Questa pagina mostra come utilizzare l'Analizzatore attività per vedere quando gli account e le chiavi di servizio sono stati utilizzati l'ultima volta per chiamare un'API di Google. Questi utilizzi sono noti come attività di autenticazione.
Le attività di autenticazione recenti possono aiutarti a identificare gli account di servizio e le chiavi degli account di servizio che non utilizzi più. Ti consigliamo di disattivare o eliminare le chiavi e gli account di servizio inutilizzati perché creano un rischio di sicurezza inutile.
Prima di iniziare
- Scopri di più sulle attività di autenticazione.
-
Attiva l'API Policy Analyzer.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per elencare le attività di autenticazione più recenti per gli account di servizio e le chiavi degli account di servizio, chiedi all'amministratore di concederti il ruolo IAM Visualizzatore analisi attività (roles/policyanalyzer.activityAnalysisViewer) nel progetto.
Per saperne di più sulla concessione dei ruoli, vedi Gestire l'accesso.
Questo ruolo predefinito contiene le autorizzazioni necessarie per elencare le attività di autenticazione più recenti per gli account di servizio e le chiavi degli account di servizio. Per visualizzare le autorizzazioni esatte richieste, espandi la sezione Autorizzazioni richieste:
Autorizzazioni obbligatorie
Per elencare le attività di autenticazione più recenti degli account di servizio e delle chiavi degli account di servizio, sono necessarie le seguenti autorizzazioni:
-
policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query -
policyanalyzer.serviceAccountLastAuthenticationActivities.query
Potresti anche ottenere queste autorizzazioni con ruoli personalizzati o altri ruoli predefiniti.
Visualizza l'utilizzo recente per tutti gli account di servizio o le chiavi
Per elencare le date delle attività di autenticazione più recenti per tutti gli account di servizio o le chiavi degli account di servizio, utilizza l'interfaccia a riga di comando o l'API REST di Google Cloud.
gcloud
Per elencare le attività di autenticazione più recenti per gli account o le chiavi di servizio, utilizza il comando gcloud policy-intelligence query-activity:
gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \
--project=PROJECT_ID --limit=LIMIT
Sostituisci i seguenti valori:
ACTIVITY_TYPE: il tipo di attività da elencare. Per elencare gli orari di utilizzo più recenti dei tuoi account di servizio, utilizzaserviceAccountLastAuthentication. Per elencare gli orari di utilizzo più recenti delle chiavi dell'account di servizio, utilizzaserviceAccountKeyLastAuthentication.PROJECT_ID: il tuo ID progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project.LIMIT: facoltativo. Il numero massimo di risultati da restituire. Il valore predefinito è1000.
La risposta è simile alla seguente, che elenca i tempi di utilizzo recenti degli account di servizio di un progetto:
---
activity:
lastAuthenticatedTime: '2021-04-27T07:00:00Z'
serviceAccount:
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/[email protected]
projectNumber: '123456789012'
serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/[email protected]
observationPeriod:
endTime: '2021-07-06T07:00:00Z'
startTime: '2020-03-12T07:00:00Z'
---
activity:
lastAuthenticatedTime: '2021-02-09T08:00:00Z'
serviceAccount:
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/[email protected]
projectNumber: '123456789012'
serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/[email protected]
observationPeriod:
endTime: '2021-07-06T07:00:00Z'
startTime: '2020-09-01T07:00:00Z'
Per scoprire come comprendere questi risultati, consulta la sezione Comprendere le attività in questa pagina.
REST
Per elencare le attività di autenticazione più recenti per gli account o le chiavi di servizio, utilizza il metodo activities.query dell'API Policy Analyzer.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project.ACTIVITY_TYPE: il tipo di attività che vuoi elencare. Per elencare gli utilizzi più recenti per tutti i tuoi account di servizio, utilizzaserviceAccountLastAuthentication. Per elencare gli utilizzi più recenti di tutte le tue chiavi dell'account di servizio, utilizzaserviceAccountKeyLastAuthentication.-
PAGE_SIZE: facoltativo. Il numero massimo di risultati da restituire da questa richiesta. Se non specificato, il server determinerà il numero di risultati da restituire. Se il numero di attività è maggiore delle dimensioni della pagina, la risposta contiene un token di impaginazione che puoi utilizzare per recuperare la pagina successiva dei risultati. -
PAGE_TOKEN: facoltativo. Il token di impaginazione restituito in una risposta precedente da questo metodo. Se specificato, l'elenco delle attività inizierà da dove è terminata la richiesta precedente.
