Ver o uso recente de contas de serviço e chaves

Esta página mostra como usar o Activity Analyzer para ver quando suas contas de serviço e chaves foram usadas pela última vez para chamar uma API do Google. Esses usos são chamados de atividades de autenticação.

A atividade recente de autenticação pode ajudar a identificar as contas de serviço e as chaves de conta de serviço que você não usa mais. Recomendamos desativar ou excluir essas contas de serviço e chaves não usadas porque elas criam um risco de segurança desnecessário.

Antes de começar

Entenda as atividades de autenticação.
Ative a API Policy Analyzer.
Ative a API

Funções exigidas

Para receber as permissões necessárias para listar as atividades de autenticação mais recentes das contas de serviço e chaves de conta de serviço, peça ao administrador para conceder a você o papel do IAM de Leitor de análise de atividade (roles/policyanalyzer.activityAnalysisViewer) no projeto. Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Esse papel predefinido contém as permissões necessárias para listar as atividades de autenticação mais recentes das contas de serviço e das chaves de contas de serviço. Para ver as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As permissões a seguir são necessárias para listar as atividades de autenticação mais recentes das suas contas de serviço e chaves de conta de serviço:

policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query
policyanalyzer.serviceAccountLastAuthenticationActivities.query

Talvez você também consiga receber essas permissões com papéis personalizados ou outros papéis predefinidos.

Ver o uso recente de todas as contas de serviço ou chaves

Para listar as datas das atividades de autenticação mais recentes de todas as suas contas de serviço ou chaves de conta de serviço, use a Google Cloud CLI ou a API REST.

gcloud

Para listar as atividades de autenticação mais recentes para suas contas de serviço ou chaves, use o comando gcloud policy-intelligence query-activity:

gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \
    --project=PROJECT_ID --limit=LIMIT

Substitua os seguintes valores:

ACTIVITY_TYPE: o tipo de atividade que você quer listar. Para listar os horários de uso mais recentes das suas contas de serviço, use serviceAccountLastAuthentication. Para listar os horários de uso mais recentes das chaves da sua conta de serviço, use serviceAccountKeyLastAuthentication.
PROJECT_ID pelo ID do projeto no Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
LIMIT: opcional. O número máximo de resultados a serem retornados. O valor padrão é 1000.

A resposta será semelhante ao seguinte, que lista os tempos de uso recentes das contas de serviço de um projeto:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'
---
activity:
  lastAuthenticatedTime: '2021-02-09T08:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-01T07:00:00Z'

Para saber como entender esses resultados, consulte Entender as atividades nesta página.

REST

Para listar as atividades de autenticação mais recentes das suas contas de serviço ou chaves, use o método activities.query da API Policy Analyzer.

Antes de usar os dados da solicitação, faça as substituições a seguir:

PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
ACTIVITY_TYPE: o tipo de atividade que você quer listar. Para listar os usos mais recentes de todas as contas de serviço, use serviceAccountLastAuthentication. Para listar os usos mais recentes de todas as chaves de conta de serviço, use serviceAccountKeyLastAuthentication.
PAGE_SIZE: opcional. O número máximo de resultados a serem retornados a partir dessa solicitação. Se não especificado, o servidor determinará o número de resultados a serem retornados. Se o número de atividades for maior que o tamanho da página, a resposta conterá um token de paginação que é possível usar para recuperar a próxima página de resultados.
PAGE_TOKEN: opcional. O token de paginação retornado em uma resposta anterior desse método. Se especificado, a lista de atividades começará onde a solicitação anterior foi finalizada.

Método HTTP e URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. É possível verificar a conta ativa atual executando gcloud auth list.

execute o seguinte comando:

curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

PowerShell (Windows)

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

A resposta será semelhante ao seguinte, que lista os tempos de uso recentes das contas de serviço de um projeto:

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    },
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-29T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "234567890123456789012"
        }
      }
    }
  ],
  "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_"
}

Para saber como entender esses resultados, consulte Entender as atividades nesta página.

Ver o uso recente de contas de serviço específicas

Para encontrar a última data em que contas de serviço específicas foram usadas, use o console do Google Cloud, a CLI gcloud ou a API REST.

Console

No console do Google Cloud, acesse a página Análise de políticas.

