Veja a utilização recente de contas de serviço e chaves

Esta página mostra como usar o analisador de atividade para ver quando as suas contas de serviço e chaves foram usadas pela última vez para chamar uma API Google. Estas utilizações são denominadas atividades de autenticação.

A atividade de autenticação recente pode ajudar a identificar as contas de serviço e as chaves de contas de serviço que já não usa. Recomendamos que desative ou elimine estas contas de serviço e chaves não usadas, uma vez que criam um risco de segurança desnecessário.

Quando visualizar a utilização de contas de serviço, tenha em atenção que os pedidos autenticados por chaves da API associadas a contas de serviço não são registados nas métricas de utilização da conta de serviço.

Antes de começar

  • Compreenda as atividades de autenticação.

  • Enable the Policy Analyzer API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

.

Funções necessárias

Para obter as autorizações de que precisa para listar as atividades de autenticação mais recentes das suas contas de serviço e chaves de contas de serviço, peça ao seu administrador para lhe conceder a função do IAM leitor de análise de atividade (roles/policyanalyzer.activityAnalysisViewer) no projeto. Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Esta função predefinida contém as autorizações necessárias para listar as atividades de autenticação mais recentes das suas contas de serviço e chaves de contas de serviço. Para ver as autorizações exatas que são necessárias, expanda a secção Autorizações necessárias:

Autorizações necessárias

São necessárias as seguintes autorizações para listar as atividades de autenticação mais recentes das suas contas de serviço e chaves de contas de serviço:

  • policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query
  • policyanalyzer.serviceAccountLastAuthenticationActivities.query

Também pode conseguir estas autorizações com funções personalizadas ou outras funções predefinidas.

Veja a utilização recente de todas as contas de serviço ou chaves

Para listar as datas das atividades de autenticação mais recentes de todas as suas contas de serviço ou chaves de contas de serviço, use a CLI Google Cloud ou a API REST.

gcloud

Para apresentar uma lista das atividades de autenticação mais recentes das suas contas de serviço ou chaves, use o comando gcloud policy-intelligence query-activity:

gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \
    --project=PROJECT_ID --limit=LIMIT

Substitua os seguintes valores:

  • ACTIVITY_TYPE: o tipo de atividade que quer listar. Para listar as horas de utilização mais recentes das suas contas de serviço, use o comando serviceAccountLastAuthentication. Para listar as horas de utilização mais recentes das chaves da conta de serviço, use serviceAccountKeyLastAuthentication.
  • PROJECT_ID: o ID do seu Google Cloud projeto. Os IDs dos projetos são strings alfanuméricas, como my-project.
  • LIMIT: opcional. O número máximo de resultados a devolver. O valor predefinido é 1000.

A resposta é semelhante à seguinte, que apresenta os horários de utilização recentes das contas de serviço de um projeto:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'
---
activity:
  lastAuthenticatedTime: '2021-02-09T08:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-01T07:00:00Z'

Para saber como compreender estes resultados, consulte a secção Compreender as atividades nesta página.

REST

Para listar as atividades de autenticação mais recentes das suas contas de serviço ou chaves, use o método activities.query da API Policy Analyzer.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • PROJECT_ID: O ID do Google Cloud projeto. Os IDs dos projetos são strings alfanuméricas, como my-project.
  • ACTIVITY_TYPE: o tipo de atividade que quer listar. Para listar as utilizações mais recentes de todas as suas contas de serviço, use serviceAccountLastAuthentication. Para listar as utilizações mais recentes de todas as chaves de contas de serviço, use serviceAccountKeyLastAuthentication.
  • PAGE_SIZE: opcional. O número máximo de resultados a devolver deste pedido. Se não for especificado, o servidor determina o número de resultados a devolver. Se o número de atividades for superior ao tamanho da página, a resposta contém um token de paginação que pode usar para obter a página seguinte de resultados.
  • PAGE_TOKEN: opcional. O token de paginação devolvido numa resposta anterior deste método. Se especificado, a lista de atividades começa onde o pedido anterior terminou.

Método HTTP e URL: 

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Para enviar o seu pedido, expanda uma destas opções:

A resposta é semelhante à seguinte, que indica as horas de utilização recentes das contas de serviço de um projeto: 

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    },
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-29T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "234567890123456789012"
        }
      }
    }
  ],
  "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_"
}

Para saber como compreender estes resultados, consulte a secção Compreender as atividades nesta página.

