Afficher l'utilisation récente des comptes de service et clés de compte de service

Cette page explique comment utiliser l'outil Activity Analyzer pour savoir quand vos comptes de service et clés de compte de service ont été utilisés pour la dernière fois pour appeler une API Google. Ces utilisations sont appelées des activités d'authentification.

Les activités d'authentification incluent chaque utilisation d'un compte de service ou d'une clé de compte de service pour appeler une API Google, y compris des API qui ne font pas partie de Google Cloud. Les activités d'authentification incluent les appels d'API ayant réussi et ceux ayant échoué. Par exemple, si un appel d'API échoue parce que l'appelant n'est pas autorisé à appeler cette API, ou si la requête fait référence à une ressource qui n'existe pas, l'action est toujours comptabilisée comme une activité d'authentification pour le compte de service ou la clé de compte de service utilisé pour cet appel d'API.

Les activités d'authentification pour les clés de compte de service incluent également chaque fois qu'un système liste les clés lors d'une tentative d'authentification d'une requête, même si le système n'utilise pas la clé pour authentifier la requête. Ce comportement est le plus courant lorsque vous utilisez des URL signées pour Cloud Storage ou lorsque vous vous authentifiez auprès d'applications tierces.

L'outil Activity Analyzer indique la date de la dernière activité d'authentification. La date est déterminée en fonction de l'heure normale du Canada et des États-Unis (UTC-8), même si l'heure avancée du Pacifique est en vigueur. Si vous avez besoin de connaître l'heure spécifique de l'activité ou si vous souhaitez effectuer le suivi des modèles d'utilisation au fil du temps, utilisez Monitoring pour afficher les métriques d'utilisation de tous les comptes de service et clés de compte de service.

L'activité d'authentification récente peut vous aider à identifier les comptes de service et les clés de compte de service dont vous ne vous servez plus. Nous vous recommandons de désactiver ou de supprimer ces comptes de service et clés de compte de service, car ils représentent un risque de sécurité inutile.

Avant de commencer

  • Activez l'API Policy Analyzer.

    Activer l'API

Autorisations requises

Pour lister les activités d'authentification les plus récentes pour vos comptes de service et vos clés de compte de service, vous devez disposer d'un rôle comprenant les autorisations suivantes :

  • policyanalyzer.serviceAccountLastAuthenticationActivities.query
  • policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query

Pour obtenir ces autorisations tout en suivant le principe du moindre privilège, demandez à votre administrateur de vous attribuer le rôle de lecteur d'analyses d'activité (roles/policyanalyzer.activityAnalysisViewer).

Votre administrateur peut également vous attribuer un autre rôle qui inclut les autorisations requises, par exemple un rôle personnalisé ou un rôle prédéfini moins restrictif.

Afficher l'utilisation récente de tous les comptes de service ou clés de compte de service

Pour afficher l'utilisation récente de vos comptes de service ou de vos clés de compte de service, utilisez l'outil Activity Analyzer pour lister les dates des activités d'authentification les plus récentes.

gcloud

Pour lister les activités d'authentification les plus récentes pour vos comptes de service ou clés de compte de service, utilisez la commande gcloud policy-intelligence query-activity :

gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \
    --project=PROJECT_ID --limit=LIMIT

Remplacez les valeurs suivantes :

  • ACTIVITY_TYPE : type d'activité que vous souhaitez lister. Pour lister les heures d'utilisation les plus récentes de vos comptes de service, utilisez serviceAccountLastAuthentication. Pour lister les heures d'utilisation les plus récentes de vos clés de compte de service, utilisez serviceAccountKeyLastAuthentication.
  • PROJECT_ID : ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles que my-project.
  • LIMIT : facultatif. Nombre maximal de résultats à afficher. La valeur par défaut est 1000.

La réponse est semblable à la suivante, qui liste les heures d'utilisation récentes des comptes de service d'un projet :

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'
---
activity:
  lastAuthenticatedTime: '2021-02-09T08:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-01T07:00:00Z'

Pour savoir comment interpréter ces résultats, consultez la section Examiner les activités de cette page.

