Existem várias ferramentas diferentes que pode usar para compreender as atividades de autenticação para contas de serviço e chaves. Esta página descreve as ferramentas disponíveis e as respetivas utilizações previstas.
Se quiser ver como as contas de serviço estão a usar as respetivas autorizações e identificar contas de serviço com privilégios excessivos, use as recomendações de funções. Para mais informações, consulte o artigo Vista geral das recomendações de funções.
Atividades de autenticação
Sempre que uma conta de serviço ou uma chave é usada para chamar uma API Google, incluindo uma API que não faz parte do Google Cloud, gera uma atividade de autenticação. Para compreender a utilização da conta de serviço, pode monitorizar estas atividades de autenticação através das ferramentas descritas nesta página.
As atividades de autenticação incluem chamadas API bem-sucedidas e com falhas. Por exemplo, se uma chamada API falhar porque o autor da chamada não está autorizado a chamar essa API ou porque o pedido se referiu a um recurso que não existe, a ação continua a ser contabilizada como uma atividade de autenticação para a conta de serviço ou a chave que foi usada para essa chamada API.
As atividades de autenticação para chaves de contas de serviço também incluem sempre que um sistema lista as chaves ao tentar autenticar um pedido, mesmo que o sistema não use a chave para autenticar o pedido. Este comportamento é mais comum quando usa URLs assinados para o Cloud Storage ou quando faz a autenticação em aplicações de terceiros.
As chaves de autenticação HMAC do Cloud Storage não geram atividades de autenticação para contas de serviço nem chaves de contas de serviço.
Analisador de atividade
O analisador de atividade da Policy Intelligence permite-lhe ver as atividades de autenticação mais recentes das suas contas de serviço e chaves de contas de serviço. A data da atividade de autenticação mais recente é determinada com base na Hora Padrão do Pacífico (UTC-8) dos EUA e do Canadá, mesmo quando a Hora de Verão do Pacífico está em vigor.
Use o Analisador de atividade para identificar contas de serviço e chaves não usadas. Com o analisador de atividade, pode usar a sua própria definição do que significa uma conta de serviço ou uma chave estar "não usada". Por exemplo, algumas organizações podem definir "não usado" como 90 dias de inatividade, enquanto outras podem definir "não usado" como 30 dias de inatividade.
Recomendamos que desative ou elimine estas contas de serviço e chaves não usadas, porque criam um risco de segurança desnecessário.
Para saber como ver as atividades de autenticação da conta de serviço, consulte o artigo Veja a utilização recente de contas de serviço e chaves.
Estatísticas da conta de serviço
O Recommender fornece estatísticas da conta de serviço, que identificam as contas de serviço no seu projeto que não foram autenticadas nos últimos 90 dias. Use as estatísticas da conta de serviço para identificar rapidamente contas de serviço não usadas. Recomendamos que desative ou elimine estas contas de serviço não usadas, pois criam um risco de segurança desnecessário.
Para saber como usar as estatísticas da conta de serviço, consulte o artigo Encontre contas de serviço não usadas.
Métricas de utilização da conta de serviço
O Cloud Monitoring fornece métricas de utilização para as suas contas de serviço e chaves de contas de serviço. As métricas de utilização comunicam cada atividade de autenticação para as suas contas de serviço e chaves de contas de serviço.
Use métricas de utilização da conta de serviço para acompanhar os padrões de utilização da conta de serviço ao longo do tempo. Estes padrões podem ajudar a identificar anomalias de forma automática ou manual.
Para saber como ver as métricas de utilização da conta de serviço, consulte o artigo Monitorizar padrões de utilização para contas de serviço e chaves na documentação do IAM.
Deteção de contas de serviço inativas
A Deteção de ameaças de eventos deteta e comunica quando uma conta de serviço inativa aciona uma ação. As contas de serviço inativas são contas de serviço que estão inativas há mais de 180 dias.
Esta funcionalidade só está disponível para clientes com ativações ao nível da organização do nível Premium ou Enterprise do Security Command Center.
Para saber como ver e corrigir as conclusões de ações de contas de serviço inativas, consulte o artigo Investigar e responder a ameaças.