Acessar a ferramenta Análise de políticas políticas
Em Analisar atividade recente, encontre o painel Quando foi a última vez que esta conta de serviço foi usada? e clique em Criar consulta.
Na caixa Selecionar escopo da consulta, insira o nome do projeto com as contas de serviço que você quer analisar.
Na seção Adicionar contas de serviço, clique na caixa Conta de serviço. Uma lista de todas as contas de serviço no seu projeto será exibida. A lista também inclui o projeto a que cada conta de serviço está associada e o endereço de e-mail de cada uma delas.
Selecione a conta de serviço de que você quer ver o uso recente.
Opcional: para ver o uso recente de mais de uma conta de serviço, clique em Adicionar conta e selecione outra. É possível analisar até 10 contas de serviço por vez.
No painel Consultar atividades de acesso, clique em Executar consulta.

A página de resultados mostra o uso mais recente das contas de serviço. Para saber como entender esses resultados, consulte Entender as atividades nesta página.

gcloud

Para ver a atividade de autenticação mais recente para as contas de serviço específicas, use o comando gcloud policy-intelligence query-activity com um filtro:

gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Substitua os seguintes valores:

PROJECT_ID pelo ID do projeto no Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
FILTER: um filtro que especifica os nomes completos dos recursos das contas de serviço cujo o uso você quer ver. O nome completo do recurso de uma conta de serviço inclui o ID do projeto e o endereço de e-mail da conta de serviço.

Para filtrar por uma única conta de serviço, use um filtro com o seguinte formato:
```
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"
```
Para filtrar várias contas de serviço, use OR para especificar vários nomes de recursos completos aceitáveis:
```
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"
```
É possível filtrar por até 10 contas de serviço.

A resposta descreve o uso mais recente das contas de serviço:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'

Para saber como entender esses resultados, consulte Entender as atividades nesta página.

REST

Para conferir a atividade de autenticação mais recente para contas de serviço específicas, use o método activities.query da API Policy Analyzer.

Antes de usar os dados da solicitação, faça as substituições a seguir:

PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.

FILTER: um filtro que especifica os nomes completos dos recursos das contas de serviço cujo o uso você quer ver.

Para filtrar por uma única conta de serviço, use um filtro com o seguinte formato:

activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22

Para filtrar várias contas de serviço, use %20OR%20 para especificar vários nomes de recursos completos aceitáveis:

activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22

Método HTTP e URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

execute o seguinte comando:

curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER"

PowerShell (Windows)

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER" | Select-Object -Expand Content

A resposta descreve o uso mais recente das contas de serviço:

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    }
  ]
}

Ver o uso recente das chaves de contas de serviço específicas

Para encontrar a última data em que chaves específicas da conta de serviço foram usadas, identifique a chave da conta de serviço de que você quer ver o uso recente e crie uma consulta usando esse ID.

Se você tiver um arquivo de chave JSON, poderá encontrar o ID exclusivo da chave da conta de serviço no campo private_key_id do arquivo.

Se você não tiver um arquivo de chave JSON, siga estas etapas para encontrar o ID exclusivo da chave da conta de serviço:

Console

No console do Google Cloud, acesse a página Análise de políticas.

Acessar a ferramenta Análise de políticas políticas
Em Analisar atividade recente, localize o painel Quando foi a última vez que esta chave de conta de serviço foi usada? e clique em Criar consulta.
Na caixa Selecionar escopo da consulta, insira o nome do projeto com as chaves de conta de serviço que você quer analisar.
Na seção Adicionar chave da conta de serviço, clique na caixa Chave da conta de serviço. Uma lista de todas as chaves de conta de serviço no seu projeto será exibida. A lista também inclui o projeto e a conta de serviço a que cada chave está associada.
Selecione a chave de que você quer ver o uso recente.
Opcional: para conferir o uso recente de mais de uma chave, clique em Adicionar chave e selecione outra chave. É possível analisar até 10 chaves por vez.
No painel Consultar atividades de acesso, clique em Executar consulta.

A página de resultados mostra o uso mais recente das chaves de conta de serviço. Para saber como entender esses resultados, consulte Entender as atividades nesta página.

gcloud

Primeiro, identifique a chave da conta de serviço de que você quer exibir o uso recente:

Liste as chaves da conta de serviço.