Metodo e URL HTTP:
GET http://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta è simile alla seguente, in cui sono elencati i tempi di utilizzo recenti degli account di servizio di un progetto:
{
"activities": [
{
"fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/[email protected]",
"activityType": "serviceAccountLastAuthentication",
"observationPeriod": {
"startTime": "2020-04-20T07:00:00Z",
"endTime": "2021-05-17T07:00:00Z"
},
"activity": {
"lastAuthenticatedTime": "2021-04-28T07:00:00Z",
"serviceAccount": {
"projectNumber": "123456789012",
"fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/[email protected]",
"serviceAccountId": "123456789012345678901"
}
}
},
{
"fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/[email protected]",
"activityType": "serviceAccountLastAuthentication",
"observationPeriod": {
"startTime": "2020-04-20T07:00:00Z",
"endTime": "2021-05-17T07:00:00Z"
},
"activity": {
"lastAuthenticatedTime": "2021-04-29T07:00:00Z",
"serviceAccount": {
"projectNumber": "123456789012",
"fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/[email protected]",
"serviceAccountId": "234567890123456789012"
}
}
}
],
"nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_"
}
Per scoprire come comprendere questi risultati, consulta la sezione Comprendere le attività in questa pagina.
Visualizza l'utilizzo recente per account di servizio specifici
Per trovare l'ultima data di utilizzo di account di servizio specifici, utilizza la console Google Cloud, l'interfaccia a riga di comando gcloud o l'API REST.
Console
Nella console Google Cloud, vai alla pagina Analizzatore criteri.
In Analizza l'attività recente, trova il riquadro con l'etichetta Quando è stato utilizzato questo account di servizio l'ultima volta? e fai clic su Crea query in quel riquadro.
Nella casella Seleziona ambito di query, inserisci il nome del progetto di cui vuoi analizzare gli account di servizio.
Nella sezione Aggiungi account di servizio, fai clic sulla casella Account di servizio. Viene visualizzato un elenco di tutti gli account di servizio del tuo progetto. L'elenco include anche il progetto a cui è associato ciascun account di servizio e l'indirizzo email di ogni account di servizio.
Seleziona l'account di servizio per cui vuoi visualizzare l'utilizzo recente.
(Facoltativo) Per visualizzare l'utilizzo recente di più account di servizio, fai clic su Aggiungi account e seleziona un altro account di servizio. Puoi analizzare fino a 10 account di servizio alla volta.
Nel riquadro Query per le attività di accesso, fai clic su Esegui query.
La pagina dei risultati mostra l'utilizzo più recente degli account di servizio. Per scoprire come comprendere questi risultati, consulta la sezione Comprendere le attività in questa pagina.
gcloud
Per ottenere l'attività di autenticazione più recente per account di servizio specifici, utilizza il comando gcloud policy-intelligence query-activity con un filtro:
gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \
--project=PROJECT_ID \
--query-filter='FILTER'
Sostituisci i seguenti valori:
PROJECT_ID: il tuo ID progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project.FILTER: un filtro che specifica i nomi completi delle risorse degli account di servizio di cui vuoi visualizzare l'utilizzo. Il nome completo della risorsa di un account di servizio include l'ID progetto e l'indirizzo email dell'account di servizio.Per applicare un filtro a un singolo account di servizio, utilizza un filtro con il seguente formato:
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"
Per filtrare in base a più account di servizio, utilizza
ORper specificare più nomi completi delle risorse accettabili:activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"
Puoi filtrare fino a 10 account di servizio.
La risposta descrive l'utilizzo più recente per gli account di servizio:
---
activity:
lastAuthenticatedTime: '2021-04-27T07:00:00Z'
serviceAccount:
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/[email protected]
projectNumber: '123456789012'
serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/[email protected]
observationPeriod:
endTime: '2021-07-06T07:00:00Z'
startTime: '2020-03-12T07:00:00Z'
Per scoprire come comprendere questi risultati, consulta la sezione Comprendere le attività in questa pagina.
