Ver o uso recente de contas de serviço e chaves

Esta página mostra como usar o Activity Analyzer para ver quando suas contas de serviço e chaves foram usadas pela última vez para chamar uma API do Google. Esses usos são chamados de atividades de autenticação.

A atividade de autenticação recente pode ajudar a identificar as contas de serviço e as chaves de contas de serviço que você não usa mais. Recomendamos desativar ou excluir essas contas de serviço e chaves não usadas porque elas criam um risco de segurança desnecessário.

Antes de começar

Funções exigidas

Para obter as permissões necessárias para listar as atividades de autenticação mais recentes para seu contas de serviço e chaves de conta de serviço, peça ao administrador para conceder a você Papel do IAM Leitor de análise de atividades (roles/policyanalyzer.activityAnalysisViewer) no projeto. Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esse papel predefinido contém as permissões necessárias para listar as atividades de autenticação mais recentes das contas de serviço e das chaves de contas de serviço. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As permissões a seguir são necessárias para listar as atividades de autenticação mais recentes das contas de serviço e das chaves de contas de serviço:

  • policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query
  • policyanalyzer.serviceAccountLastAuthenticationActivities.query

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Ver o uso recente de todas as contas de serviço ou chaves

Para listar as datas das atividades de autenticação mais recentes para todos os seus contas de serviço ou chaves de conta de serviço, use a Google Cloud CLI ou a API REST.

gcloud

Para listar as atividades de autenticação mais recentes para suas contas de serviço ou chaves, use o comando gcloud policy-intelligence query-activity:

gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \
    --project=PROJECT_ID --limit=LIMIT

Substitua os seguintes valores:

  • ACTIVITY_TYPE: o tipo de atividade que você quer listar. Para listar os horários de uso mais recentes das suas contas de serviço, use serviceAccountLastAuthentication. Para listar os horários de uso mais recentes das chaves da sua conta de serviço, use serviceAccountKeyLastAuthentication.
  • PROJECT_ID pelo ID do projeto no Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
  • LIMIT: opcional. O número máximo de resultados a serem retornados. O valor padrão é 1000.

A resposta será semelhante ao seguinte, que lista os tempos de uso recentes das contas de serviço de um projeto:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'
---
activity:
  lastAuthenticatedTime: '2021-02-09T08:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-01T07:00:00Z'

Para saber como entender esses resultados, consulte Entender as atividades nesta página.

REST

Para listar as atividades de autenticação mais recentes para suas contas de serviço ou chaves, use o recurso activities.query .

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
  • ACTIVITY_TYPE: o tipo de atividade que você quer listar. Para listar os usos mais recentes de todas as contas de serviço, use serviceAccountLastAuthentication. Para listar os usos mais recentes de todas as chaves de conta de serviço, use serviceAccountKeyLastAuthentication.
  • PAGE_SIZE: opcional. O número máximo de resultados a serem retornados a partir dessa solicitação. Se não especificado, o servidor determinará o número de resultados a serem retornados. Se o número de atividades for maior que o tamanho da página, a resposta conterá um token de paginação que é possível usar para recuperar a próxima página de resultados.
  • PAGE_TOKEN: opcional. O token de paginação retornado em uma resposta anterior desse método. Se especificado, a lista de atividades começará onde a solicitação anterior foi finalizada.

Método HTTP e URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Para enviar a solicitação, expanda uma destas opções:

A resposta será semelhante ao seguinte, que lista os tempos de uso recentes das contas de serviço de um projeto:

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    },
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-29T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "234567890123456789012"
        }
      }
    }
  ],
  "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_"
}

Para saber como entender esses resultados, consulte Entender as atividades nesta página.

Ver o uso recente de contas de serviço específicas

Para encontrar a última data em que contas de serviço específicas foram usadas, use o console do Google Cloud, a CLI gcloud ou a API REST.

Console

  1. No console do Google Cloud, acesse a página Análise de políticas.

    Acessar a Análise de políticas

  2. Em Analisar atividade recente, encontre o painel Quando foi a última vez que essa conta de serviço foi usada? e clique em Criar consulta nesse painel.

