Há várias ferramentas que podem ser usadas para entender as atividades de autenticação das contas de serviço e chaves. Esta página descreve as ferramentas disponíveis e os usos pretendidos.
Atividades de autenticação
Sempre que uma conta de serviço ou chave é usada para chamar uma API do Google, incluindo uma API que não faz parte do Google Cloud, ela gera uma atividade de autenticação. Para entender o uso da conta de serviço, você pode rastrear essas atividades de autenticação usando as ferramentas descritas nesta página.
As atividades de autenticação incluem chamadas de API bem-sucedidas e com falha. Por exemplo, se uma chamada de API falhar porque o autor da chamada não está autorizado a chamar essa API ou porque a solicitação faz referência a um recurso inexistente, a ação ainda conta como uma atividade de autenticação para a conta de serviço ou chave usada para essa chamada de API.
As atividades de autenticação para chaves da conta de serviço também incluem sempre que um sistema lista as chaves ao tentar autenticar uma solicitação, mesmo que o sistema não use a chave para autenticar a solicitação. Esse comportamento é mais comum ao usar URLs assinados para o Cloud Storage ou ao autenticar aplicativos de terceiros.
As chaves de autenticação HMAC do Cloud Storage não geram atividades de autenticação para contas de serviço ou chaves de conta de serviço.
Analisador de atividades
O Analisador de atividade do Policy Intelligence permite visualizar as atividades de autenticação mais recentes das suas contas de serviço e chaves de conta de serviço. A data da atividade de autenticação mais recente é determinada com base no horário padrão do Pacífico dos EUA e do Canadá (UTC-8), mesmo quando o horário de verão do Pacífico está em vigor.
Use o Analisador de atividades para identificar contas de serviço e chaves não utilizadas. Com o analisador de atividades, é possível usar sua própria definição do que significa para uma conta de serviço ou chave "não usada". Por exemplo, algumas organizações podem definir "não usado" como 90 dias de inatividade, enquanto outras podem definir "não utilizado" como 30 dias de inatividade.
Recomendamos desativar ou excluir essas contas de serviço e chaves não utilizadas porque elas criam um risco de segurança desnecessário.
Para saber como ver as atividades de autenticação da conta de serviço, consulte Visualizar o uso recente de contas de serviço e chaves.
Insights de conta de serviço
O recomendador fornece insights da conta de serviço, que identificam as contas de serviço no seu projeto que não foram usadas nos últimos 90 dias. Use insights de conta de serviço para identificar rapidamente contas de serviço não usadas. Recomendamos desativar ou excluir essas contas de serviço não usadas porque elas criam um risco de segurança desnecessário.
Para saber como usar os insights da conta de serviço, consulte Encontrar contas de serviço não usadas.
Métricas de uso da conta de serviço
O Cloud Monitoring fornece métricas de uso para suas contas de serviço e chaves de conta de serviço. As métricas de uso informam cada atividade de autenticação das suas contas de serviço e chaves da conta de serviço.
Use as métricas de uso da conta de serviço para rastrear padrões de uso da conta de serviço ao longo do tempo. Esses padrões podem ajudar você a identificar anomalias, automática ou manualmente.
Para saber como ver as métricas de uso da conta de serviço, consulte Monitorar padrões de uso para contas de serviço e chaves na documentação do IAM.
Detecção de conta de serviço inativa
O Event Threat Detection detecta e informa quando uma conta de serviço inativa aciona uma ação. As contas de serviço inativas ficam inativas há mais de 180 dias.
Esse recurso está disponível apenas para clientes do Security Command Center Premium.
Para saber como ver e corrigir descobertas de ações inativas conta de serviço, consulte Investigar e responder a ameaças.