Veja a utilização recente de contas de serviço específicas

Para encontrar a última data em que foram usadas contas de serviço específicas, use a Google Cloud consola, a CLI gcloud ou a API REST.

Consola

  1. Na Google Cloud consola, aceda à página Policy Analyzer.

    Aceder ao Analisador de políticas

  2. Em Analise a atividade recente, encontre o painel com a etiqueta Quando foi a última vez que esta conta de serviço foi usada? e clique em Criar consulta nesse painel.

  3. Na caixa Selecionar âmbito da consulta, introduza o nome do projeto cujas contas de serviço quer analisar.

  4. Na secção Adicionar contas de serviço, clique na caixa Conta de serviço. É apresentada uma lista de todas as contas de serviço no seu projeto. A lista também inclui o projeto ao qual cada conta de serviço está associada e o endereço de email de cada conta de serviço.

  5. Selecione a conta de serviço para a qual quer ver a utilização recente.

  6. Opcional: para ver a utilização recente de mais do que uma conta de serviço, clique em Adicionar conta e selecione outra conta de serviço. Pode analisar até 10 contas de serviço de cada vez.

  7. No painel Consultar atividades de acesso, clique em Executar consulta.

A página de resultados mostra a utilização mais recente das contas de serviço. Para saber como compreender estes resultados, consulte a secção Compreender as atividades nesta página.

gcloud

Para obter a atividade de autenticação mais recente de contas de serviço específicas, use o comando gcloud policy-intelligence query-activity com um filtro:

gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Substitua os seguintes valores:

  • PROJECT_ID: o ID do seu Google Cloud projeto. Os IDs dos projetos são strings alfanuméricas, como my-project.

  • FILTER: um filtro que especifica os nomes completos dos recursos das contas de serviço cuja utilização quer ver. O nome completo do recurso de uma conta de serviço inclui o ID do projeto e o endereço de email da conta de serviço.

    Para filtrar por uma única conta de serviço, use um filtro com o seguinte formato:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"

    Para filtrar várias contas de serviço, use OR para especificar vários nomes de recursos completos aceitáveis:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"

    Pode filtrar até 10 contas de serviço.

A resposta descreve a utilização mais recente das contas de serviço:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'

Para saber como compreender estes resultados, consulte a secção Compreender as atividades nesta página.

REST

Para obter a atividade de autenticação mais recente de contas de serviço específicas, use o método activities.query da API Policy Analyzer.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • PROJECT_ID: O ID do Google Cloud projeto. Os IDs dos projetos são strings alfanuméricas, como my-project.

  • FILTER: um filtro que especifica os nomes completos dos recursos das contas de serviço cuja utilização quer ver.

    Para filtrar por uma única conta de serviço, use um filtro com o seguinte formato: 

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22

    Para filtrar por várias contas de serviço, use %20OR%20 para especificar vários nomes de recursos completos aceitáveis: 

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22

Método HTTP e URL: 

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER

Para enviar o seu pedido, expanda uma destas opções:

A resposta descreve a utilização mais recente das contas de serviço: 

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    }
  ]
}

Veja a utilização recente de chaves de contas de serviço específicas

Para encontrar a última data em que foram usadas chaves de contas de serviço específicas, identifique a chave de conta de serviço para a qual quer ver a utilização recente e, em seguida, crie uma consulta com esse ID.

Se tiver um ficheiro de chave JSON, pode encontrar o ID exclusivo de uma chave de conta de serviço no campo private_key_id do ficheiro.

Se não tiver um ficheiro de chave JSON, pode encontrar o ID exclusivo de uma chave de conta de serviço seguindo estes passos:

Consola

  1. Na Google Cloud consola, aceda à página Policy Analyzer.

    Aceder ao Analisador de políticas

  2. Em Analise a atividade recente, encontre o painel etiquetado como Quando foi a última vez que esta chave de conta de serviço foi usada? e clique em Criar consulta nesse painel.

  3. Na caixa Selecionar âmbito da consulta, introduza o nome do projeto cujas chaves da conta de serviço quer analisar.

  4. Na secção Adicionar chave da conta de serviço, clique na caixa Chave da conta de serviço. É apresentada uma lista de todas as chaves de contas de serviço no seu projeto. A lista também inclui o projeto e a conta de serviço aos quais cada chave está associada.

  5. Selecione a chave para a qual quer ver a utilização recente.

  6. Opcional: para ver a utilização recente de mais de uma chave, clique em Adicionar chave e selecione outra chave. Pode analisar até 10 chaves de cada vez.