  3. Na caixa Selecionar escopo da consulta, insira o nome do projeto cujo contas de serviço que você quer analisar.

  4. Na seção Adicionar contas de serviço, clique em Conta de serviço caixa Uma lista de todas as contas de serviço no projeto vai aparecer. A lista também inclui o projeto associado a cada conta de serviço e o endereço de e-mail de cada conta de serviço.

  5. Selecione a conta de serviço que você quer consultar.

  6. Opcional: para conferir o uso recente de mais de uma conta de serviço, clique em Adicionar conta e selecione outra conta de serviço. É possível analisar até 10 contas de serviço por vez.

  7. No painel Consultar atividades de acesso, clique em Executar consulta.

A página de resultados mostra o uso mais recente das contas de serviço. Para saber como entender esses resultados, consulte Entender as atividades nesta página.

gcloud

Para ver a atividade de autenticação mais recente para as contas de serviço específicas, use o comando gcloud policy-intelligence query-activity com um filtro:

gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Substitua os seguintes valores:

  • PROJECT_ID pelo ID do projeto no Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
  • FILTER: um filtro que especifica os nomes completos dos recursos das contas de serviço cujo o uso você quer ver. O nome completo do recurso de uma conta de serviço inclui o ID do projeto e o endereço de e-mail da conta de serviço.

    Para filtrar por uma única conta de serviço, use um filtro com o seguinte formato:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"

    Para filtrar várias contas de serviço, use OR para especificar vários nomes de recursos completos aceitáveis:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"

    É possível filtrar por até 10 contas de serviço.

A resposta descreve o uso mais recente das contas de serviço:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'

Para saber como entender esses resultados, consulte Entender as atividades nesta página.

REST

Para conferir a atividade de autenticação mais recente de contas de serviço específicas, use o activities.query .

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
  • FILTER: um filtro que especifica os nomes completos dos recursos das contas de serviço cujo o uso você quer ver.

    Para filtrar por uma única conta de serviço, use um filtro com o seguinte formato:

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22

    Para filtrar várias contas de serviço, use %20OR%20 para especificar vários nomes de recursos completos aceitáveis:

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22

Método HTTP e URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER

Para enviar a solicitação, expanda uma destas opções:

A resposta descreve o uso mais recente das contas de serviço:

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    }
  ]
}

Ver o uso recente das chaves de contas de serviço específicas

Para encontrar a última data em que chaves conta de serviço específicas foram usadas, identifique o chave da conta de serviço que você quer conferir o uso recente e crie uma consulta usando esse ID.

Se você tiver um arquivo de chave JSON, poderá encontrar o ID exclusivo da chave da conta de serviço no campo private_key_id do arquivo.

Se você não tiver um arquivo de chave JSON, siga estas etapas para encontrar o ID exclusivo da chave da conta de serviço:

Console

  1. No console do Google Cloud, acesse a página Policy Analyzer.

    Acessar a ferramenta Análise de políticas

  2. Em Analisar atividade recente, encontre o painel Quando foi a última vez que essa chave da conta de serviço foi usada? e clique em Criar consulta nesse painel.

  3. Na caixa Selecionar escopo da consulta, insira o nome do projeto cujo as chaves da conta de serviço que você quer analisar.

  4. Na seção Adicionar chave da conta de serviço, clique em Chave da conta de serviço. caixa Uma lista de todas as chaves de conta de serviço no projeto vai aparecer. A lista também inclui o projeto e a conta de serviço a que cada chave está associada com

  5. Selecione a chave para conferir o uso recente.

  6. Opcional: para conferir o uso recente de mais de uma chave, clique em Adicionar chave e selecione outra chave. É possível analisar até 10 chaves por vez.

  7. No painel Consultar atividades de acesso, clique em Executar consulta.

A página de resultados mostra o uso mais recente das chaves da conta de serviço. Para saber como entender esses resultados, consulte Entender as atividades nesta página.

gcloud

Primeiro, identifique a chave da conta de serviço em que você quer acessar o uso recente para:

  1. Liste as chaves da conta de serviço.

    Antes de usar os dados do comando abaixo, faça estas substituições:

    • SERVICE_ACCOUNT_EMAIL: o endereço de e-mail da conta de serviço a que a chave está associada.

