Consulta el uso reciente de claves y cuentas de servicio

En esta página, se muestra cómo usar el analizador de actividad para saber cuándo se usaron por última vez las cuentas de servicio y las claves a fin de llamar a una API de Google. Estos usos se llaman actividades de autenticación.

Las actividades de autenticación se incluyen cada vez que se usa una cuenta de servicio o una clave para llamar a cualquier API de Google, incluidas las API que no forman parte de Google Cloud. Las actividades de autenticación incluyen llamadas a la API correctas y fallidas. Por ejemplo, si una llamada a la API falla porque el emisor no está autorizado a llamar a esa API, o porque la solicitud hace referencia a un recurso que no existe, la acción igualmente se considera una actividad de autenticación de la cuenta de servicio o la clave que se usó para esa llamada a la API.

Las actividades de autenticación de las claves de cuentas de servicio también se incluyen cada vez que un sistema las enumera mientras intenta autenticar una solicitud, incluso si el sistema no las usa para autenticar la solicitud. Este comportamiento es más común cuando se usan URL firmadas para Cloud Storage o cuando se autentica en aplicaciones de terceros.

El Analizador de actividad informa la fecha de la actividad de autenticación más reciente. La fecha se determina en función de la hora estándar del Pacífico de EE.UU. y Canadá (UTC-8), incluso cuando está vigente la hora de verano del Pacífico. Si necesitas el momento específico de la actividad o quieres hacer un seguimiento de los patrones de uso en el tiempo, usa Monitoring para ver las métricas de uso de todas las cuentas de servicio y las claves.

La actividad de autenticación reciente puede ayudarte a identificar las cuentas de servicio y las claves de cuenta de servicio que ya no usas. Te recomendamos inhabilitar o borrar estas cuentas de servicio y claves sin usar, ya que generan un riesgo de seguridad innecesario.

Antes de comenzar

  • Habilita la API Policy Analyzer.

    Habilita la API

Permisos necesarios

Para enumerar las actividades de autenticación más recientes de tus cuentas de servicio y claves de cuenta de servicio, necesitas una función que incluya los siguientes permisos:

  • policyanalyzer.serviceAccountLastAuthenticationActivities.query
  • policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query

Para obtener estos permisos y seguir el principio de privilegio mínimo, pídele a tu administrador que te otorgue la función de visualizador de análisis de actividades (roles/policyanalyzer.activityAnalysisViewer).

Como alternativa, el administrador puede otorgarte una función diferente con los permisos necesarios, como una función personalizada o una función predefinida con más permisos.

Consulta el uso reciente de todas las cuentas de servicio o claves

Para ver el uso reciente de tus cuentas de servicio o claves de cuenta de servicio, usa el Analizador de actividad para enumerar las fechas de las actividades de autenticación más recientes.

gcloud

A fin de enumerar las actividades de autenticación más recientes para las cuentas de servicio o claves, usa el comando gcloud policy-intelligence query-activity:

gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \
    --project=PROJECT_ID --limit=LIMIT

Reemplaza los siguientes valores:

  • ACTIVITY_TYPE: Es el tipo de estadística que deseas enumerar. Para enumerar las horas de uso más recientes de las cuentas de servicio, usa serviceAccountLastAuthentication. Para enumerar las horas de uso más recientes de las claves de tu cuenta de servicio, usa serviceAccountKeyLastAuthentication.
  • PROJECT_ID es el ID del proyecto de Google Cloud. Los ID de proyecto son strings alfanuméricas, como my-project.
  • LIMIT: Opcional Es la cantidad máxima de resultados que se mostrarán. El valor predeterminado es 1000.

La respuesta es similar a la siguiente, que enumera las horas de uso recientes de las cuentas de servicio de un proyecto:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'
---
activity:
  lastAuthenticatedTime: '2021-02-09T08:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-01T07:00:00Z'

Para aprender a comprender estos resultados, consulta Información sobre las actividades en esta página.