  7. No painel Consultar atividades de acesso, clique em Executar consulta.

A página de resultados mostra a utilização mais recente das chaves de contas de serviço. Para saber como compreender estes resultados, consulte a secção Compreender as atividades nesta página.

gcloud

Primeiro, identifique a chave da conta de serviço para a qual quer ver a utilização recente:

  1. Liste as chaves da conta de serviço.

    Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

    • SERVICE_ACCOUNT_EMAIL: O endereço de email da conta de serviço à qual a chave está associada.

    Execute o comando gcloud iam service-accounts keys list:

    Linux, macOS ou Cloud Shell

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

    Windows (PowerShell)

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

    Windows (cmd.exe)

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

    O resultado mostra uma lista de todas as chaves criadas pelo utilizador associadas à conta de serviço, incluindo o ID exclusivo, a hora de criação e a hora de expiração de cada chave.

  2. Use os dados no resultado para identificar a chave que quer acompanhar e copie o respetivo ID exclusivo.

Depois de encontrar os IDs exclusivos das chaves da conta de serviço, use os IDs para filtrar os resultados do Analisador de atividade:

Para obter a atividade de autenticação mais recente para chaves de contas de serviço específicas, use o comando gcloud policy-intelligence query-activity com um filtro.

Antes de usar qualquer um dos dados de comandos abaixo, faça as seguintes substituições:

  • PROJECT_ID: O ID do Google Cloud projeto. Os IDs dos projetos são strings alfanuméricas, como my-project.

  • FILTER: um filtro que especifica os nomes completos dos recursos das chaves da conta de serviço cuja utilização quer ver. O nome completo do recurso de uma chave de conta de serviço inclui o ID do projeto, o endereço de email da conta de serviço associada à chave e o ID da chave.

    Para filtrar por uma única chave de conta de serviço, use um filtro com o seguinte formato: 

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"

    Para filtrar várias chaves de contas de serviço, use OR para especificar vários nomes de recursos completos aceitáveis: 

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"

    Pode filtrar até 10 chaves de contas de serviço.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Windows (PowerShell)

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication `
    --project=PROJECT_ID `
    --query-filter='FILTER'

Windows (cmd.exe)

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ^
    --project=PROJECT_ID ^
    --query-filter='FILTER'

Deve receber uma resposta semelhante à seguinte:

activity:
  lastAuthenticatedTime: '2021-06-11T07:00:00Z'
  serviceAccountKey:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
    projectNumber: '232342569935'
    serviceAccountId: '103185812403937829397'
activityType: serviceAccountKeyLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-10T07:00:00Z'

Esta resposta descreve a utilização mais recente das chaves de contas de serviço. Para saber como compreender estes resultados, consulte a secção Compreender as atividades nesta página.

REST

Primeiro, identifique a chave da conta de serviço para a qual quer ver a utilização recente:

  1. Liste as chaves da conta de serviço:

    Para listar todas as chaves da conta de serviço de uma conta de serviço, use o método projects.serviceAccounts.keys.list da API IAM.

    Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

    • PROJECT_ID: O ID do Google Cloud projeto. Os IDs dos projetos são strings alfanuméricas, como my-project.
    • SA_NAME: o nome da conta de serviço cujas chaves quer listar.
    • KEY_TYPES: opcional. Uma lista separada por vírgulas dos tipos de chaves que quer incluir na resposta. O tipo de chave indica se uma chave é gerida pelo utilizador (USER_MANAGED) ou gerida pelo sistema (SYSTEM_MANAGED). Se ficar em branco, são devolvidas todas as chaves.

    Método HTTP e URL: 

    GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES

    Para enviar o seu pedido, expanda uma destas opções:

    A resposta descreve a utilização mais recente das chaves da conta de serviço: 

    {
  "keys": [
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c",
      "validAfterTime": "2020-03-04T17:39:47Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED"
    },
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8",
      "validAfterTime": "2020-03-31T23:50:09Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED"
    },
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e",
      "validAfterTime": "2020-05-17T18:58:13Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED",
      "disabled": true
    }
  ]
}

  2. Use os metadados na resposta para identificar a chave que quer acompanhar. Em seguida, copie o ID exclusivo da chave a partir do final do campo name.

    O campo name tem o seguinte formato:

    "name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"

    O ID exclusivo da chave é tudo o que se encontra após keys/.

