх обмеження
/srv/wiki/ad-analytics/index.md:
- Підтвердити або виправити архітектуру
- Додати Project ID і Dataset ID
/srv/wiki/open-tasks.md:
- Позначити виконані пункти
- Додати нові якщо знайшов проблеми

Контекст для Antigravity

Акаунт masterdigital — найчутливіший, там всі рекламні кабінети
Billing через батьківську компанію — не торкатися billing settings без підтвердження
Ad Analytics Hub — пріоритетний проект Сергія, потрібно запустити в роботу
BioGaia — прототип, не production-критичний, але API key треба закрити
Lunar Hubble — сімейний проект (батько 60+), прототип, PIN буде замінений на invite links

Підготовлено Server Claude | ag-wiki handoff pattern