REST

El método activities.query de la API del Analizador de políticas enumera las actividades de autenticación más recientes de tus cuentas o claves de servicio.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: El ID del proyecto de Google Cloud Los ID de proyecto son strings alfanuméricas, como my-project.
  • ACTIVITY_TYPE: Es el tipo de actividad que deseas enumerar. Para enumerar los usos más recientes de todas las cuentas de servicio, usa serviceAccountLastAuthentication. A fin de enumerar los usos más recientes de todas las claves de tu cuenta de servicio, usa serviceAccountKeyLastAuthentication.
  • PAGE_SIZE: Opcional La cantidad máxima de resultados que se mostrarán con esta solicitud. Si no se especifica, el servidor determinará la cantidad de resultados que se mostrarán. Si la cantidad de actividades es mayor que el tamaño de la página, la respuesta contiene un token de paginación que puedes usar para recuperar la siguiente página de resultados.
  • PAGE_TOKEN: Opcional Es el token de paginación que se mostró en una respuesta anterior de este método. Si se especifica, la lista de actividades comenzará desde el punto en que finalizó la solicitud anterior.

Método HTTP y URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Para enviar tu solicitud, expande una de estas opciones:

La respuesta es similar a la siguiente, que enumera las horas de uso recientes de las cuentas de servicio de un proyecto:

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    },
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-29T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "234567890123456789012"
        }
      }
    }
  ],
  "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_"
}

Para aprender a comprender estos resultados, consulta Información sobre las actividades en esta página.

Consulta el uso reciente de cuentas de servicio específicas

Para buscar la última fecha en la que se usaron cuentas de servicio específicas, filtra los resultados del Analizador de actividades con los nombres completos de los recursos de las cuentas de servicio.

gcloud

A fin de obtener la actividad de autenticación más reciente de las cuentas de servicio específicas, usa el comando gcloud policy-intelligence query-activity con un filtro:

gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Reemplaza los siguientes valores:

  • PROJECT_ID es el ID del proyecto de Google Cloud. Los ID de proyecto son strings alfanuméricas, como my-project.
  • FILTER: Es un filtro que especifica los nombres completos de los recursos de las cuentas de servicio cuyo uso deseas ver. El nombre completo del recurso de una cuenta de servicio incluye el ID del proyecto y la dirección de correo electrónico de la cuenta de servicio.

    Para filtrar una sola cuenta de servicio, usa un filtro con el siguiente formato:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"
    

    Si deseas filtrar varias cuentas de servicio, usa OR para especificar varios nombres completos de recursos aceptables:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"
    

    Puedes filtrar hasta 10 cuentas de servicio.

En la respuesta, se describe el uso más reciente de las cuentas de servicio:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'

Para aprender a comprender estos resultados, consulta Información sobre las actividades en esta página.

REST

El método activities.query de la API de analizador de políticas, cuando se usa con un filtro, obtiene la actividad de autenticación más reciente de las cuentas de servicio específicas.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: El ID del proyecto de Google Cloud Los ID de proyecto son strings alfanuméricas, como my-project.
  • FILTER: Es un filtro que especifica los nombres completos de los recursos de las cuentas de servicio cuyo uso deseas ver.

    Para filtrar una sola cuenta de servicio, usa un filtro con el siguiente formato:

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22

    Si deseas filtrar varias cuentas de servicio, usa %20OR%20 para especificar varios nombres completos de recursos aceptables:

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22

Método HTTP y URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER

Para enviar tu solicitud, expande una de estas opciones:

En la respuesta, se describe el uso más reciente de las cuentas de servicio:

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    }
  ]
}

Consulta el uso reciente de claves de cuentas de servicio específicas

Para buscar la última fecha en la que se usaron las claves de cuentas de servicio específicas, busca los ID únicos de las claves de esa cuenta de servicio y, luego, filtra los resultados del analizador de actividades con esos ID.

Si tienes un archivo de claves JSON, puedes encontrar el ID único de la clave de una cuenta de servicio en el campo private_key_id del archivo.

