您可以使用多种不同的工具来了解服务账号和密钥的身份验证活动。本页面介绍了可用工具及其预期用途。
如果您想了解服务账号如何使用其权限并识别权限过高的服务账号,请使用角色建议。如需了解更多 信息,请参阅角色建议概览。
身份验证活动
每当使用服务帐号或密钥调用 Google API(包括不属于 Google Cloud的 API)时,系统都会生成身份验证 活动。如需了解服务帐号的使用情况,您可以使用本页面介绍的工具跟踪这些身份验证活动。
身份验证活动既包括成功的 API 调用,也包括失败的 API 调用。例如,如果由于调用者无权调用相应 API 或者由于请求引用了不存在的资源而导致 API 调用失败,则该操作仍会计为用于该 API 调用的服务帐号或密钥的身份验证活动。
对于在 Google Cloud之外使用 Google API 的身份验证活动(例如向 Google Workspace API 全网域委托权限),活动分析器 或服务账号数据分析不会跟踪这些活动。如需 跟踪这些身份验证活动,请使用 Cloud Monitoring 服务账号使用情况指标。
Cloud Storage 基于哈希的消息认证码 (HMAC) 身份验证密钥不会为服务账号或服务账号密钥生成身份验证活动。如需了解详情,请参阅 HMAC 密钥。
活动分析器
借助 Policy Intelligence 的活动分析器,您可以查看服务账号和 服务帐号密钥的最新 身份验证活动。最新身份验证活动的日期是根据美国和加拿大太平洋标准时间 (UTC-8) 确定的,即使太平洋夏令时生效也是如此。
使用活动分析器识别未使用的服务账号和密钥。借助活动分析器,您可以自行定义服务帐号或密钥“未使用”的含义。 例如,某些组织可能会将“未使用”定义为 90 天无活动,而其他组织可能会将“未使用”定义为 30 天无活动。
我们建议您停用或删除这些未使用的服务账号和密钥,因为它们会带来不必要的安全风险。在停用或删除服务帐号之前,请将活动分析器结果与 Cloud Monitoring 服务帐号使用情况指标进行交叉引用,以防止移除在之外与 Google API 一起使用的服务账号。 Google Cloud
如需了解如何查看服务帐号身份验证活动,请参阅查看服务账号和密钥的近期使用情况。
服务账号数据分析
Recommender 提供服务帐号数据分析,用于识别项目中过去 90 天内未进行身份验证的服务账号。使用服务帐号数据分析可以快速识别未使用的服务账号。
我们建议您停用或删除这些未使用的服务账号,因为它们会带来不必要的安全风险。在停用或删除服务帐号之前,请将服务帐号数据分析与 Cloud Monitoring 服务帐号使用情况指标进行交叉引用。这种方法可以防止您 移除在 之外与 Google API 一起使用的服务账号 Google Cloud。
如需了解如何使用服务帐号数据分析,请参阅查找未使用的 服务账号。
服务账号使用情况指标
Cloud Monitoring 提供服务账号和服务账号密钥的使用情况指标。使用情况指标会报告服务账号和服务帐号密钥的每项 身份验证 活动。
服务帐号密钥的身份验证活动包括每次系统尝试对请求进行身份验证时列出密钥时的情况,即使系统不使用密钥对请求进行身份验证也是如此。当使用 Cloud Storage 签名网址或向第三方应用进行身份验证时,此行为最 常见。
使用服务帐号使用情况指标跟踪服务帐号使用模式随时间的变化。这些模式可帮助您自动或手动识别异常情况。
如需了解如何查看服务帐号使用情况指标,请参阅 IAM 文档中的监控使用模式 服务账号和密钥。
休眠服务帐号检测
Event Threat Detection 会检测处于休眠状态的服务帐号何时触发了 操作并进行报告。休眠服务账号是处于非活跃状态超过 180 天的服务账号。
此功能仅适用于在组织级层激活了 Security Command Center 高级层级或企业层级的 客户。
如需了解如何查看和修正休眠服务帐号操作发现结果,请参阅 调查和应对威胁。