Esistono diversi strumenti che puoi utilizzare per comprendere le attività di autenticazione per service account e chiavi. In questa pagina vengono descritti gli strumenti disponibili e i relativi utilizzi previsti.
Se vuoi vedere in che modo i service account utilizzano le loro autorizzazioni e identificare i service account con privilegi eccessivi, utilizza i consigli sui ruoli. Per ulteriori informazioni, consulta la panoramica dei consigli sui ruoli.
Attività di autenticazione
Ogni volta che un account di servizio o una chiave viene utilizzato per chiamare un'API Google, inclusa un' API che non fa parte di Google Cloud, viene generata un'attività di autenticazione activity. Per comprendere l'utilizzo dei account di servizio, puoi monitorare queste attività di autenticazione utilizzando gli strumenti descritti in questa pagina.
Le attività di autenticazione includono le chiamate API riuscite e non riuscite. Ad esempio, se una chiamata API non riesce perché il chiamante non è autorizzato a chiamare l'API o perché la richiesta fa riferimento a una risorsa inesistente, l'azione viene comunque conteggiata come attività di autenticazione per il account di servizio o la chiave utilizzata per la chiamata API.
Le attività di autenticazione con un'API Google esterna a Google Cloud, come la delega dell'autorità a livello di dominio alle API Google Workspace, non vengono monitorate da Activity Analyzer o dagli insight sui service account. Per monitorare queste attività di autenticazione, utilizza le metriche di utilizzo dei service account di Cloud Monitoring .
Le chiavi di autenticazione HMAC (Hash-based Message Authentication Code) di Cloud Storage non generano attività di autenticazione per i service account o le chiavi dei service account. Per ulteriori informazioni, consulta Chiavi HMAC.
Activity Analyzer
Activity Analyzer di Policy Intelligence ti consente di visualizzare le attività di autenticazione più recenti per i service account e le chiavi dei account di servizio. La data dell'attività di autenticazione più recente viene determinata in base all'ora standard del Pacifico (UTC-8), anche quando è in vigore l'ora legale del Pacifico.
Utilizza Activity Analyzer per identificare i service account e le chiavi inutilizzati. Con Activity Analyzer, puoi utilizzare la tua definizione di "inutilizzato" per un account di servizio o una chiave. Ad esempio, alcune organizzazioni potrebbero definire "inutilizzato" come 90 giorni di inattività, mentre altre potrebbero definirlo come 30 giorni di inattività.
Ti consigliamo di disattivare o eliminare questi service account e chiavi inutilizzati perché creano un rischio per la sicurezza non necessario. Prima di disattivare o eliminare un account di servizio, fai riferimento incrociato ai risultati di Activity Analyzer con le metriche di utilizzo dei account di servizio di Cloud Monitoring per evitare di rimuovere i service account in uso con le API Google esterne a Google Cloud.
Per scoprire come visualizzare le attività di autenticazione dei account di servizio, consulta Visualizzare l'utilizzo recente di service account e chiavi.
Insight sui service account
Recommender fornisce insight sui account di servizio, che identificano i service account nel tuo progetto che non sono stati autenticati negli ultimi 90 giorni. Utilizza gli insight sui account di servizio per identificare rapidamente i service account inutilizzati.
Ti consigliamo di disattivare o eliminare questi service account inutilizzati perché creano un rischio per la sicurezza non necessario. Prima di disattivare o eliminare un account di servizio, fai riferimento incrociato agli insight sui account di servizio con le metriche di utilizzo dei account di servizio di Cloud Monitoring. Questo approccio impedisce di rimuovere i service account in uso con le API di Google esterne aGoogle Cloud.
Per scoprire come utilizzare gli insight sui account di servizio, consulta Trovare i service account.
Metriche di utilizzo dei service account
Cloud Monitoring fornisce metriche di utilizzo per i service account e le chiavi dei service account. Le metriche di utilizzo riportano ogni attività di autenticazione per i service account e le chiavi dei account di servizio.
Le attività di autenticazione per le chiavi dei account di servizio includono ogni volta che un sistema elenca le chiavi durante il tentativo di autenticare una richiesta, anche se il sistema non utilizza la chiave per autenticare la richiesta. Questo comportamento è più comune quando si utilizzano URL firmati per Cloud Storage o quando si esegue l'autenticazione per applicazioni di terze parti.
Utilizza le metriche di utilizzo dei account di servizio per monitorare i pattern di utilizzo dei account di servizio nel tempo. Questi pattern possono aiutarti a identificare le anomalie, automaticamente o manualmente.
Per scoprire come visualizzare le metriche di utilizzo dei account di servizio, consulta Monitorare i pattern di utilizzo di chiavi e service account nella documentazione di IAM.
Rilevamento dei account di servizio inattivi
Event Threat Detection rileva e segnala quando un account di servizio inattivo attiva un'azione. I service account inattivi sono service account che non sono attivi da più di 180 giorni.
Questa funzionalità è disponibile solo per i clienti con attivazioni a livello di organizzazione di livello Premium o Enterprise di Security Command Center.
Per scoprire come visualizzare e correggere i risultati delle azioni dei account di servizio inattivi, consulta Esaminare le minacce e rispondere.