Halaman ini menunjukkan cara menggunakan Activity Analyzer untuk melihat kapan akun dan kunci layanan Anda terakhir kali digunakan untuk memanggil Google API. Penggunaan ini disebut aktivitas autentikasi.
Aktivitas autentikasi terbaru dapat membantu Anda mengidentifikasi akun layanan dan kunci akun layanan yang tidak lagi digunakan. Sebaiknya nonaktifkan atau hapus kunci dan akun layanan yang tidak digunakan ini karena akan menimbulkan risiko keamanan yang tidak perlu.
Sebelum memulai
- Pahami aktivitas autentikasi.
-
Aktifkan API Policy Analyzer.
Peran yang diperlukan
Untuk mendapatkan izin yang Anda perlukan guna mencantumkan aktivitas autentikasi terbaru untuk akun layanan dan kunci akun layanan Anda, minta administrator untuk memberi Anda peran IAM Activity Analysis Viewer (roles/policyanalyzer.activityAnalysisViewer
) pada project tersebut.
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.
Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk mencantumkan aktivitas autentikasi terbaru untuk akun layanan dan kunci akun layanan Anda. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:
Izin yang diperlukan
Izin berikut diperlukan untuk mencantumkan aktivitas autentikasi terbaru untuk akun layanan dan kunci akun layanan Anda:
-
policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query
-
policyanalyzer.serviceAccountLastAuthenticationActivities.query
Anda mung juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaanlainnya.
Melihat penggunaan terbaru untuk semua kunci atau akun layanan
Untuk mencantumkan tanggal aktivitas autentikasi terbaru untuk semua akun layanan atau kunci akun layanan Anda, gunakan Google Cloud CLI atau REST API.
gcloud
Untuk mencantumkan aktivitas autentikasi terbaru untuk akun atau kunci
layanan Anda, gunakan perintah gcloud policy-intelligence query-activity
:
gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \ --project=PROJECT_ID --limit=LIMIT
Ganti nilai berikut:
ACTIVITY_TYPE
: Jenis aktivitas yang ingin Anda cantumkan. Untuk menampilkan daftar waktu penggunaan terakhir akun layanan Anda, gunakanserviceAccountLastAuthentication
. Untuk mencantumkan waktu penggunaan terakhir untuk kunci akun layanan Anda, gunakanserviceAccountKeyLastAuthentication
.PROJECT_ID
: ID project Google Cloud Anda. Project ID adalah string alfanumerik, sepertimy-project
.LIMIT
: Opsional. Jumlah hasil maksimum yang akan ditampilkan. Nilai defaultnya adalah1000
.
Responsnya mirip dengan berikut ini, yang mencantumkan waktu penggunaan terbaru untuk akun layanan project:
---
activity:
lastAuthenticatedTime: '2021-04-27T07:00:00Z'
serviceAccount:
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
projectNumber: '123456789012'
serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
endTime: '2021-07-06T07:00:00Z'
startTime: '2020-03-12T07:00:00Z'
---
activity:
lastAuthenticatedTime: '2021-02-09T08:00:00Z'
serviceAccount:
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
projectNumber: '123456789012'
serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
endTime: '2021-07-06T07:00:00Z'
startTime: '2020-09-01T07:00:00Z'
Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.
REST
Untuk mencantumkan aktivitas autentikasi terbaru untuk akun layanan atau kunci Anda, gunakan metode activities.query
Policy Analyzer API.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
PROJECT_ID
: Project ID Google Cloud Anda Project ID adalah string alfanumerik, sepertimy-project
.ACTIVITY_TYPE
: Jenis aktivitas yang ingin Anda cantumkan. Untuk menampilkan daftar penggunaan terbaru untuk semua akun layanan Anda, gunakanserviceAccountLastAuthentication
. Untuk menampilkan daftar penggunaan terbaru untuk semua kunci akun layanan Anda, gunakanserviceAccountKeyLastAuthentication
.-
PAGE_SIZE
: Opsional. Jumlah hasil maksimum yang akan ditampilkan dari permintaan ini. Jika tidak ditentukan, server akan menentukan jumlah hasil yang akan ditampilkan. Jika jumlah aktivitas lebih besar dari ukuran halaman, respons akan berisi token penomoran halaman yang dapat Anda gunakan untuk mengambil halaman hasil berikutnya. -
PAGE_TOKEN
: Opsional. Token penomoran halaman yang ditampilkan dalam respons sebelumnya dari metode ini. Jika ditentukan, daftar aktivitas akan dimulai dari saat permintaan sebelumnya berakhir.