REST
Per ottenere l'attività di autenticazione più recente per account di servizio specifici, utilizza il metodo activities.query dell'API Policy Analyzer.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project.FILTER: un filtro che specifica i nomi completi delle risorse degli account di servizio di cui vuoi visualizzare l'utilizzo.Per applicare un filtro a un singolo account di servizio, utilizza un filtro con il seguente formato:
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22
Per filtrare in base a più account di servizio, utilizza
%20OR%20per specificare più nomi completi delle risorse accettabili:activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22
Metodo e URL HTTP:
GET http://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta descrive l'utilizzo più recente per gli account di servizio:
{
"activities": [
{
"fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/[email protected]",
"activityType": "serviceAccountLastAuthentication",
"observationPeriod": {
"startTime": "2020-04-20T07:00:00Z",
"endTime": "2021-05-17T07:00:00Z"
},
"activity": {
"lastAuthenticatedTime": "2021-04-28T07:00:00Z",
"serviceAccount": {
"projectNumber": "123456789012",
"fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/[email protected]",
"serviceAccountId": "123456789012345678901"
}
}
}
]
}
Visualizza l'utilizzo recente per chiavi di account di servizio specifiche
Per trovare l'ultima data in cui sono state utilizzate chiavi di account di servizio specifiche, identifica la chiave dell'account di servizio per cui vuoi visualizzare l'utilizzo recente, quindi crea una query utilizzando l'ID.
Se hai un file della chiave JSON, puoi trovare l'ID univoco della chiave dell'account di servizio nel campo private_key_id del file.
Se non hai un file della chiave JSON, puoi trovare l'ID univoco della chiave dell'account di servizio seguendo questi passaggi:
Console
Nella console Google Cloud, vai alla pagina Analizzatore criteri.
In Analizza l'attività recente, trova il riquadro con l'etichetta Quando è stata utilizzata la chiave di account di servizio l'ultima volta? e fai clic su Crea query in quel riquadro.
Nella casella Seleziona ambito di query, inserisci il nome del progetto di cui vuoi analizzare le chiavi degli account di servizio.
Nella sezione Aggiungi chiave account di servizio, fai clic sulla casella Chiave account di servizio. Viene visualizzato un elenco di tutte le chiavi dell'account di servizio nel progetto. L'elenco include anche il progetto e l'account di servizio a cui è associata ogni chiave.
Seleziona la chiave per cui vuoi visualizzare l'utilizzo recente.
(Facoltativo) Per visualizzare l'utilizzo recente di più chiavi, fai clic su Aggiungi chiave e seleziona un'altra chiave. Puoi analizzare fino a 10 chiavi alla volta.
Nel riquadro Query per le attività di accesso, fai clic su Esegui query.
La pagina dei risultati mostra l'utilizzo più recente delle chiavi dell'account di servizio. Per scoprire come comprendere questi risultati, consulta la sezione Comprendere le attività in questa pagina.
gcloud
Per prima cosa, identifica la chiave dell'account di servizio di cui vuoi visualizzare l'utilizzo recente:
Elenca le chiavi dell'account di servizio.
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, apporta le seguenti sostituzioni:
-
SERVICE_ACCOUNT_EMAIL: L'indirizzo email dell'account di servizio a cui è associata la chiave.
Esegui il comando gcloud iam service-accounts key list:
Linux, macOS o Cloud Shell
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
Windows (PowerShell)
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
Windows (cmd.exe)
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
L'output mostra un elenco di tutte le chiavi create dall'utente associate all'account di servizio, inclusi l'ID univoco, l'ora di creazione e la data di scadenza di ogni chiave.
-
Utilizza i dati nell'output per identificare la chiave da monitorare e copiare il suo ID univoco.
Dopo aver trovato gli ID univoci per le chiavi degli account di servizio, utilizza gli ID per filtrare i risultati dall'Analizzatore attività:
Per ottenere l'attività di autenticazione più recente per chiavi di account di servizio specifiche, utilizza il comando gcloud policy-intelligence query-activity con un filtro.