    Execute o comando gcloud iam service-accounts keys list:

    Linux, macOS ou Cloud Shell

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

    Windows (PowerShell)

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

    Windows (cmd.exe)

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

    A saída mostra uma lista de todas as chaves criadas pelo usuário associadas à conta de serviço, incluindo o ID exclusivo de cada chave, o horário de criação e o prazo de validade.

  2. Use os dados na saída para identificar a chave que você quer rastrear e copiar o ID exclusivo dela.

Depois de encontrar os IDs exclusivos das chaves da conta de serviço, use-os para filtrar os resultados do Activity Analyzer:

Para ver a atividade de autenticação mais recente para chaves de contas de serviço específicas, use o comando gcloud policy-intelligence query-activity com um filtro.

Antes de usar os dados do comando abaixo, faça estas substituições:

  • PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
  • FILTER: um filtro que especifica os nomes completos dos recursos das chaves da conta de serviço cujo uso você quer ver. O nome completo do recurso de uma chave de conta de serviço inclui o ID do projeto, o endereço de e-mail da conta de serviço associada à chave e o ID da chave.

    Para filtrar uma única chave de conta de serviço, use um filtro com o seguinte formato:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"

    Para filtrar várias chaves da conta de serviço, use OR para especificar vários nomes de recursos completos aceitáveis:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"

    É possível filtrar até 10 chaves da conta de serviço.

Execute o seguinte comando:

Linux, macOS ou Cloud Shell

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Windows (PowerShell)

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication `
    --project=PROJECT_ID `
    --query-filter='FILTER'

Windows (cmd.exe)

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ^
    --project=PROJECT_ID ^
    --query-filter='FILTER'

Você receberá uma resposta semelhante a esta:

activity:
  lastAuthenticatedTime: '2021-06-11T07:00:00Z'
  serviceAccountKey:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
    projectNumber: '232342569935'
    serviceAccountId: '103185812403937829397'
activityType: serviceAccountKeyLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-10T07:00:00Z'

A resposta descreve o uso mais recente das chaves da conta de serviço. Para saber como entender esses resultados, consulte Entender as atividades nesta página.

REST

Primeiro, identifique a chave da conta de serviço para a qual você quer conferir o uso recente:

  1. Liste as chaves da conta de serviço:

    Para listar todas as chaves de uma conta de serviço, use o método projects.serviceAccounts.keys.list da API IAM.

    Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

    • PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
    • SA_NAME: o nome da conta de serviço cujas chaves você quer listar.
    • KEY_TYPES: opcional. Uma lista separada por vírgulas dos tipos de chave que você quer incluir na resposta. O tipo de chave indica se uma chave é gerenciada pelo usuário (USER_MANAGED) ou pelo sistema (SYSTEM_MANAGED). Se deixado em branco, todas as chaves são retornadas.

    Método HTTP e URL:

    GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES

    Para enviar a solicitação, expanda uma destas opções:

    A resposta descreve o uso mais recente das chaves da conta de serviço:

    {
      "keys": [
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c",
          "validAfterTime": "2020-03-04T17:39:47Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED"
        },
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8",
          "validAfterTime": "2020-03-31T23:50:09Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED"
        },
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e",
          "validAfterTime": "2020-05-17T18:58:13Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED",
          "disabled": true
        }
      ]
    }
    

  2. Use os metadados na resposta para identificar a chave que você quer rastrear. Em seguida, copie o ID exclusivo da chave no final do campo name.

    O campo name tem o seguinte formato:

    "name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"

    O ID exclusivo da chave é tudo o que vem depois de keys/.

    Por exemplo, o ID exclusivo no seguinte nome de chave é 0f561cc41650ff521899de2fd653bd3de08e2da4:

    "name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"

Depois de encontrar os IDs exclusivos para as chaves da conta de serviço, use os IDs para filtrar os resultados do Activity Analyzer:

Para conferir a atividade de autenticação mais recente de chaves de conta de serviço específicas, use o recurso activities.query .