REST

La méthode activities.query de l'API Policy Analyzer liste les activités d'authentification les plus récentes pour vos comptes de service ou vos clés de compte de service.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

  • PROJECT_ID : ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles que my-project.
  • ACTIVITY_TYPE : type d'activité que vous souhaitez lister. Pour lister les utilisations les plus récentes de tous vos comptes de service, utilisez serviceAccountLastAuthentication. Pour lister les utilisations les plus récentes de toutes vos clés de compte de service, utilisez serviceAccountKeyLastAuthentication.
  • PAGE_SIZE : facultatif. Nombre maximal de résultats à renvoyer pour cette requête. Si cette valeur n'est pas spécifiée, le serveur détermine le nombre de résultats à renvoyer. Si le nombre d'activités est supérieur à la taille de la page, la réponse contient un jeton de pagination que vous pouvez utiliser pour récupérer la page de résultats suivante.
  • PAGE_TOKEN : facultatif. Jeton de pagination renvoyé dans une réponse précédente de cette méthode. Si spécifié, la liste des activités commence à la fin de la réponse précédente.

Méthode HTTP et URL :

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Pour envoyer votre requête, développez l'une des options suivantes :

La réponse est semblable à la suivante, qui liste les heures d'utilisation récentes des comptes de service d'un projet :

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    },
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-29T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "234567890123456789012"
        }
      }
    }
  ],
  "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_"
}

Pour savoir comment interpréter ces résultats, consultez la section Examiner les activités de cette page.

Afficher l'utilisation récente de comptes de service spécifiques

Pour trouver la dernière date d'utilisation de comptes de service spécifiques, filtrez les résultats de l'outil Activity Analyzer en utilisant les noms de ressources complets pour ces comptes de service.

gcloud

Pour obtenir l'activité d'authentification la plus récente pour des comptes de service spécifiques, utilisez la commande gcloud policy-intelligence query-activity avec un filtre :

gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Remplacez les valeurs suivantes :

  • PROJECT_ID : ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles que my-project.
  • FILTER : filtre spécifiant les noms de ressources complets des comptes de service dont vous souhaitez afficher l'utilisation. Le nom de ressource complet d'un compte de service inclut l'ID de projet et l'adresse e-mail du compte de service.

    Pour filtrer sur un seul compte de service, utilisez un filtre au format suivant :

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"
    

    Pour filtrer plusieurs comptes de service, utilisez OR pour spécifier plusieurs noms de ressources complets acceptables :

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"
    

    Vous pouvez filtrer jusqu'à 10 comptes de service.

La réponse décrit l'utilisation la plus récente des comptes de service :

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'

Pour savoir comment interpréter ces résultats, consultez la section Examiner les activités de cette page.

REST

Lorsqu'elle est utilisée avec un filtre, la méthode activities.query de l'API Policy Analyzer obtient l'activité d'authentification la plus récente pour des comptes de service spécifiques.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

  • PROJECT_ID : ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles que my-project.
  • FILTER : filtre spécifiant les noms de ressources complets des comptes de service dont vous souhaitez afficher l'utilisation.

    Pour filtrer sur un seul compte de service, utilisez un filtre au format suivant :

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22

    Pour filtrer plusieurs comptes de service, utilisez %20OR%20 pour spécifier plusieurs noms de ressources complets acceptables :

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22

Méthode HTTP et URL :

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER

Pour envoyer votre requête, développez l'une des options suivantes :

La réponse décrit l'utilisation la plus récente des comptes de service :

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    }
  ]
}

Afficher l'utilisation récente de clés de compte de service spécifiques

Pour trouver la dernière date d'utilisation de clés de compte de service spécifiques, recherchez les ID uniques des clés de compte de service, puis filtrez les résultats de l'outil Activity Analyzer à l'aide de ces ID.

Si vous disposez d'un fichier de clé JSON, vous pouvez rechercher l'ID unique de la clé de compte de service dans le champ private_key_id du fichier.