Metode HTTP dan URL:
GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Responsnya mirip dengan berikut ini, yang mencantumkan waktu penggunaan terbaru untuk akun layanan project:
{ "activities": [ { "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com", "activityType": "serviceAccountLastAuthentication", "observationPeriod": { "startTime": "2020-04-20T07:00:00Z", "endTime": "2021-05-17T07:00:00Z" }, "activity": { "lastAuthenticatedTime": "2021-04-28T07:00:00Z", "serviceAccount": { "projectNumber": "123456789012", "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com", "serviceAccountId": "123456789012345678901" } } }, { "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com", "activityType": "serviceAccountLastAuthentication", "observationPeriod": { "startTime": "2020-04-20T07:00:00Z", "endTime": "2021-05-17T07:00:00Z" }, "activity": { "lastAuthenticatedTime": "2021-04-29T07:00:00Z", "serviceAccount": { "projectNumber": "123456789012", "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com", "serviceAccountId": "234567890123456789012" } } } ], "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_" }
Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.
Melihat penggunaan terbaru untuk akun layanan tertentu
Untuk mengetahui tanggal terakhir penggunaan akun layanan tertentu, gunakan Google Cloud Console, gcloud CLI, atau REST API.
Konsol
Di konsol Google Cloud, buka halaman Policy Analyzer.
Di bagian Analyze recent activity, temukan panel berlabel Kapan terakhir kali akun layanan ini digunakan? dan klik Create query di panel tersebut.
Di kotak Select query scope, masukkan nama project yang akun layanannya ingin Anda analisis.
Di bagian Add service accounts, klik kotak Service account. Daftar semua akun layanan di project Anda akan muncul. Daftar ini juga mencakup project yang dikaitkan dengan setiap akun layanan dan alamat email untuk setiap akun layanan.
Pilih akun layanan yang ingin Anda lihat penggunaan terbarunya.
Opsional: Untuk melihat penggunaan terbaru lebih dari satu akun layanan, klik Add account, lalu pilih akun layanan lain. Anda dapat menganalisis hingga 10 akun layanan sekaligus.
Di panel Query for access activities, klik Run query.
Halaman hasil menampilkan penggunaan terbaru untuk akun layanan. Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.
gcloud
Untuk mendapatkan aktivitas autentikasi terbaru untuk akun layanan tertentu, gunakan perintah gcloud policy-intelligence query-activity
dengan filter:
gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \ --project=PROJECT_ID \ --query-filter='FILTER'
Ganti nilai berikut:
PROJECT_ID
: ID project Google Cloud Anda. Project ID adalah string alfanumerik, sepertimy-project
.FILTER
: Filter yang menentukan nama resource lengkap akun layanan yang penggunaannya ingin Anda lihat. Nama resource lengkap akun layanan mencakup project ID dan alamat email akun layanan.Untuk memfilter satu akun layanan, gunakan filter dengan format berikut:
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"
Untuk memfilter beberapa akun layanan, gunakan
OR
untuk menentukan beberapa nama resource lengkap yang dapat diterima:activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"
Anda dapat memfilter hingga 10 akun layanan.
Respons ini menjelaskan penggunaan terbaru untuk akun layanan:
---
activity:
lastAuthenticatedTime: '2021-04-27T07:00:00Z'
serviceAccount:
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
projectNumber: '123456789012'
serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
endTime: '2021-07-06T07:00:00Z'
startTime: '2020-03-12T07:00:00Z'
Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.