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
  • FILTER: um filtro que especifica os nomes completos dos recursos das chaves da conta de serviço cujo uso você quer ver. O nome completo do recurso de uma chave de conta de serviço inclui o ID do projeto, o endereço de e-mail da conta de serviço associada à chave e o ID da chave.

    Para filtrar uma única chave de conta de serviço, use um filtro com o seguinte formato:

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22

    Para filtrar várias chaves da conta de serviço, use %20OR%20 para especificar vários nomes de recursos completos aceitáveis:

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22

    É possível filtrar até 10 chaves da conta de serviço.

Método HTTP e URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER

Para enviar a solicitação, expanda uma destas opções:

A resposta descreve o uso mais recente das chaves da conta de serviço:

{
  "activities": [
    {
      "activity": {
        "lastAuthenticatedTime": "2021-06-11T07:00:00Z",
        "serviceAccountKey": {
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
          "projectNumber": "123456789012",
          "serviceAccountId": "123456789012345678901"
        }
      },
      "activityType": "serviceAccountKeyLastAuthentication",
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
      "observationPeriod": {
        "endTime": "2021-07-06T07:00:00Z",
        "startTime": "2020-04-20T07:00:00Z"
      }
    }
  ]
}

Para saber como entender esses resultados, consulte Entender as atividades nesta página.

Entender as atividades

Console

A página de resultados lista os parâmetros de consulta e os resultados da consulta.

Para uma consulta de conta de serviço, a tabela de resultados lista cada conta de serviço da consulta e quando ela foi autenticada pela última vez:

Para uma consulta de chave de conta de serviço, a tabela de resultados lista cada chave de conta de serviço da consulta, a conta de serviço associada a ela e a última vez que ela foi autenticada.

Os resultados podem não incluir eventos de autenticação muito recentes. Confira a caixa de informações para ver o intervalo de datas exato usado durante a análise. Os resultados não incluir eventos de autenticação que ocorreram fora desse intervalo.

A tabela de resultados das duas consultas também lista os papéis do IAM que que a conta de serviço tem no projeto, além de todos os insights de segurança. Esses insights destacam padrões na maneira como suas contas de serviço acessam recursos. Por exemplo, alguns insights destacam as permissões em excesso ou as permissões que um principal não precisa. Outros insights destacam contas de serviço com lateral permissões de movimento ou que dão ao representem uma conta de serviço em outro projeto.

Alguns insights também vêm com recomendações de papéis que sugerem mudanças que você pode fazer para reduzir o excesso de permissões. Para saber como gerenciar as recomendações insights, consulte Revisar e aplicar recomendações.

gcloud

O Activity Analyzer informa os resultados como uma lista de atividades. As atividades têm os seguintes campos:

  • fullResourceName: o nome completo do recurso da conta de serviço ou chave da conta de serviço cuja atividade está sendo relatada. Esse formato é descrito nas seções a seguir e em Nomes de recursos completos.
  • activityType: o tipo de atividade que está sendo informada. Para atividades recentes de autenticação de conta de serviço, o valor é serviceAccountLastAuthentication. Para as atividades recentes de autenticação de chave da conta de serviço, o valor é serviceAccountKeyLastAuthentication.
  • observationPeriod: horários de início e término que indicam o período em que a conta de serviço ou a chave foi observada para a atividade. A hora nesses carimbos de data/hora é sempre T07:00:00Z.
  • activity: os detalhes da atividade. O conteúdo desse campo varia com base no tipo de atividade. Consulte as seções a seguir para mais detalhes.

Detalhes das atividades da conta de serviço

O campo activity para atividades serviceAccountLastAuthentication contém os seguintes campos:

  • serviceAccount: detalhes sobre a conta de serviço cuja atividade está sendo informada, incluindo:

    • fullResourceName: o nome completo do recurso da conta de serviço, no formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
    • projectNumber: o ID numérico do projeto proprietário da conta de serviço.
    • serviceAccountId: o ID numérico exclusivo da conta de serviço.
  • lastAuthenticatedTime: um carimbo de data/hora que representa a data em que o evento de autenticação mais recente ocorreu. A hora nesse carimbo de data/hora é sempre T07:00:00Z, independentemente da hora exata do evento de autenticação.