    Por exemplo, o ID exclusivo no seguinte nome da chave é 0f561cc41650ff521899de2fd653bd3de08e2da4:

    "name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"

Depois de encontrar os IDs exclusivos das chaves da conta de serviço, use os IDs para filtrar os resultados do Analisador de atividade:

Para obter a atividade de autenticação mais recente para chaves de contas de serviço específicas, use o método activities.query da API Policy Analyzer.

Antes de usar qualquer um dos dados do pedido, faça as seguintes substituições:

  • PROJECT_ID: O ID do Google Cloud projeto. Os IDs dos projetos são strings alfanuméricas, como my-project.

  • FILTER: um filtro que especifica os nomes completos dos recursos das chaves da conta de serviço cuja utilização quer ver. O nome completo do recurso de uma chave de conta de serviço inclui o ID do projeto, o endereço de email da conta de serviço associada à chave e o ID da chave.

    Para filtrar por uma única chave de conta de serviço, use um filtro com o seguinte formato: 

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22

    Para filtrar várias chaves de contas de serviço, use %20OR%20 para especificar vários nomes de recursos completos aceitáveis: 

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22

    Pode filtrar até 10 chaves de contas de serviço.

Método HTTP e URL: 

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER

Para enviar o seu pedido, expanda uma destas opções:

A resposta descreve a utilização mais recente das chaves da conta de serviço: 

{
  "activities": [
    {
      "activity": {
        "lastAuthenticatedTime": "2021-06-11T07:00:00Z",
        "serviceAccountKey": {
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
          "projectNumber": "123456789012",
          "serviceAccountId": "123456789012345678901"
        }
      },
      "activityType": "serviceAccountKeyLastAuthentication",
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
      "observationPeriod": {
        "endTime": "2021-07-06T07:00:00Z",
        "startTime": "2020-04-20T07:00:00Z"
      }
    }
  ]
}

Para saber como compreender estes resultados, consulte a secção Compreender as atividades nesta página.

Compreenda as atividades

Consola

A página de resultados da consulta apresenta os parâmetros de consulta e os resultados da consulta.

Para uma consulta de conta de serviço, a tabela de resultados apresenta cada conta de serviço da consulta e a última vez que foi autenticada:

Para uma consulta de chaves de contas de serviço, a tabela de resultados apresenta cada chave de conta de serviço da consulta, a conta de serviço à qual está associada e a data da última autenticação.

Os resultados podem não incluir eventos de autenticação muito recentes. Verifique a dica de ferramenta para ver o intervalo de datas exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora deste intervalo.

A tabela de resultados para ambas as consultas também apresenta as funções do IAM que a conta de serviço tem no projeto, juntamente com quaisquer estatísticas de segurança. Estas estatísticas realçam padrões na forma como as suas contas de serviço acedem aos recursos. Por exemplo, algumas estatísticas realçam as autorizações excessivas ou as autorizações de que um principal não precisa. Outras estatísticas realçam as contas de serviço com autorizações de movimento lateral ou autorizações que permitem à conta de serviço usar a identidade de uma conta de serviço noutro projeto.

Algumas estatísticas também incluem recomendações de funções que sugerem alterações que pode fazer para reduzir as autorizações excessivas. Para saber como gerir recomendações e estatísticas, consulte o artigo Reveja e aplique recomendações.

gcloud

O Analisador de atividade comunica os resultados como uma lista de atividades. As atividades têm os seguintes campos:

  • fullResourceName: o nome completo do recurso da conta de serviço ou da chave da conta de serviço cuja atividade está a ser comunicada. Este formato é descrito nas secções seguintes e em Nomes de recursos completos.
  • activityType: o tipo de atividade que está a ser denunciada. Para a atividade de autenticação da conta de serviço recente, o valor é serviceAccountLastAuthentication. Para a atividade de autenticação recente da chave da conta de serviço, o valor é serviceAccountKeyLastAuthentication.
  • observationPeriod: horas de início e fim que indicam o período durante o qual a conta de serviço ou a chave foi observada para atividade. A hora nestas indicações de tempo é sempre T07:00:00Z.
  • activity: os detalhes da atividade. O conteúdo deste campo varia com base no tipo de atividade. Consulte as secções seguintes para ver detalhes.

Detalhes das atividades da conta de serviço

O campo activity para atividades serviceAccountLastAuthentication contém os seguintes campos:

  • serviceAccount: detalhes sobre a conta de serviço cuja atividade está a ser comunicada, incluindo o seguinte:

    • fullResourceName: o nome completo do recurso da conta de serviço, no formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
    • projectNumber: o ID numérico do projeto que detém a conta de serviço.
    • serviceAccountId: o ID numérico da conta de serviço.

