您可以使用多种不同的工具来了解服务帐号和密钥的身份验证活动。本页面介绍了可用的工具及其预期用途。
身份验证活动
每当服务帐号或密钥用于调用 Google API(包括不属于 Google Cloud 的 API)时,它都会生成一个身份验证活动。如需了解服务帐号的使用情况,您可以使用本页介绍的工具跟踪这些身份验证活动。
身份验证活动既包括成功的 API 调用,也包括失败的 API 调用。例如,如果由于调用者无权调用相应 API 或者由于请求引用了不存在的资源而导致 API 调用失败,则该操作仍会计为用于该 API 调用的服务帐号或密钥的身份验证活动。
服务帐号密钥的身份验证活动还包括每次系统尝试对请求进行身份验证时列出密钥时的情况,即使系统不使用密钥对请求进行身份验证也是如此。当使用 Cloud Storage 签名网址或向第三方应用进行身份验证时,此行为最常见。
Cloud Storage HMAC 身份验证密钥不会为服务帐号或服务帐号密钥生成身份验证活动。
活动分析器
Policy Intelligence 的 Activity Analyzer 可让您查看服务帐号和服务帐号密钥的最新身份验证活动。最近一次身份验证活动的日期根据美国和加拿大的太平洋标准时间 (UTC-8) 确定,即使太平洋夏令时生效也是如此。
使用 Activity Analyzer 来识别未使用的服务帐号和密钥。使用 Activity 分析器,您可以自行定义服务帐号或密钥处于“未使用”状态的含义。例如,一些组织可能会将“未使用的”定义为处于非活跃状态 90 天,而另一些组织可能会将“未使用”定义为闲置 30 天。
建议停用或删除这些未使用的服务帐号和密钥,因为它们会产生不必要的安全风险。
如需了解如何查看服务帐号身份验证活动,请参阅查看服务帐号和密钥的近期使用情况。
服务帐号数据分析
Recommender 会提供服务帐号数据分析,这些数据分析可以确定项目中在过去 90 天内未使用过的服务帐号。使用服务帐号数据分析可快速识别未使用的服务帐号。建议停用或删除这些未使用的服务帐号,因为它们会带来不必要的安全风险。
如需了解如何使用服务帐号数据分析,请参阅查找未使用的服务帐号。
服务帐号用量指标
Cloud Monitoring 为您的服务帐号和服务帐号密钥提供用量指标。使用情况指标可报告您的服务帐号和服务帐号密钥的每个身份验证活动。
使用服务帐号用量指标可跟踪一段时间内的服务帐号用量模式。这些模式可以自动或手动识别异常值。
如需了解如何查看服务帐号用量指标,请参阅 IAM 文档中的监控服务帐号和密钥的使用模式。
休眠服务帐号检测
事件威胁检测可检测并报告休眠服务帐号何时会触发某项操作。休眠服务帐号是处于非活跃状态超过 180 天的服务帐号。
此功能仅适用于 Security Command Center 高级方案客户。
如需了解如何查看和修复休眠服务帐号操作发现结果,请参阅调查和应对威胁。