REST
Untuk mendapatkan aktivitas autentikasi terbaru untuk akun layanan tertentu, gunakan metode activities.query
Policy Analyzer API.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
PROJECT_ID
: Project ID Google Cloud Anda Project ID adalah string alfanumerik, sepertimy-project
.FILTER
: Filter yang menentukan nama resource lengkap akun layanan yang penggunaannya ingin Anda lihat.Untuk memfilter satu akun layanan, gunakan filter dengan format berikut:
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22
Untuk memfilter beberapa akun layanan, gunakan
%20OR%20
untuk menentukan beberapa nama resource lengkap yang dapat diterima:activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22
Metode HTTP dan URL:
GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Respons ini menjelaskan penggunaan terbaru untuk akun layanan:
{ "activities": [ { "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com", "activityType": "serviceAccountLastAuthentication", "observationPeriod": { "startTime": "2020-04-20T07:00:00Z", "endTime": "2021-05-17T07:00:00Z" }, "activity": { "lastAuthenticatedTime": "2021-04-28T07:00:00Z", "serviceAccount": { "projectNumber": "123456789012", "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com", "serviceAccountId": "123456789012345678901" } } } ] }
Melihat penggunaan terbaru untuk kunci akun layanan tertentu
Untuk mengetahui tanggal terakhir penggunaan kunci akun layanan tertentu, identifikasi kunci akun layanan yang ingin Anda lihat penggunaannya baru-baru ini, lalu buat kueri menggunakan ID tersebut.
Jika memiliki file kunci JSON, Anda dapat menemukan ID unik kunci akun layanan di kolom private_key_id
file.
Jika tidak memiliki file kunci JSON, Anda dapat menemukan ID unik kunci akun layanan dengan mengikuti langkah-langkah berikut:
Konsol
Di konsol Google Cloud, buka halaman Policy Analyzer.
Di bagian Analyze recent activity, temukan panel berlabel When was the last time this service account key was used? dan klik Create query di panel tersebut.
Di kotak Pilih cakupan kueri, masukkan nama project yang kunci akun layanannya ingin Anda analisis.
Di bagian Add service account key, klik kotak Service account key. Daftar semua kunci akun layanan di project Anda akan muncul. Daftar ini juga mencakup project dan akun layanan yang terkait dengan setiap kunci.
Pilih kunci yang ingin Anda lihat penggunaan terbarunya.
Opsional: Untuk melihat penggunaan terbaru bagi lebih dari satu kunci, klik Add key, lalu pilih kunci lain. Anda dapat menganalisis hingga 10 kunci sekaligus.
Di panel Query for access activities, klik Run query.
Halaman hasil menampilkan penggunaan terbaru untuk kunci akun layanan. Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.
gcloud
Pertama, identifikasi kunci akun layanan yang ingin Anda lihat penggunaan terbarunya:
Buat daftar kunci akun layanan.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
-
SERVICE_ACCOUNT_EMAIL
: Alamat email akun layanan yang terkait dengan kunci.
Jalankan perintah gcloud iam service-accounts keys list:
Linux, macOS, atau Cloud Shell
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
Windows (PowerShell)
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
Windows (cmd.exe)
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
Output-nya akan menampilkan daftar semua kunci yang dibuat pengguna yang terkait dengan akun layanan, termasuk ID unik, waktu pembuatan, dan waktu habis masa berlaku setiap kunci.
-
Gunakan data dalam output untuk mengidentifikasi kunci yang ingin Anda lacak dan salin ID uniknya.
Setelah Anda menemukan ID unik untuk kunci akun layanan, gunakan ID tersebut untuk memfilter hasil dari Activity Analyzer:
Untuk mendapatkan aktivitas autentikasi terbaru untuk kunci akun layanan
tertentu, gunakan perintah gcloud policy-intelligence query-activity
dengan filter.
Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
PROJECT_ID
: ID project Google Cloud Anda. Project ID adalah string alfanumerik, sepertimy-project
.-
FILTER
: Filter yang menentukan nama resource lengkap dari kunci akun layanan yang penggunaannya ingin Anda lihat. Nama resource lengkap kunci akun layanan mencakup project ID, alamat email akun layanan yang terkait dengan kunci, dan ID kunci.Untuk memfilter satu kunci akun layanan, gunakan filter dengan format berikut:
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
Untuk memfilter beberapa kunci akun layanan, gunakan
OR
untuk menentukan beberapa nama resource lengkap yang dapat diterima:activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"
Anda dapat memfilter hingga 10 kunci akun layanan.