Si no tienes un archivo de claves JSON, puedes buscar el ID único de la clave de una cuenta de servicio mediante estos pasos:

Console

  1. En Cloud Console, ve a la página Cuentas de servicio.

    Ir a la página Cuentas de servicio

  2. Selecciona el proyecto que contiene la cuenta de servicio asociada con la clave.

  3. Haz clic en la dirección de correo electrónico de la cuenta de servicio asociada con la clave.

  4. Haz clic en la pestaña Claves.

  5. Busca y copia el ID de tu clave de la lista de ID de claves.

gcloud

  1. Ejecuta el comando gcloud iam service-accounts keys list y reemplaza SERVICE_ACCOUNT_EMAIL por la dirección de correo electrónico de la cuenta de servicio con la que está asociada la clave:

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
    

    El resultado muestra una lista de todas las claves creadas por el usuario asociadas con la cuenta de servicio, incluidos el ID único de cada clave, la fecha de creación y la fecha de vencimiento.

  2. Usa los datos en el resultado para identificar la clave de la que deseas hacer un seguimiento y copiar el ID único.

REST

  1. Enumera las claves de cuenta de servicio:

    El método projects.serviceAccounts.keys.list de la API de analizador de políticas enumera todas las claves de cuenta de servicio de una cuenta de servicio.

    Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

    • PROJECT_ID: El ID del proyecto de Google Cloud Los ID de proyecto son strings alfanuméricas, como my-project.
    • SA_NAME: Es el nombre de la cuenta de servicio cuyas claves deseas enumerar.
    • KEY_TYPES: Este valor es opcional. Es una lista separada por comas de los tipos de claves que deseas incluir en la respuesta. El tipo de clave indica si una clave es administrada por el usuario (USER_MANAGED) o por el sistema (SYSTEM_MANAGED). Si se deja en blanco, se mostrarán todas las claves.

    Método HTTP y URL:

    GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES

    Para enviar tu solicitud, expande una de estas opciones:

    Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

    {
      "keys": [
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c",
          "validAfterTime": "2020-03-04T17:39:47Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED"
        },
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8",
          "validAfterTime": "2020-03-31T23:50:09Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED"
        },
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e",
          "validAfterTime": "2020-05-17T18:58:13Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED",
          "disabled": true
        }
      ]
    }
    

  2. Usa los metadatos de la respuesta para identificar la clave de la que deseas hacer un seguimiento. Luego, copia el ID único de la clave desde el final del campo name.

    El campo name tiene el siguiente formato:

    "name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
    

    El ID único de la clave es todo lo que se encuentra después de keys/.

    Por ejemplo, el ID único en el siguiente nombre de clave es 0f561cc41650ff521899de2fd653bd3de08e2da4:

    "name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"
    

Después de encontrar los ID únicos de las claves de la cuenta de servicio, usa los ID a fin de filtrar los resultados del Analizador de actividades:

gcloud

A fin de obtener la actividad de autenticación más reciente de las claves de cuentas de servicio específicas, usa el comando gcloud policy-intelligence query-activity con un filtro:

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Reemplaza los siguientes valores:

  • PROJECT_ID es el ID del proyecto de Google Cloud. Los ID de proyecto son strings alfanuméricas, como my-project.
  • FILTER: Es un filtro que especifica los nombres completos de los recursos de las claves de cuentas de servicio cuyo uso deseas ver. El nombre completo del recurso de una clave de cuenta de servicio incluye el ID del proyecto, la dirección de correo electrónico de la cuenta de servicio asociada con la clave y el ID de la clave.

    Para filtrar una sola cuenta de servicio, usa un filtro con el siguiente formato:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
    

    Si deseas filtrar varias claves de cuentas de servicio, usa OR para especificar varios nombres completos de recursos aceptables:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"
    

    Puedes filtrar hasta 10 claves de cuentas de servicio.

En la respuesta, se describe el uso más reciente de las claves de la cuenta de servicio:

---
activity:
  lastAuthenticatedTime: '2021-06-11T07:00:00Z'
  serviceAccountKey:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
    projectNumber: '232342569935'
    serviceAccountId: '103185812403937829397'
activityType: serviceAccountKeyLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-10T07:00:00Z'

Para aprender a comprender estos resultados, consulta Información sobre las actividades en esta página.

REST

El método activities.query de la API de analizador de políticas, cuando se usa con un filtro, obtiene la actividad de autenticación más reciente de las claves de cuentas de servicio específicas.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • PROJECT_ID: El ID del proyecto de Google Cloud Los ID de proyecto son strings alfanuméricas, como my-project.
  • FILTER: Es un filtro que especifica los nombres completos de los recursos de las claves de cuentas de servicio cuyo uso deseas ver. El nombre completo del recurso de una clave de cuenta de servicio incluye el ID del proyecto, la dirección de correo electrónico de la cuenta de servicio asociada con la clave y el ID de la clave.