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, apporta le seguenti sostituzioni:
PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project.-
FILTER: un filtro che specifica i nomi completi delle risorse delle chiavi degli account di servizio di cui vuoi visualizzare l'utilizzo. Il nome completo della risorsa di una chiave dell'account di servizio include l'ID progetto, l'indirizzo email dell'account di servizio associato alla chiave e l'ID chiave.Per filtrare in base a una singola chiave dell'account di servizio, utilizza un filtro con il seguente formato:
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
Per filtrare in base a più chiavi dell'account di servizio, utilizza
ORper specificare più nomi completi delle risorse accettabili:activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"
Puoi filtrare fino a 10 chiavi dell'account di servizio.
Esegui questo comando:
Linux, macOS o Cloud Shell
gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \
--project=PROJECT_ID \
--query-filter='FILTER'
Windows (PowerShell)
gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication `
--project=PROJECT_ID `
--query-filter='FILTER'
Windows (cmd.exe)
gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ^
--project=PROJECT_ID ^
--query-filter='FILTER'
Dovresti ricevere una risposta simile alla seguente:
activity:
lastAuthenticatedTime: '2021-06-11T07:00:00Z'
serviceAccountKey:
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/[email protected]/keys/1c65fca351d6925e629059743428b7af243a728c
projectNumber: '232342569935'
serviceAccountId: '103185812403937829397'
activityType: serviceAccountKeyLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/[email protected]/keys/1c65fca351d6925e629059743428b7af243a728c
observationPeriod:
endTime: '2021-07-06T07:00:00Z'
startTime: '2020-09-10T07:00:00Z'
Questa risposta descrive l'utilizzo più recente delle chiavi dell'account di servizio. Per scoprire come comprendere questi risultati, consulta la sezione Comprendere le attività in questa pagina.
REST
Per prima cosa, identifica la chiave dell'account di servizio di cui vuoi visualizzare l'utilizzo recente:
Elenca le chiavi dell'account di servizio:
Per elencare tutte le chiavi dell'account di servizio per un account di servizio, utilizza il metodo
projects.serviceAccounts.keys.listdell'API IAM.Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project.SA_NAME: il nome dell'account di servizio di cui vuoi elencare le chiavi.KEY_TYPES: facoltativo. Un elenco di tipi di chiavi separati da virgole che vuoi includere nella risposta. Il tipo di chiave indica se una chiave è gestita dall'utente (USER_MANAGED) o gestita dal sistema (SYSTEM_MANAGED). Se il campo viene lasciato vuoto, vengono restituite tutte le chiavi.
Metodo e URL HTTP:
GET http://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta descrive l'utilizzo più recente delle chiavi dell'account di servizio:
{ "keys": [ { "name": "projects/my-project/serviceAccounts/[email protected]/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c", "validAfterTime": "2020-03-04T17:39:47Z", "validBeforeTime": "9999-12-31T23:59:59Z", "keyAlgorithm": "KEY_ALG_RSA_2048", "keyOrigin": "GOOGLE_PROVIDED", "keyType": "USER_MANAGED" }, { "name": "projects/my-project/serviceAccounts/[email protected]/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8", "validAfterTime": "2020-03-31T23:50:09Z", "validBeforeTime": "9999-12-31T23:59:59Z", "keyAlgorithm": "KEY_ALG_RSA_2048", "keyOrigin": "GOOGLE_PROVIDED", "keyType": "USER_MANAGED" }, { "name": "projects/my-project/serviceAccounts/[email protected]/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e", "validAfterTime": "2020-05-17T18:58:13Z", "validBeforeTime": "9999-12-31T23:59:59Z", "keyAlgorithm": "KEY_ALG_RSA_2048", "keyOrigin": "GOOGLE_PROVIDED", "keyType": "USER_MANAGED", "disabled": true } ] }Utilizza i metadati nella risposta per identificare la chiave da monitorare. Quindi, copia l'ID univoco della chiave dalla fine del campo
name.Il campo
nameha il seguente formato:"name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
L'ID univoco della chiave è tutto dopo il giorno
keys/.Ad esempio, l'ID univoco nel seguente nome della chiave è
0f561cc41650ff521899de2fd653bd3de08e2da4:"name": "projects/my-project/serviceAccounts/[email protected]/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"
Dopo aver trovato gli ID univoci per le chiavi degli account di servizio, utilizza gli ID per filtrare i risultati dall'Analizzatore attività:
Per ottenere l'attività di autenticazione più recente per chiavi di account di servizio specifiche, utilizza il metodo activities.query dell'API Policy Analyzer.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project.-
FILTER: un filtro che specifica i nomi completi delle risorse delle chiavi degli account di servizio di cui vuoi visualizzare l'utilizzo. Il nome completo della risorsa di una chiave dell'account di servizio include l'ID progetto, l'indirizzo email dell'account di servizio associato alla chiave e l'ID chiave.Per filtrare in base a una singola chiave dell'account di servizio, utilizza un filtro con il seguente formato:
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22
Per filtrare in base a più chiavi dell'account di servizio, utilizza
%20OR%20per specificare più nomi completi delle risorse accettabili:activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22
Puoi filtrare fino a 10 chiavi dell'account di servizio.