  • lastAuthenticatedTime: Uma data/hora que representa a data em que ocorreu o evento de autenticação mais recente. A hora nesta data/hora é sempre T07:00:00Z, independentemente da hora exata do evento de autenticação.

    Os resultados podem não incluir eventos de autenticação muito recentes. Verifique o observationPeriod para ver o intervalo de datas exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora deste intervalo.

    Este campo não está incluído para contas de serviço que nunca foram usadas.

Detalhes das atividades da chave da conta de serviço

O campo activity para atividades serviceAccountKeyLastAuthentication contém os seguintes campos:

  • serviceAccountKey: detalhes sobre a chave da conta de serviço cuja atividade está a ser comunicada, incluindo o seguinte:

    • fullResourceName: o nome completo do recurso da chave da conta de serviço, no formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
    • projectNumber: o ID numérico do projeto proprietário da conta de serviço à qual a chave está associada.
    • serviceAccountId: o ID numérico da conta de serviço à qual a chave está associada.

  • lastAuthenticatedTime: Uma data/hora que representa a data em que ocorreu o evento de autenticação mais recente. A hora nesta data/hora é sempre T07:00:00Z, independentemente da hora exata do evento de autenticação.

    Os resultados podem não incluir eventos de autenticação muito recentes. Verifique o observationPeriod para ver o intervalo de datas exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora deste intervalo.

    Este campo não está incluído para chaves de contas de serviço que nunca foram usadas.

REST

O Analisador de atividade comunica os resultados como uma lista de atividades. As atividades têm os seguintes campos:

  • fullResourceName: o nome completo do recurso da conta de serviço ou da chave da conta de serviço cuja atividade está a ser comunicada. Este formato é descrito nas secções seguintes e em Nomes de recursos completos.
  • activityType: o tipo de atividade que está a ser denunciada. Para a atividade de autenticação da conta de serviço recente, o valor é serviceAccountLastAuthentication. Para a atividade de autenticação recente da chave da conta de serviço, o valor é serviceAccountKeyLastAuthentication.
  • observationPeriod: horas de início e fim que indicam o período durante o qual a conta de serviço ou a chave foi observada para atividade. A hora nestas indicações de tempo é sempre T07:00:00Z.
  • activity: os detalhes da atividade. O conteúdo deste campo varia com base no tipo de atividade. Consulte as secções seguintes para ver detalhes.

Detalhes das atividades da conta de serviço

O campo activity para atividades serviceAccountLastAuthentication contém os seguintes campos:

  • serviceAccount: detalhes sobre a conta de serviço cuja atividade está a ser comunicada, incluindo o seguinte:

    • fullResourceName: o nome completo do recurso da conta de serviço, no formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
    • projectNumber: o ID numérico do projeto que detém a conta de serviço.
    • serviceAccountId: o ID numérico da conta de serviço.

  • lastAuthenticatedTime: Uma data/hora que representa a data em que ocorreu o evento de autenticação mais recente. A hora nesta data/hora é sempre T07:00:00Z, independentemente da hora exata do evento de autenticação.

    Os resultados podem não incluir eventos de autenticação muito recentes. Verifique o observationPeriod para ver o intervalo de datas exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora deste intervalo.

    Este campo não está incluído para contas de serviço que nunca foram usadas.

Detalhes das atividades da chave da conta de serviço

O campo activity para atividades serviceAccountKeyLastAuthentication contém os seguintes campos:

  • serviceAccountKey: detalhes sobre a chave da conta de serviço cuja atividade está a ser comunicada, incluindo o seguinte:

    • fullResourceName: o nome completo do recurso da chave da conta de serviço, no formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
    • projectNumber: o ID numérico do projeto proprietário da conta de serviço à qual a chave está associada.
    • serviceAccountId: o ID numérico da conta de serviço à qual a chave está associada.

  • lastAuthenticatedTime: Uma data/hora que representa a data em que ocorreu o evento de autenticação mais recente. A hora nesta data/hora é sempre T07:00:00Z, independentemente da hora exata do evento de autenticação.

    Os resultados podem não incluir eventos de autenticação muito recentes. Verifique o observationPeriod para ver o intervalo de datas exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora deste intervalo.

    Este campo não está incluído para chaves de contas de serviço que nunca foram usadas.

O que se segue?