Antes de usar os dados do comando abaixo, faça estas substituições:
- SERVICE_ACCOUNT_EMAIL: o endereço de e-mail da conta de serviço a que a chave está associada.
Execute o comando gcloud iam service-accounts keys list:
Linux, macOS ou Cloud Shell

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
```
Windows (PowerShell)

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
```
Windows (cmd.exe)

Observação: para inicializar a Google Cloud CLI com autenticação e um projeto, execute gcloud init. ou gcloud auth login e gcloud config set project.
```
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
```
A saída mostra uma lista de todas as chaves criadas pelo usuário associadas à conta de serviço, incluindo o ID exclusivo de cada chave, o horário de criação e o prazo de validade.
Use os dados na saída para identificar a chave que você quer rastrear e copiar o ID exclusivo dela.

Depois de encontrar os IDs exclusivos das chaves da conta de serviço, use os IDs para filtrar os resultados do Activity Analyzer:

Para ver a atividade de autenticação mais recente para chaves de contas de serviço específicas, use o comando gcloud policy-intelligence query-activity com um filtro.

Antes de usar os dados do comando abaixo, faça estas substituições:

PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
FILTER: um filtro que especifica os nomes completos dos recursos das chaves da conta de serviço cujo uso você quer ver. O nome completo do recurso de uma chave de conta de serviço inclui o ID do projeto, o endereço de e-mail da conta de serviço associada à chave e o ID da chave.

Para filtrar uma única chave de conta de serviço, use um filtro com o seguinte formato:
```
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
```
Para filtrar várias chaves da conta de serviço, use OR para especificar vários nomes de recursos completos aceitáveis:
```
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"
```
É possível filtrar até 10 chaves da conta de serviço.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Windows (PowerShell)

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication `
    --project=PROJECT_ID `
    --query-filter='FILTER'

Windows (cmd.exe)

Observação: se esse comando usar ' para citar conteúdo, substitua essas aspas simples por aspas duplas. Se as aspas estiverem aninhadas, use \" para escapar das aspas internas.

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ^
    --project=PROJECT_ID ^
    --query-filter='FILTER'

Você receberá uma resposta semelhante a esta:

activity:
  lastAuthenticatedTime: '2021-06-11T07:00:00Z'
  serviceAccountKey:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
    projectNumber: '232342569935'
    serviceAccountId: '103185812403937829397'
activityType: serviceAccountKeyLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-10T07:00:00Z'

A resposta descreve o uso mais recente das chaves da conta de serviço. Para saber como entender esses resultados, consulte Entender as atividades nesta página.

REST

Primeiro, identifique a chave da conta de serviço de que você quer exibir o uso recente:

Liste as chaves da conta de serviço:

Para listar todas as chaves de uma conta de serviço, use o método projects.serviceAccounts.keys.list da API IAM.

Antes de usar os dados da solicitação, faça as substituições a seguir:

PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
SA_NAME: o nome da conta de serviço cujas chaves você quer listar.
KEY_TYPES: opcional. Uma lista separada por vírgulas dos tipos de chave que você quer incluir na resposta. O tipo de chave indica se uma chave é gerenciada pelo usuário (USER_MANAGED) ou pelo sistema (SYSTEM_MANAGED). Se deixado em branco, todas as chaves são retornadas.

Método HTTP e URL:

GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

execute o seguinte comando:

curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES"

PowerShell (Windows)

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES" | Select-Object -Expand Content

APIs Explorer (navegador)

Abra a página de referência do método. O painel APIs Explorer é aberto no lado direito da página. Interaja com essa ferramenta para enviar solicitações. Preencha todos os campos obrigatórios e clique em Executar.

A resposta descreve o uso mais recente das chaves da conta de serviço:

{
  "keys": [
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c",
      "validAfterTime": "2020-03-04T17:39:47Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED"
    },
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8",
      "validAfterTime": "2020-03-31T23:50:09Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED"
    },
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e",
      "validAfterTime": "2020-05-17T18:58:13Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED",
      "disabled": true
    }
  ]
}

Use os metadados na resposta para identificar a chave que você quer rastrear. Em seguida, copie o ID exclusivo da chave no final do campo name.

O campo name tem o seguinte formato:
```
"name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
```
O ID exclusivo da chave é tudo o que vem depois de keys/.