Jalankan perintah berikut:
Linux, macOS, atau Cloud Shell
gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \ --project=PROJECT_ID \ --query-filter='FILTER'
Windows (PowerShell)
gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ` --project=PROJECT_ID ` --query-filter='FILTER'
Windows (cmd.exe)
gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ^ --project=PROJECT_ID ^ --query-filter='FILTER'
Anda akan melihat respons seperti berikut:
activity: lastAuthenticatedTime: '2021-06-11T07:00:00Z' serviceAccountKey: fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c projectNumber: '232342569935' serviceAccountId: '103185812403937829397' activityType: serviceAccountKeyLastAuthentication fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c observationPeriod: endTime: '2021-07-06T07:00:00Z' startTime: '2020-09-10T07:00:00Z'
Respons ini menjelaskan penggunaan terbaru untuk kunci akun layanan. Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.
REST
Pertama, identifikasi kunci akun layanan yang ingin Anda lihat penggunaan terbarunya:
Cantumkan kunci akun layanan:
Untuk menampilkan daftar semua kunci akun layanan untuk akun layanan, gunakan metode
projects.serviceAccounts.keys.list
IAM API.Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
PROJECT_ID
: Project ID Google Cloud Anda Project ID adalah string alfanumerik, sepertimy-project
.SA_NAME
: Nama akun layanan yang kuncinya ingin Anda cantumkan.KEY_TYPES
: Opsional. Daftar yang dipisahkan koma untuk jenis kunci yang ingin Anda sertakan dalam respons. Jenis kunci menunjukkan apakah kunci dikelola oleh pengguna (USER_MANAGED
) atau dikelola sistem (SYSTEM_MANAGED
). Jika dibiarkan kosong, semua kunci akan ditampilkan.
Metode HTTP dan URL:
GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Respons ini menjelaskan penggunaan terbaru untuk kunci akun layanan:
{ "keys": [ { "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c", "validAfterTime": "2020-03-04T17:39:47Z", "validBeforeTime": "9999-12-31T23:59:59Z", "keyAlgorithm": "KEY_ALG_RSA_2048", "keyOrigin": "GOOGLE_PROVIDED", "keyType": "USER_MANAGED" }, { "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8", "validAfterTime": "2020-03-31T23:50:09Z", "validBeforeTime": "9999-12-31T23:59:59Z", "keyAlgorithm": "KEY_ALG_RSA_2048", "keyOrigin": "GOOGLE_PROVIDED", "keyType": "USER_MANAGED" }, { "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e", "validAfterTime": "2020-05-17T18:58:13Z", "validBeforeTime": "9999-12-31T23:59:59Z", "keyAlgorithm": "KEY_ALG_RSA_2048", "keyOrigin": "GOOGLE_PROVIDED", "keyType": "USER_MANAGED", "disabled": true } ] }
Gunakan metadata dalam respons untuk mengidentifikasi kunci yang ingin Anda lacak. Kemudian, salin ID unik kunci dari akhir kolom
name
.Kolom
name
memiliki format berikut:"name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
ID unik kunci adalah semuanya setelah
keys/
.Misalnya, ID unik dalam nama kunci berikut adalah
0f561cc41650ff521899de2fd653bd3de08e2da4
:"name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"
Setelah Anda menemukan ID unik untuk kunci akun layanan, gunakan ID tersebut untuk memfilter hasil dari Activity Analyzer:
Untuk mendapatkan aktivitas autentikasi terbaru untuk kunci akun layanan tertentu, gunakan metode activities.query
Policy Analyzer API.
Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:
PROJECT_ID
: Project ID Google Cloud Anda Project ID adalah string alfanumerik, sepertimy-project
.-
FILTER
: Filter yang menentukan nama resource lengkap dari kunci akun layanan yang penggunaannya ingin Anda lihat. Nama resource lengkap kunci akun layanan mencakup project ID, alamat email akun layanan yang terkait dengan kunci, dan ID kunci.Untuk memfilter satu kunci akun layanan, gunakan filter dengan format berikut:
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22
Untuk memfilter beberapa kunci akun layanan, gunakan
%20OR%20
untuk menentukan beberapa nama resource lengkap yang dapat diterima:activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22
Anda dapat memfilter hingga 10 kunci akun layanan.
Metode HTTP dan URL:
GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER
Untuk mengirim permintaan, perluas salah satu opsi berikut:
Respons ini menjelaskan penggunaan terbaru untuk kunci akun layanan:
{ "activities": [ { "activity": { "lastAuthenticatedTime": "2021-06-11T07:00:00Z", "serviceAccountKey": { "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c", "projectNumber": "123456789012", "serviceAccountId": "123456789012345678901" } }, "activityType": "serviceAccountKeyLastAuthentication", "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c", "observationPeriod": { "endTime": "2021-07-06T07:00:00Z", "startTime": "2020-04-20T07:00:00Z" } } ] }
Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.