    Os resultados podem não incluir eventos de autenticação muito recentes. Verifique o observationPeriod para saber o intervalo de datas exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora da desse intervalo.

    Este campo não está incluído nas contas de serviço que nunca foram usadas.

Detalhes das principais atividades da conta de serviço

O campo activity das atividades serviceAccountKeyLastAuthentication contém os seguintes campos:

  • serviceAccountKey: detalhes sobre a chave da conta de serviço cuja atividade está sendo relatada, incluindo o seguinte:

    • fullResourceName: o nome completo do recurso da chave da conta de serviço, no formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
    • projectNumber: o ID numérico do projeto que possui a conta de serviço à qual a chave está associada.
    • serviceAccountId: o ID numérico da conta de serviço à qual a chave está associada.
  • lastAuthenticatedTime: um carimbo de data/hora que representa a data em que o evento de autenticação mais recente ocorreu. A hora nesse carimbo de data/hora é sempre T07:00:00Z, independentemente da hora exata do evento de autenticação.

    Os resultados podem não incluir eventos de autenticação muito recentes. Consulte a observationPeriod para ver o período exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora da esse intervalo.

    Este campo não está incluído nas chaves das contas de serviço que nunca foram usadas.

REST

O Activity Analyzer informa os resultados como uma lista de atividades. As atividades têm os seguintes campos:

  • fullResourceName: o nome completo do recurso da conta de serviço ou chave da conta de serviço cuja atividade está sendo relatada. Esse formato é descrito nas seções a seguir e em Nomes de recursos completos.
  • activityType: o tipo de atividade que está sendo informada. Para atividades recentes de autenticação de conta de serviço, o valor é serviceAccountLastAuthentication. Para as atividades recentes de autenticação de chave da conta de serviço, o valor é serviceAccountKeyLastAuthentication.
  • observationPeriod: horários de início e término que indicam o período em que a conta de serviço ou a chave foi observada para a atividade. A hora nesses carimbos de data/hora é sempre T07:00:00Z.
  • activity: os detalhes da atividade. O conteúdo desse campo varia com base no tipo de atividade. Consulte as seções a seguir para mais detalhes.

Detalhes das atividades da conta de serviço

O campo activity para atividades serviceAccountLastAuthentication contém os seguintes campos:

  • serviceAccount: detalhes sobre a conta de serviço cuja atividade está sendo informada, incluindo:

    • fullResourceName: o nome completo do recurso da conta de serviço, no formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
    • projectNumber: o ID numérico do projeto proprietário da conta de serviço.
    • serviceAccountId: o ID numérico exclusivo da conta de serviço.
  • lastAuthenticatedTime: um carimbo de data/hora que representa a data em que o evento de autenticação mais recente ocorreu. A hora nesse carimbo de data/hora é sempre T07:00:00Z, independentemente da hora exata do evento de autenticação.

    Os resultados podem não incluir eventos de autenticação muito recentes. Verifique o observationPeriod para saber o intervalo de datas exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora da desse intervalo.

    Este campo não está incluído nas contas de serviço que nunca foram usadas.

Detalhes das principais atividades da conta de serviço

O campo activity das atividades serviceAccountKeyLastAuthentication contém os seguintes campos:

  • serviceAccountKey: detalhes sobre a chave da conta de serviço cuja atividade está sendo relatada, incluindo o seguinte:

    • fullResourceName: o nome completo do recurso da chave da conta de serviço, no formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
    • projectNumber: o ID numérico do projeto que possui a conta de serviço à qual a chave está associada.
    • serviceAccountId: o ID numérico da conta de serviço à qual a chave está associada.
  • lastAuthenticatedTime: um carimbo de data/hora que representa a data em que o evento de autenticação mais recente ocorreu. A hora nesse carimbo de data/hora é sempre T07:00:00Z, independentemente da hora exata do evento de autenticação.

    Os resultados podem não incluir eventos de autenticação muito recentes. Consulte a observationPeriod para ver o período exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora da esse intervalo.

    Este campo não está incluído nas chaves das contas de serviço que nunca foram usadas.

A seguir