Por exemplo, o ID exclusivo no seguinte nome de chave é 0f561cc41650ff521899de2fd653bd3de08e2da4:
```
"name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"
```

Depois de encontrar os IDs exclusivos das chaves da conta de serviço, use os IDs para filtrar os resultados do Activity Analyzer:

Para conferir a atividade de autenticação mais recente de chaves de conta de serviço específicas, use o método activities.query da API Policy Analyzer.

Antes de usar os dados da solicitação, faça as substituições a seguir:

PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
FILTER: um filtro que especifica os nomes completos dos recursos das chaves da conta de serviço cujo uso você quer ver. O nome completo do recurso de uma chave de conta de serviço inclui o ID do projeto, o endereço de e-mail da conta de serviço associada à chave e o ID da chave.

Para filtrar uma única chave de conta de serviço, use um filtro com o seguinte formato:
```
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22
```
Para filtrar várias chaves da conta de serviço, use %20OR%20 para especificar vários nomes de recursos completos aceitáveis:
```
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22
```
É possível filtrar até 10 chaves da conta de serviço.

Método HTTP e URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

execute o seguinte comando:

curl -X GET \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER"

PowerShell (Windows)

execute o seguinte comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER" | Select-Object -Expand Content

A resposta descreve o uso mais recente das chaves da conta de serviço:

{
  "activities": [
    {
      "activity": {
        "lastAuthenticatedTime": "2021-06-11T07:00:00Z",
        "serviceAccountKey": {
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
          "projectNumber": "123456789012",
          "serviceAccountId": "123456789012345678901"
        }
      },
      "activityType": "serviceAccountKeyLastAuthentication",
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
      "observationPeriod": {
        "endTime": "2021-07-06T07:00:00Z",
        "startTime": "2020-04-20T07:00:00Z"
      }
    }
  ]
}

Para saber como entender esses resultados, consulte Entender as atividades nesta página.

Entender as atividades

Console

A página de resultados da consulta lista os parâmetros e os resultados da consulta.

Para uma consulta de conta de serviço, a tabela de resultados lista cada conta de serviço da consulta e quando ela foi autenticada pela última vez:

Para uma consulta de chave de conta de serviço, a tabela de resultados lista cada chave de conta de serviço da consulta, a conta de serviço a que ela está associada e quando foi autenticada pela última vez.

Os resultados podem não incluir eventos de autenticação muito recentes. Verifique a dica para ver o período exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora desse intervalo.

A tabela de resultados das duas consultas também lista os papéis do IAM que a conta de serviço tem no projeto, além de todos os insights de segurança. Esses insights destacam padrões em como suas contas de serviço acessam recursos. Por exemplo, alguns insights destacam permissões em excesso ou permissões que uma principal não precisa. Outros insights destacam contas de serviço com permissões de movimento lateral ou permissões que permitem que a conta de serviço represente uma conta de serviço em outro projeto.

Alguns insights também vêm com recomendações de papéis que sugerem alterações que podem ser feitas para reduzir o excesso de permissões. Para saber como gerenciar recomendações e insights, consulte Revisar e aplicar recomendações.

gcloud

O Activity Analyzer informa os resultados como uma lista de atividades. As atividades têm os seguintes campos:

fullResourceName: o nome completo do recurso da conta de serviço ou chave da conta de serviço cuja atividade está sendo relatada. Esse formato é descrito nas seções a seguir e em Nomes de recursos completos.
activityType: o tipo de atividade que está sendo informada. Para atividades recentes de autenticação de conta de serviço, o valor é serviceAccountLastAuthentication. Para as atividades recentes de autenticação de chave da conta de serviço, o valor é serviceAccountKeyLastAuthentication.
observationPeriod: horários de início e término que indicam o período em que a conta de serviço ou a chave foi observada para a atividade. A hora nesses carimbos de data/hora é sempre T07:00:00Z.
activity: os detalhes da atividade. O conteúdo desse campo varia com base no tipo de atividade. Consulte as seções a seguir para mais detalhes.

Detalhes das atividades da conta de serviço

O campo activity para atividades serviceAccountLastAuthentication contém os seguintes campos:

serviceAccount: detalhes sobre a conta de serviço cuja atividade está sendo informada, incluindo:
- fullResourceName: o nome completo do recurso da conta de serviço, no formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
- projectNumber: o ID numérico do projeto proprietário da conta de serviço.
- serviceAccountId: o ID numérico exclusivo da conta de serviço.
lastAuthenticatedTime: um carimbo de data/hora que representa a data em que o evento de autenticação mais recente ocorreu. A hora nesse carimbo de data/hora é sempre T07:00:00Z, independentemente da hora exata do evento de autenticação.