Memahami aktivitas
Konsol
Halaman hasil kueri mencantumkan parameter kueri dan hasil kueri.
Untuk kueri akun layanan, tabel hasil mencantumkan setiap akun layanan dari kueri tersebut dan kapan terakhir kali diautentikasi:
Untuk kueri kunci akun layanan, tabel hasil mencantumkan setiap kunci akun layanan dari kueri, akun layanan yang terkait dengannya, dan kapan terakhir kali diautentikasi.
Hasilnya mungkin tidak menyertakan peristiwa autentikasi terbaru. Periksa tooltip untuk melihat rentang tanggal persis yang digunakan selama analisis. Hasilnya tidak menyertakan peristiwa autentikasi yang terjadi di luar rentang ini.
Tabel hasil untuk kedua kueri tersebut juga mencantumkan peran IAM yang dimiliki akun layanan pada project, beserta semua insight keamanan. Insight ini menyoroti pola terkait cara akun layanan Anda mengakses resource. Misalnya, beberapa insight menyoroti izin yang berlebihan, atau izin yang tidak diperlukan akun utama. Insight lain menandai akun layanan dengan izin gerakan lateral, atau izin yang memungkinkan akun layanan meniru akun layanan di project lain.
Beberapa insight juga dilengkapi dengan rekomendasi peran yang menyarankan perubahan yang dapat Anda lakukan untuk mengurangi izin berlebih. Untuk mempelajari cara mengelola rekomendasi dan insight, lihat Meninjau dan menerapkan rekomendasi.
gcloud
Activity Analyzer melaporkan hasil sebagai daftar aktivitas. Aktivitas memiliki kolom berikut:
fullResourceName
: Nama resource lengkap akun layanan atau kunci akun layanan yang aktivitasnya dilaporkan. Format ini dijelaskan di bagian berikut, dan di Nama resource lengkap.activityType
: Jenis aktivitas yang dilaporkan. Untuk aktivitas autentikasi akun layanan terbaru, nilainya adalahserviceAccountLastAuthentication
. Untuk aktivitas autentikasi kunci akun layanan terbaru, nilainya adalahserviceAccountKeyLastAuthentication
.observationPeriod
: Waktu mulai dan berakhir yang menunjukkan rentang waktu saat akun layanan atau kunci diamati untuk aktivitas. Waktu dalam stempel waktu ini selaluT07:00:00Z
.activity
: Detail aktivitas. Konten kolom ini bervariasi berdasarkan jenis aktivitas. Lihat bagian berikut untuk mengetahui detailnya.
Detail untuk aktivitas akun layanan
Kolom activity
untuk aktivitas serviceAccountLastAuthentication
berisi
kolom berikut:
serviceAccount
: Detail tentang akun layanan yang aktivitasnya dilaporkan, termasuk hal berikut:fullResourceName
: Nama resource lengkap akun layanan, dalam format//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL
.projectNumber
: ID numerik project yang memiliki akun layanan.serviceAccountId
: ID numerik akun layanan.
lastAuthenticatedTime
: Stempel waktu yang mewakili tanggal saat peristiwa autentikasi terbaru terjadi. Waktu dalam stempel waktu ini selaluT07:00:00Z
, terlepas dari waktu persisnya peristiwa autentikasi.Hasilnya mungkin tidak menyertakan peristiwa autentikasi terbaru. Periksa
observationPeriod
untuk melihat rentang tanggal persis yang digunakan selama analisis. Hasilnya tidak mencakup peristiwa autentikasi yang terjadi di luar rentang ini.Kolom ini tidak disertakan untuk akun layanan yang belum pernah digunakan.
