Vous pouvez utiliser plusieurs outils différents pour comprendre les activités d'authentification des comptes de service et des clés. Cette page décrit les outils disponibles et leurs utilisations prévues.
Si vous souhaitez voir comment les comptes de service utilisent leurs autorisations et identifier les comptes de service disposant de trop d'autorisations, utilisez les recommandations de rôle. Pour en savoir plus, consultez la présentation des recommandations de rôle.
Activités d'authentification
Chaque fois qu'un compte de service ou une clé est utilisé pour appeler une API Google, y compris une API qui ne fait pas partie de Google Cloud, une activité d'authentification est générée. Pour comprendre l'utilisation des comptes de service, vous pouvez suivre ces activités d'authentification à l'aide des outils décrits sur cette page.
Les activités d'authentification incluent les appels d'API ayant réussi et ceux ayant échoué. Par exemple, si un appel d'API échoue parce que l'appelant n'est pas autorisé à appeler cette API, ou si la requête fait référence à une ressource qui n'existe pas, l'action est toujours comptabilisée comme une activité d'authentification pour le compte de service ou la clé de compte de service utilisé pour cet appel d'API.
Les activités d'authentification avec une API Google en dehors de Google Cloud, telles que la délégation d'autorité au niveau du domaine aux API Google Workspace, ne sont pas suivies par Activity Analyzer ni par les insights sur les comptes de service. Pour suivre ces activités d'authentification, utilisez les métriques d'utilisation des comptes de service Cloud Monitoring .
Les clés d'authentification HMAC (Hash-based Message Authentication Code, code d'authentification des messages basé sur un hachage) Cloud Storage ne génèrent pas d'activités d'authentification pour les comptes de service ni pour les clés de compte de service. Pour en savoir plus, consultez Clés HMAC.
Activity Analyzer
L'outil Activity Analyzer de Policy Intelligence vous permet d'afficher les activités d'authentification les plus récentes pour vos comptes de service et vos clés de compte de service. La date de la dernière activité d'authentification est déterminée en fonction de l'heure normale du Canada et des États-Unis (UTC-8), même si l'heure avancée du Pacifique est en vigueur.
Utilisez Activity Analyzer pour identifier les comptes de service et les clés inutilisés. Avec Activity Analyzer, vous pouvez utiliser votre propre définition de ce que signifie qu'un compte de service ou une clé est "inutilisé". Par exemple, certaines organisations peuvent définir "inutilisé" comme 90 jours d'inactivité, tandis que d'autres peuvent définir "inutilisé" comme 30 jours d'inactivité.
Nous vous recommandons de désactiver ou de supprimer ces clés et comptes de service, car ils représentent un risque de sécurité inutile. Comparez les résultats d'Activity Analyzer avec les métriques d'utilisation des comptes de service Cloud Monitoring avant de désactiver ou de supprimer un compte de service pour éviter de supprimer des comptes de service utilisés avec des API Google en dehors de Google Cloud.
Pour savoir comment afficher les activités d'authentification des comptes de service, consultez Afficher l'utilisation récente des comptes de service et des clés.
Insights sur les comptes de service
Recommender fournit des insights sur les comptes de service, qui identifient les comptes de service de votre projet qui ne se sont pas authentifiés au cours des 90 derniers jours. Utilisez les insights sur les comptes de service pour identifier rapidement les comptes de service inutilisés.
Nous vous recommandons de désactiver ou de supprimer ces comptes de service inutilisés, car ils représentent un risque de sécurité inutile. Comparez les insights sur les comptes de service avec les métriques d'utilisation des comptes de service Cloud Monitoring avant de désactiver ou de supprimer un compte de service. Cette approche vous empêche de supprimer des comptes de service utilisés avec des API Google en dehors de Google Cloud.
Pour savoir comment utiliser les insights sur les comptes de service, consultez Rechercher les comptes de service inutilisés.
Métriques d'utilisation des comptes de service
Cloud Monitoring fournit des métriques d'utilisation pour vos comptes de service et vos clés de compte de service. Les métriques d'utilisation signalent chaque activité d'authentification pour vos comptes de service et vos clés de compte de service.
Les activités d'authentification pour les clés de compte de service incluent chaque fois qu'un système liste les clés lors d'une tentative d'authentification d'une requête, même si le système n'utilise pas la clé pour authentifier la requête. Ce comportement est le plus courant lorsque vous utilisez des URL signées pour Cloud Storage ou lorsque vous vous authentifiez auprès d'applications tierces.
Utilisez les métriques d'utilisation des comptes de service pour suivre les modèles d'utilisation des comptes de service au fil du temps. Ces modèles peuvent vous aider à identifier des anomalies, automatiquement ou manuellement.
Pour savoir comment afficher les métriques d'utilisation des comptes de service, consultez Surveiller les modèles d'utilisation des comptes de service et des clés dans la documentation IAM.
Détection des comptes de service dormants
Event Threat Detection détecte et signale lorsqu'un compte de service dormant déclenche une action. Les comptes de service dits "dormants" sont des comptes de service inactifs depuis plus de 180 jours.
Cette fonctionnalité n'est disponible que pour les clients ayant activé le niveau Premium ou Enterprise de Security Command Center au niveau de l'organisation .
Pour savoir comment afficher et corriger les résultats d'action de compte de service dormant, consultez Examiner les menaces et y répondre.