Metodo e URL HTTP:
GET http://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta descrive l'utilizzo più recente delle chiavi dell'account di servizio:
{
"activities": [
{
"activity": {
"lastAuthenticatedTime": "2021-06-11T07:00:00Z",
"serviceAccountKey": {
"fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/[email protected]/keys/1c65fca351d6925e629059743428b7af243a728c",
"projectNumber": "123456789012",
"serviceAccountId": "123456789012345678901"
}
},
"activityType": "serviceAccountKeyLastAuthentication",
"fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/[email protected]/keys/1c65fca351d6925e629059743428b7af243a728c",
"observationPeriod": {
"endTime": "2021-07-06T07:00:00Z",
"startTime": "2020-04-20T07:00:00Z"
}
}
]
}
Per scoprire come comprendere questi risultati, consulta la sezione Comprendere le attività in questa pagina.
Comprendere le attività
Console
La pagina dei risultati della query elenca i parametri di ricerca e i risultati della query.
Per una query dell'account di servizio, la tabella dei risultati elenca ciascun account di servizio dalla query e quando è stata eseguita l'ultima autenticazione:
Per una query con chiave dell'account di servizio, la tabella dei risultati elenca ogni chiave dell'account di servizio della query, l'account di servizio a cui è associato e la data dell'ultima autenticazione.
I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla la descrizione comando per vedere l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.
La tabella dei risultati per entrambe le query elenca anche i ruoli IAM presenti nell'account di servizio nel progetto, oltre a eventuali insight sulla sicurezza. Questi insight mostrano i pattern di accesso alle risorse da parte degli account di servizio. Ad esempio, alcuni approfondimenti mettono in evidenza autorizzazioni in eccesso o autorizzazioni di cui un cliente non ha bisogno. Altri insight mettono in evidenza gli account di servizio con autorizzazioni di spostamento laterale o le autorizzazioni che consentono all'account di servizio di impersonare un account di servizio in un altro progetto.
Alcuni dati vengono forniti anche con consigli sui ruoli che suggeriscono modifiche che puoi apportare per ridurre le autorizzazioni in eccesso. Per scoprire come gestire i consigli e gli approfondimenti, consulta Esaminare e applicare i consigli.
gcloud
Analizzatore attività riporta i risultati sotto forma di elenco di attività. Le attività includono i seguenti campi:
fullResourceName: nome completo della risorsa dell'account di servizio o della chiave dell'account di servizio di cui viene segnalata l'attività. Questo formato è descritto nelle sezioni seguenti e in Nomi completi delle risorse.activityType: il tipo di attività segnalato. Per l'attività recente di autenticazione dell'account di servizio, il valore èserviceAccountLastAuthentication. Per l'attività recente di autenticazione delle chiavi dell'account di servizio, il valore èserviceAccountKeyLastAuthentication.observationPeriod: ore di inizio e di fine che indicano l'intervallo di tempo durante il quale l'account di servizio o la chiave è stato osservato per l'attività. In questi timestamp, l'ora è sempreT07:00:00Z.activity: i dettagli dell'attività. I contenuti di questo campo variano in base al tipo di attività. Per informazioni dettagliate, leggi le sezioni seguenti.