Detail untuk aktivitas kunci akun layanan
Kolom activity
untuk aktivitas serviceAccountKeyLastAuthentication
berisi kolom berikut:
serviceAccountKey
: Detail tentang kunci akun layanan yang aktivitasnya dilaporkan, termasuk hal berikut:fullResourceName
: Nama resource lengkap kunci akun layanan, dalam format//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID
.projectNumber
: ID numerik project yang memiliki akun layanan yang terkait dengan kunci tersebut.serviceAccountId
: ID numerik akun layanan yang terkait dengan kunci tersebut.
lastAuthenticatedTime
: Stempel waktu yang mewakili tanggal saat peristiwa autentikasi terbaru terjadi. Waktu dalam stempel waktu ini selaluT07:00:00Z
, terlepas dari waktu persisnya peristiwa autentikasi.Hasilnya mungkin tidak menyertakan peristiwa autentikasi terbaru. Periksa
observationPeriod
untuk melihat rentang tanggal persis yang digunakan selama analisis. Hasilnya tidak mencakup peristiwa autentikasi yang terjadi di luar rentang ini.Kolom ini tidak disertakan untuk kunci akun layanan yang belum pernah digunakan.
REST
Activity Analyzer melaporkan hasil sebagai daftar aktivitas. Aktivitas memiliki kolom berikut:
fullResourceName
: Nama resource lengkap akun layanan atau kunci akun layanan yang aktivitasnya dilaporkan. Format ini dijelaskan di bagian berikut, dan di Nama resource lengkap.activityType
: Jenis aktivitas yang dilaporkan. Untuk aktivitas autentikasi akun layanan terbaru, nilainya adalahserviceAccountLastAuthentication
. Untuk aktivitas autentikasi kunci akun layanan terbaru, nilainya adalahserviceAccountKeyLastAuthentication
.observationPeriod
: Waktu mulai dan berakhir yang menunjukkan rentang waktu saat akun layanan atau kunci diamati untuk aktivitas. Waktu dalam stempel waktu ini selaluT07:00:00Z
.activity
: Detail aktivitas. Konten kolom ini bervariasi berdasarkan jenis aktivitas. Lihat bagian berikut untuk mengetahui detailnya.
Detail untuk aktivitas akun layanan
Kolom activity
untuk aktivitas serviceAccountLastAuthentication
berisi
kolom berikut:
serviceAccount
: Detail tentang akun layanan yang aktivitasnya dilaporkan, termasuk hal berikut:fullResourceName
: Nama resource lengkap akun layanan, dalam format//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL
.projectNumber
: ID numerik project yang memiliki akun layanan.serviceAccountId
: ID numerik akun layanan.
lastAuthenticatedTime
: Stempel waktu yang mewakili tanggal saat peristiwa autentikasi terbaru terjadi. Waktu dalam stempel waktu ini selaluT07:00:00Z
, terlepas dari waktu persisnya peristiwa autentikasi.Hasilnya mungkin tidak menyertakan peristiwa autentikasi terbaru. Periksa
observationPeriod
untuk melihat rentang tanggal persis yang digunakan selama analisis. Hasilnya tidak mencakup peristiwa autentikasi yang terjadi di luar rentang ini.Kolom ini tidak disertakan untuk akun layanan yang belum pernah digunakan.
Detail untuk aktivitas kunci akun layanan
Kolom activity
untuk aktivitas serviceAccountKeyLastAuthentication
berisi kolom berikut:
serviceAccountKey
: Detail tentang kunci akun layanan yang aktivitasnya dilaporkan, termasuk hal berikut:fullResourceName
: Nama resource lengkap kunci akun layanan, dalam format//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID
.projectNumber
: ID numerik project yang memiliki akun layanan yang terkait dengan kunci tersebut.serviceAccountId
: ID numerik akun layanan yang terkait dengan kunci tersebut.
lastAuthenticatedTime
: Stempel waktu yang mewakili tanggal saat peristiwa autentikasi terbaru terjadi. Waktu dalam stempel waktu ini selaluT07:00:00Z
, terlepas dari waktu persisnya peristiwa autentikasi.Hasilnya mungkin tidak menyertakan peristiwa autentikasi terbaru. Periksa
observationPeriod
untuk melihat rentang tanggal persis yang digunakan selama analisis. Hasilnya tidak mencakup peristiwa autentikasi yang terjadi di luar rentang ini.Kolom ini tidak disertakan untuk kunci akun layanan yang belum pernah digunakan.
Langkah selanjutnya
- Tinjau alat lain yang tersedia untuk memahami penggunaan akun layanan.
- Pelajari cara menonaktifkan akun layanan atau menghapus akun layanan.
- Pelajari cara menghapus kunci akun layanan.