Os resultados podem não incluir eventos de autenticação muito recentes. Verifique o observationPeriod para ver o período exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora desse intervalo.

Este campo não está incluído nas contas de serviço que nunca foram usadas.

Detalhes das principais atividades da conta de serviço

O campo activity das atividades serviceAccountKeyLastAuthentication contém os seguintes campos:

serviceAccountKey: detalhes sobre a chave da conta de serviço cuja atividade está sendo relatada, incluindo o seguinte:
- fullResourceName: o nome completo do recurso da chave da conta de serviço, no formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
- projectNumber: o ID numérico do projeto que possui a conta de serviço à qual a chave está associada.
- serviceAccountId: o ID numérico da conta de serviço à qual a chave está associada.
lastAuthenticatedTime: um carimbo de data/hora que representa a data em que o evento de autenticação mais recente ocorreu. A hora nesse carimbo de data/hora é sempre T07:00:00Z, independentemente da hora exata do evento de autenticação.

Os resultados podem não incluir eventos de autenticação muito recentes. Verifique o observationPeriod para ver o período exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora desse intervalo.

Este campo não está incluído nas chaves das contas de serviço que nunca foram usadas.

REST

O Activity Analyzer informa os resultados como uma lista de atividades. As atividades têm os seguintes campos:

fullResourceName: o nome completo do recurso da conta de serviço ou chave da conta de serviço cuja atividade está sendo relatada. Esse formato é descrito nas seções a seguir e em Nomes de recursos completos.
activityType: o tipo de atividade que está sendo informada. Para atividades recentes de autenticação de conta de serviço, o valor é serviceAccountLastAuthentication. Para as atividades recentes de autenticação de chave da conta de serviço, o valor é serviceAccountKeyLastAuthentication.
observationPeriod: horários de início e término que indicam o período em que a conta de serviço ou a chave foi observada para a atividade. A hora nesses carimbos de data/hora é sempre T07:00:00Z.
activity: os detalhes da atividade. O conteúdo desse campo varia com base no tipo de atividade. Consulte as seções a seguir para mais detalhes.

Detalhes das atividades da conta de serviço

O campo activity para atividades serviceAccountLastAuthentication contém os seguintes campos:

serviceAccount: detalhes sobre a conta de serviço cuja atividade está sendo informada, incluindo:
- fullResourceName: o nome completo do recurso da conta de serviço, no formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
- projectNumber: o ID numérico do projeto proprietário da conta de serviço.
- serviceAccountId: o ID numérico exclusivo da conta de serviço.
lastAuthenticatedTime: um carimbo de data/hora que representa a data em que o evento de autenticação mais recente ocorreu. A hora nesse carimbo de data/hora é sempre T07:00:00Z, independentemente da hora exata do evento de autenticação.

Os resultados podem não incluir eventos de autenticação muito recentes. Verifique o observationPeriod para ver o período exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora desse intervalo.

Este campo não está incluído nas contas de serviço que nunca foram usadas.

Detalhes das principais atividades da conta de serviço

O campo activity das atividades serviceAccountKeyLastAuthentication contém os seguintes campos:

serviceAccountKey: detalhes sobre a chave da conta de serviço cuja atividade está sendo relatada, incluindo o seguinte:
- fullResourceName: o nome completo do recurso da chave da conta de serviço, no formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
- projectNumber: o ID numérico do projeto que possui a conta de serviço à qual a chave está associada.
- serviceAccountId: o ID numérico da conta de serviço à qual a chave está associada.
lastAuthenticatedTime: um carimbo de data/hora que representa a data em que o evento de autenticação mais recente ocorreu. A hora nesse carimbo de data/hora é sempre T07:00:00Z, independentemente da hora exata do evento de autenticação.

Os resultados podem não incluir eventos de autenticação muito recentes. Verifique o observationPeriod para ver o período exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora desse intervalo.

Este campo não está incluído nas chaves das contas de serviço que nunca foram usadas.

A seguir

Consulte as outras ferramentas disponíveis para entender o conta de serviço de serviço.
Aprenda como desativar contas de serviço ou excluir contas de serviço.
Aprenda como excluir chaves de contas de serviço.