יש כמה כלים שונים שאפשר להשתמש בהם כדי להבין את פעולות האימות של חשבונות שירות ומפתחות. בדף הזה מתוארים הכלים הזמינים והשימושים המיועדים שלהם.
אם רוצים לראות איך חשבונות שירות משתמשים בהרשאות שלהם ולזהות חשבונות שירות עם הרשאות עודפות, אפשר להשתמש בהמלצות לתפקידים. מידע נוסף זמין במאמר סקירה כללית על המלצות לתפקידים.
פעילויות אימות
בכל פעם שמשתמשים בחשבון שירות או במפתח כדי לקרוא ל-Google API, כולל API שלא שייך ל- Google Cloud, נוצרת פעילות אימות. כדי להבין את השימוש בחשבון שירות, אפשר לעקוב אחרי פעילויות האימות האלה באמצעות הכלים שמתוארים בדף הזה.
פעילויות אימות כוללות קריאות ל-API שהצליחו וגם כאלו שנכשלו. לדוגמה, אם קריאה ל-API נכשלת כי הגורם ששלח את הקריאה לא מורשה לקרוא ל-API הזה, או כי הבקשה מפנה למשאב שלא קיים, הפעולה עדיין נחשבת לפעילות אימות עבור חשבון השירות או המפתח ששימשו כדי לקרוא ל-API.
פעילויות אימות עם Google API מחוץ ל- Google Cloud, כמו הענקת הרשאות גישה ברמת הדומיין של הרשאה ל-Google Workspace APIs, לא מתועדות בכלי לניתוח פעילות או בתובנות לגבי חשבונות שירות. כדי לעקוב אחרי פעילויות האימות האלה, משתמשים במדדי השימוש בחשבונות שירות של Cloud Monitoring.
מפתחות אימות של קוד אימות הודעות (HMAC) מבוסס גיבוב ב-Cloud Storage לא יוצרים פעילויות אימות לחשבונות שירות או למפתחות של חשבונות שירות. מידע נוסף זמין במאמר בנושא מפתחות HMAC.
כלי לניתוח פעילות
בעזרת Activity Analyzer של Policy Intelligence אפשר לראות את פעילויות האימות האחרונות של חשבונות השירות ומפתחות חשבונות השירות. התאריך של פעילות האימות האחרונה נקבע לפי שעון החוף המערבי בארה"ב ובקנדה (UTC-8), גם כששעון הקיץ פועל.
משתמשים ב-Activity Analyzer כדי לזהות חשבונות שירות ומפתחות שלא נמצאים בשימוש. בעזרת Activity Analyzer, אתם יכולים להגדיר בעצמכם מה המשמעות של 'לא בשימוש' לגבי חשבון שירות או מפתח. לדוגמה, ארגונים מסוימים מגדירים 'לא בשימוש' כ-90 ימים של חוסר פעילות, בעוד שארגונים אחרים מגדירים 'לא בשימוש' כ-30 ימים של חוסר פעילות.
אנחנו ממליצים להשבית או למחוק את חשבונות השירות והמפתחות האלה שלא נמצאים בשימוש, כי הם יוצרים סיכון אבטחה מיותר. לפני שמשביתים או מוחקים חשבון שירות, כדאי להשוות בין התוצאות של כלי ניתוח הפעילות לבין מדדי השימוש בחשבון השירות של Cloud Monitoring, כדי למנוע הסרה של חשבונות שירות שנמצאים בשימוש עם Google APIs מחוץ ל- Google Cloud.
במאמר הצגת נתוני השימוש האחרונים בחשבונות שירות ובמפתחות מוסבר איך רואים את פעילויות האימות של חשבונות השירות.
תובנות לגבי חשבונות שירות
שירות ההמלצות מספק תובנות לגבי חשבונות שירות, שמאפשרות לזהות את חשבונות השירות בפרויקט שלא אומתו ב-90 הימים האחרונים. שימוש בתובנות על חשבונות שירות כדי לזהות במהירות חשבונות שירות שלא נמצאים בשימוש.
מומלץ להשבית או למחוק את חשבונות השירות האלה שלא נמצאים בשימוש, כי הם יוצרים סיכון אבטחה מיותר. לפני שמשביתים או מוחקים חשבון שירות, כדאי להשוות בין התובנות לגבי חשבון השירות לבין מדדי השימוש בחשבון השירות ב-Cloud Monitoring. הגישה הזו מונעת את ההסרה של חשבונות שירות שנמצאים בשימוש עם Google APIs מחוץ ל-Google Cloud.
במאמר איתור חשבונות שירות שלא נמצאים בשימוש מוסבר איך משתמשים בתובנות לגבי חשבונות שירות.
מדדי שימוש בחשבון שירות
Cloud Monitoring מספק מדדי שימוש לחשבונות השירות ולמפתחות של חשבונות השירות. בדוח מדדי השימוש מופיעה כל פעילות אימות של חשבונות השירות והמפתחות של חשבונות השירות.
פעולות אימות של מפתחות של חשבונות שירות כוללות כל פעם שמערכת יוצרת רשימת מפתחות בניסיון לאמת בקשה, גם אם היא לא השתמשה במפתח כדי לאמת את הבקשה. מתי זה נפוץ? למשל, כשמשתמשים בכתובות URL חתומות ל-Cloud Storage או כשמאמתים אפליקציות של צד שלישי.
בעזרת מדדי השימוש בחשבון שירות תוכלו לעקוב אחרי דפוסי השימוש בחשבון השירות לאורך זמן. הדפוסים האלה יכולים לעזור לכם לזהות אנומליות, באופן אוטומטי או ידני.
במאמר מעקב אחרי דפוסי השימוש בחשבונות השירות ובמפתחות במסמכי ה-IAM מוסבר איך לראות את מדדי השימוש בחשבונות שירות.
זיהוי של חשבונות שירות רדומים
Event Threat Detection מזהה ומדווח כשחשבון שירות רדום מפעיל פעולה. חשבונות שירות רדומים הם חשבונות שירות שלא היו פעילים במשך יותר מ-180 יום.
התכונה הזו זמינה רק ללקוחות שהפעילו את מסלול הפרימיום או Enterprise של Security Command Center ברמת הארגון.
במאמר בדיקה ותגובה לאיומים מוסבר איך לצפות בממצאים של פעולות שבוצעו על ידי חשבונות שירות רדומים ולתקן אותם.