Ada beberapa alat berbeda yang dapat Anda gunakan untuk memahami aktivitas autentikasi untuk akun layanan dan kunci. Halaman ini menjelaskan alat yang tersedia dan tujuan penggunaannya.
Jika Anda ingin melihat cara akun layanan menggunakan izinnya dan mengidentifikasi akun layanan yang memiliki terlalu banyak hak istimewa, gunakan rekomendasi peran. Untuk mengetahui informasi selengkapnya, lihat Ringkasan rekomendasi peran.
Aktivitas autentikasi
Setiap kali akun layanan atau kunci digunakan untuk memanggil Google API, termasuk API yang bukan bagian dari Google Cloud, aktivitas autentikasi akan dibuat. Untuk memahami penggunaan akun layanan, Anda dapat melacak aktivitas autentikasi ini menggunakan alat yang dijelaskan di halaman ini.
Aktivitas autentikasi mencakup panggilan API yang berhasil dan gagal. Misalnya, jika panggilan API gagal karena pemanggil tidak diizinkan untuk memanggil API tersebut, atau karena permintaan merujuk ke resource yang tidak ada, tindakan tersebut tetap dihitung sebagai aktivitas autentikasi untuk akun layanan atau kunci yang digunakan untuk panggilan API tersebut.
Aktivitas autentikasi dengan Google API di luar Google Cloud, seperti delegasi seluruh domain otoritas ke Google Workspace API, tidak dilacak oleh Penganalisis Aktivitas atau insight akun layanan. Untuk melacak aktivitas autentikasi ini, gunakan Cloud Monitoring metrik penggunaan akun layanan.
Kunci autentikasi hash-based message authentication code (HMAC) Cloud Storage tidak menghasilkan aktivitas autentikasi untuk akun layanan maupun kunci akun layanan. Untuk mengetahui informasi selengkapnya, lihat kunci HMAC.
Penganalisis Aktivitas
Activity Analyzer Policy Intelligence memungkinkan Anda melihat aktivitas autentikasi terbaru untuk akun layanan dan kunci akun layanan Anda. Tanggal aktivitas autentikasi terbaru ditentukan berdasarkan Waktu Standar Pasifik AS dan Kanada (UTC-8), meskipun Waktu Musim Panas Pasifik berlaku.
Gunakan Activity Analyzer untuk mengidentifikasi akun layanan dan kunci yang tidak digunakan. Dengan Activity Analyzer, Anda dapat menggunakan definisi Anda sendiri tentang apa yang dimaksud dengan akun atau kunci layanan yang "tidak digunakan". Misalnya, beberapa organisasi mungkin mendefinisikan "tidak digunakan" sebagai 90 hari tidak aktif, sementara organisasi lain mungkin mendefinisikan "tidak digunakan" sebagai 30 hari tidak aktif.
Sebaiknya nonaktifkan atau hapus akun dan kunci layanan yang tidak digunakan ini karena menimbulkan risiko keamanan yang tidak perlu. Lakukan referensi silang hasil Analisis Aktivitas dengan metrik penggunaan akun layanan Cloud Monitoring sebelum menonaktifkan atau menghapus akun layanan untuk mencegah penghapusan akun layanan yang sedang digunakan dengan Google API di luar Google Cloud.
Untuk mempelajari cara melihat aktivitas autentikasi akun layanan, lihat Melihat penggunaan terbaru untuk akun layanan dan kunci.
Insight akun layanan
Recommender memberikan insight akun layanan, yang mengidentifikasi akun layanan di project Anda yang belum diautentikasi dalam 90 hari terakhir. Gunakan insight akun layanan untuk mengidentifikasi dengan cepat akun layanan yang tidak digunakan.
Sebaiknya nonaktifkan atau hapus akun layanan yang tidak digunakan ini karena dapat menimbulkan risiko keamanan yang tidak perlu. Lakukan referensi silang insight akun layanan dengan metrik penggunaan akun layanan Cloud Monitoring sebelum Anda menonaktifkan atau menghapus akun layanan. Pendekatan ini mencegah Anda menghapus akun layanan yang digunakan dengan Google API di luarGoogle Cloud.
Untuk mempelajari cara menggunakan insight akun layanan, lihat Menemukan akun layanan yang tidak digunakan.
Metrik penggunaan akun layanan
Cloud Monitoring menyediakan metrik penggunaan untuk akun layanan dan kunci akun layanan Anda. Metrik penggunaan melaporkan setiap aktivitas autentikasi untuk akun layanan dan kunci akun layanan Anda.
Aktivitas autentikasi untuk kunci akun layanan mencakup setiap kali sistem mencantumkan kunci saat mencoba mengautentikasi permintaan, meskipun sistem tidak menggunakan kunci tersebut untuk mengautentikasi permintaan. Perilaku ini paling umum terjadi saat menggunakan URL bertanda tangan untuk Cloud Storage atau saat melakukan autentikasi ke aplikasi pihak ketiga.
Gunakan metrik penggunaan akun layanan untuk melacak pola penggunaan akun layanan dari waktu ke waktu. Pola ini dapat membantu Anda mengidentifikasi anomali, baik secara otomatis maupun manual.
Untuk mempelajari cara melihat metrik penggunaan akun layanan, lihat Memantau pola penggunaan untuk akun layanan dan kunci dalam dokumentasi IAM.
Deteksi akun layanan tidak aktif
Event Threat Detection mendeteksi dan melaporkan saat akun layanan yang tidak aktif memicu tindakan. Akun layanan yang tidak aktif adalah akun layanan yang telah tidak aktif selama lebih dari 180 hari.
Fitur ini hanya tersedia untuk pelanggan dengan aktivasi level organisasi paket Premium atau Enterprise Security Command Center.
Untuk mempelajari cara melihat dan memulihkan temuan tindakan akun layanan tidak aktif, lihat Menyelidiki dan merespons ancaman.