Dettagli relativi alle attività dell'account di servizio
Il campo activity per le attività serviceAccountLastAuthentication contiene i seguenti campi:
serviceAccount: dettagli sull'account di servizio la cui attività è segnalata, tra cui:fullResourceName: nome completo della risorsa dell'account di servizio, nel formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.projectNumber: l'ID numerico del progetto proprietario dell'account di servizio.serviceAccountId: l'ID numerico dell'account di servizio.
lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'ora in questo timestamp è sempreT07:00:00Z, indipendentemente dall'ora esatta dell'evento di autenticazione.I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla
observationPeriodper vedere l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.Questo campo non è incluso per gli account di servizio che non sono mai stati utilizzati.
Dettagli per le attività delle chiavi degli account di servizio
Il campo activity per le attività serviceAccountKeyLastAuthentication
contiene i seguenti campi:
serviceAccountKey: dettagli sulla chiave dell'account di servizio la cui attività è segnalata, tra cui:fullResourceName: nome completo della risorsa della chiave dell'account di servizio nel formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.projectNumber: l'ID numerico del progetto proprietario dell'account di servizio a cui è associata la chiave.serviceAccountId: l'ID numerico dell'account di servizio a cui è associata la chiave.
lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'ora in questo timestamp è sempreT07:00:00Z, indipendentemente dall'ora esatta dell'evento di autenticazione.I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla
observationPeriodper vedere l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.Questo campo non è incluso per le chiavi degli account di servizio che non sono mai state utilizzate.
REST
Analizzatore attività riporta i risultati sotto forma di elenco di attività. Le attività includono i seguenti campi:
fullResourceName: nome completo della risorsa dell'account di servizio o della chiave dell'account di servizio di cui viene segnalata l'attività. Questo formato è descritto nelle sezioni seguenti e in Nomi completi delle risorse.activityType: il tipo di attività segnalato. Per l'attività recente di autenticazione dell'account di servizio, il valore èserviceAccountLastAuthentication. Per l'attività recente di autenticazione delle chiavi dell'account di servizio, il valore èserviceAccountKeyLastAuthentication.observationPeriod: ore di inizio e di fine che indicano l'intervallo di tempo durante il quale l'account di servizio o la chiave è stato osservato per l'attività. In questi timestamp, l'ora è sempreT07:00:00Z.activity: i dettagli dell'attività. I contenuti di questo campo variano in base al tipo di attività. Per informazioni dettagliate, leggi le sezioni seguenti.
Dettagli relativi alle attività dell'account di servizio
Il campo activity per le attività serviceAccountLastAuthentication contiene i seguenti campi:
serviceAccount: dettagli sull'account di servizio la cui attività è segnalata, tra cui:fullResourceName: nome completo della risorsa dell'account di servizio, nel formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.projectNumber: l'ID numerico del progetto proprietario dell'account di servizio.serviceAccountId: l'ID numerico dell'account di servizio.
lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'ora in questo timestamp è sempreT07:00:00Z, indipendentemente dall'ora esatta dell'evento di autenticazione.I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla
observationPeriodper vedere l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.Questo campo non è incluso per gli account di servizio che non sono mai stati utilizzati.
Dettagli per le attività delle chiavi degli account di servizio
Il campo activity per le attività serviceAccountKeyLastAuthentication
contiene i seguenti campi:
serviceAccountKey: dettagli sulla chiave dell'account di servizio la cui attività è segnalata, tra cui:fullResourceName: nome completo della risorsa della chiave dell'account di servizio nel formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.projectNumber: l'ID numerico del progetto proprietario dell'account di servizio a cui è associata la chiave.serviceAccountId: l'ID numerico dell'account di servizio a cui è associata la chiave.
lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato l'evento di autenticazione più recente. L'ora in questo timestamp è sempreT07:00:00Z, indipendentemente dall'ora esatta dell'evento di autenticazione.I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla
observationPeriodper vedere l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.Questo campo non è incluso per le chiavi degli account di servizio che non sono mai state utilizzate.
Passaggi successivi
- Esamina gli altri strumenti per comprendere l'utilizzo dell'account di servizio disponibili.
- Scopri come disattivare gli account di servizio o eliminare gli account di servizio.
- Scopri come eliminare le chiavi degli account di servizio.