    Para filtrar una sola cuenta de servicio, usa un filtro con el siguiente formato:

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22

    Si deseas filtrar varias claves de cuentas de servicio, usa %20OR%20 para especificar varios nombres completos de recursos aceptables:

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22

    Puedes filtrar hasta 10 claves de cuentas de servicio.

Método HTTP y URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER

Para enviar tu solicitud, expande una de estas opciones:

En la respuesta, se describe el uso más reciente de las claves de la cuenta de servicio:

{
  "activities": [
    {
      "activity": {
        "lastAuthenticatedTime": "2021-06-11T07:00:00Z",
        "serviceAccountKey": {
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
          "projectNumber": "123456789012",
          "serviceAccountId": "123456789012345678901"
        }
      },
      "activityType": "serviceAccountKeyLastAuthentication",
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
      "observationPeriod": {
        "endTime": "2021-07-06T07:00:00Z",
        "startTime": "2020-04-20T07:00:00Z"
      }
    }
  ]
}

Para aprender a comprender estos resultados, consulta Información sobre las actividades en esta página.

Comprende las actividades

El Analizador de actividades informa los resultados como una lista de actividades. Las actividades tienen los siguientes campos:

  • fullResourceName: Es el nombre completo del recurso de la cuenta de servicio o la clave de cuenta de servicio cuya actividad se informa. Este formato se describe en las siguientes secciones y en Nombres completos de recursos.
  • activityType: Es el tipo de actividad que se informa. Para la actividad de autenticación de la cuenta de servicio reciente, el valor es serviceAccountLastAuthentication. Para la actividad de autenticación de la clave de la cuenta de servicio reciente, el valor es serviceAccountKeyLastAuthentication.
  • observationPeriod: Se refiere a las horas de inicio y finalización que indican el intervalo de tiempo durante el cual se observó la actividad o la cuenta de servicio para la actividad. La hora en estas marcas de tiempo siempre es T07:00:00Z.
  • activity: Se refiere a los detalles de la actividad. El contenido de este campo varía según el tipo de actividad. Consulta las siguientes secciones para obtener más detalles.

Detalles para las actividades de la cuenta de servicio

El campo activity para las actividades de serviceAccountLastAuthentication contiene los siguientes campos:

  • serviceAccount: Son los detalles sobre la cuenta de servicio cuya actividad se informa, incluidos los siguientes:

    • fullResourceName: Es el nombre completo del recurso de la cuenta de servicio, en el formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
    • projectNumber: Es el ID numérico del proyecto al que pertenece la cuenta de servicio.
    • serviceAccountId: Es el ID numérico de la cuenta de servicio.
  • lastAuthenticatedTime: Es una marca de tiempo que representa la fecha en la que se produjo el evento de autenticación más reciente. La hora en esta marca de tiempo siempre es T07:00:00Z, sin importar la hora exacta del evento de autenticación.

    Este campo no se incluye en las cuentas de servicio que nunca se usaron.

Detalles de las actividades clave de la cuenta de servicio

El campo activity para las actividades de serviceAccountKeyLastAuthentication contiene los siguientes campos:

  • serviceAccountKey: Son los detalles sobre la clave de la cuenta de servicio cuya actividad se informa, incluidos los siguientes:

    • fullResourceName: Es el nombre completo del recurso de la clave de la cuenta de servicio, en el formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
    • projectNumber: Es el ID numérico del proyecto al que pertenece la cuenta de servicio con la que está asociada la clave.
    • serviceAccountId: Es el ID numérico de la cuenta de servicio con la que está asociada la clave.
  • lastAuthenticatedTime: Es una marca de tiempo que representa la fecha en la que se produjo el evento de autenticación más reciente. La hora en esta marca de tiempo siempre es T07:00:00Z, sin importar la hora exacta del evento de autenticación.

    Este campo no se incluye en las claves de las cuentas de servicio que nunca se usaron.

¿Qué sigue?