Há várias ferramentas diferentes que você pode usar para entender as atividades de autenticação de contas de serviço e chaves. Nesta página, descrevemos as ferramentas disponíveis e os usos pretendidos delas.
Se quiser saber como as contas de serviço estão usando as permissões e identificar contas de serviço com privilégios excessivos, use as recomendações de papéis. Para mais informações, consulte Visão geral das recomendações de papéis.
Atividades de autenticação
Sempre que uma conta de serviço ou chave é usada para chamar uma API do Google, incluindo uma API que não faz parte do Google Cloud, uma atividade de autenticação é gerada. Para entender o uso da conta de serviço, rastreie essas atividades de autenticação usando as ferramentas descritas nesta página.
As atividades de autenticação incluem chamadas de API bem-sucedidas e com falha. Por exemplo, se uma chamada de API falhar porque o autor da chamada não está autorizado a chamar essa API ou porque a solicitação faz referência a um recurso inexistente, a ação ainda conta como uma atividade de autenticação para a conta de serviço ou chave usada para essa chamada de API.
As atividades de autenticação com uma API do Google fora do Google Cloud, como a delegação de autoridade em todo o domínio para APIs do Google Workspace, não são rastreadas pelo analisador de atividades ou pelos insights da conta de serviço. Para rastrear essas atividades de autenticação, use as métricas de uso da conta de serviço do Cloud Monitoring.
As chaves de autenticação de código de autenticação de mensagem baseada em hash (HMAC) do Cloud Storage não geram atividades de autenticação para contas de serviço ou chaves de conta de serviço. Para mais informações, consulte Chaves HMAC.
Analisador de atividades
Com o analisador de atividades da Política de IA, é possível conferir as atividades de autenticação mais recentes das suas contas de serviço e chaves de conta de serviço. A data da atividade de autenticação mais recente é determinada com base no horário padrão do Pacífico dos EUA e do Canadá (UTC-8), mesmo quando o horário de verão do Pacífico está em vigor.
Use o Activity Analyzer para identificar contas de serviço e chaves não utilizadas. Com o Activity Analyzer, você pode usar sua própria definição do que significa uma conta de serviço ou chave estar "sem uso". Por exemplo, algumas organizações podem definir "não usado" como 90 dias de inatividade, enquanto outras podem definir como 30 dias.
Recomendamos desativar ou excluir essas contas de serviço e chaves não usadas porque elas criam um risco de segurança desnecessário. Faça uma referência cruzada dos resultados do Activity Analyzer com as métricas de uso da conta de serviço do Cloud Monitoring antes de desativar ou excluir uma conta de serviço para evitar a remoção de contas de serviço em uso com APIs do Google fora do Google Cloud.
Para saber como ver as atividades de autenticação de conta de serviço, consulte Ver o uso recente de contas de serviço e chaves.
Insights de conta de serviço
O recomendador fornece insights de conta de serviço, que identificam as contas de serviço no projeto que não foram autenticadas nos últimos 90 dias. Use os insights da conta de serviço para identificar rapidamente contas de serviço não utilizadas.
Recomendamos desativar ou excluir essas contas de serviço não usadas porque elas criam um risco de segurança desnecessário. Faça uma referência cruzada dos insights da conta de serviço com as métricas de uso da conta de serviço do Cloud Monitoring antes de desativar ou excluir uma conta de serviço. Essa abordagem impede que você remova contas de serviço em uso com APIs do Google fora doGoogle Cloud.
Para saber como usar os insights de conta de serviço, consulte Encontrar contas de serviço não utilizadas.
Métricas de uso da conta de serviço
O Cloud Monitoring fornece métricas de uso para suas contas de serviço e chaves de contas de serviço. As métricas de uso informam cada atividade de autenticação das suas contas de serviço e chaves de conta de serviço.
As atividades de autenticação para chaves da conta de serviço incluem sempre que um sistema lista as chaves ao tentar autenticar uma solicitação, mesmo que o sistema não use a chave para autenticar a solicitação. Esse comportamento é mais comum ao usar URLs assinados para o Cloud Storage ou ao autenticar aplicativos de terceiros.
Use as métricas de uso da conta de serviço para rastrear padrões de uso ao longo do tempo. Esses padrões podem ajudar você a identificar anomalias de forma automática ou manual.
Para saber como visualizar as métricas de uso da conta de serviço, consulte Monitorar padrões de uso para contas de serviço e chaves na documentação do IAM.
Detecção de conta de serviço inativas
A Event Threat Detection detecta e informa quando uma conta de serviço inativa aciona uma ação. As contas de serviço inativas ficam inativas há mais de 180 dias.
Esse recurso só está disponível para clientes com ativações no nível da organização do nível Premium ou Enterprise do Security Command Center.
Para saber como ver e corrigir descobertas de ações de conta de serviço inativas, consulte Investigar e responder a ameaças.