Si vous n'avez pas de fichier de clé JSON, vous pouvez rechercher l'ID unique de la clé de compte de service en procédant comme suit :

Console

  1. Dans Cloud Console, accédez à la page Comptes de service.

    Accéder à la page Comptes de service

  2. Sélectionnez le projet contenant le compte de service associé à votre clé.

  3. Cliquez sur l'adresse e-mail du compte de service associé à la clé.

  4. Cliquez sur l'onglet Clés.

  5. Recherchez et copiez votre ID de clé dans la liste des ID de clé.

gcloud

  1. Exécutez la commande gcloud iam service-accounts keys list, en remplaçant SERVICE_ACCOUNT_EMAIL par l'adresse e-mail du compte de service auquel la clé est associée :

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
    

    Le résultat affiche la liste de toutes les clés créées par l'utilisateur qui sont associées au compte de service, y compris l'ID unique, l'heure de création et l'heure d'expiration de chaque clé.

  2. Identifiez la clé dont vous souhaitez effectuer le suivi à l'aide des données du résultat, puis copiez son ID unique.

REST

  1. Répertoriez les clés du compte de service :

    La méthode projects.serviceAccounts.keys.list de l'API Policy Analyzer liste toutes les clés d'un compte de service donné.

    Avant d'utiliser les données de requête, effectuez les remplacements suivants :

    • PROJECT_ID : ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles que my-project.
    • SA_NAME : nom du compte de service dont vous souhaitez répertorier les clés.
    • KEY_TYPES : facultatif. Liste de types de clés séparés par une virgule que vous souhaitez inclure dans la réponse. Le type de clé indique si une clé est gérée par l'utilisateur (USER_MANAGED) ou gérée par le système (SYSTEM_MANAGED). Si aucune valeur n'est spécifiée, toutes les clés sont renvoyées.

    Méthode HTTP et URL :

    GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES

    Pour envoyer votre requête, développez l'une des options suivantes :

    Vous devriez recevoir une réponse JSON de ce type :

    {
      "keys": [
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c",
          "validAfterTime": "2020-03-04T17:39:47Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED"
        },
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8",
          "validAfterTime": "2020-03-31T23:50:09Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED"
        },
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e",
          "validAfterTime": "2020-05-17T18:58:13Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED",
          "disabled": true
        }
      ]
    }
    

  2. Identifiez la clé dont vous souhaitez effectuer le suivi à l'aide des métadonnées de la réponse. Copiez ensuite l'ID unique de la clé à la fin du champ name.

    Le champ name a le format suivant :

    "name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
    

    L'ID unique de la clé correspond à tout ce qui suit keys/.

    Par exemple, l'ID unique est 0f561cc41650ff521899de2fd653bd3de08e2da4 dans le nom de clé suivant :

    "name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"
    

Une fois que vous avez trouvé les ID uniques des clés de compte de service, utilisez-les pour filtrer les résultats de l'outil Activity Analyzer :

gcloud

Pour obtenir l'activité d'authentification la plus récente pour des clés de compte de service spécifiques, exécutez la commande gcloud policy-intelligence query-activity avec un filtre :

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Remplacez les valeurs suivantes :

  • PROJECT_ID : ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles que my-project.
  • FILTER : filtre spécifiant les noms de ressources complets des clés de compte de service dont vous souhaitez afficher l'utilisation. Le nom de ressource complet d'une clé de compte de service inclut l'ID de projet, l'adresse e-mail du compte de service associé à la clé et l'ID de clé.

    Pour filtrer sur une seule clé de compte de service, utilisez un filtre au format suivant :

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
    

    Pour filtrer plusieurs clés de compte de service, utilisez OR pour spécifier plusieurs noms de ressources complets acceptables :

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"
    

    Vous pouvez filtrer jusqu'à 10 clés de compte de service.

La réponse décrit l'utilisation la plus récente des clés de compte de service :

---
activity:
  lastAuthenticatedTime: '2021-06-11T07:00:00Z'
  serviceAccountKey:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
    projectNumber: '232342569935'
    serviceAccountId: '103185812403937829397'
activityType: serviceAccountKeyLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-10T07:00:00Z'

Pour savoir comment interpréter ces résultats, consultez la section Examiner les activités de cette page.

REST

Lorsqu'elle est utilisée avec un filtre, la méthode activities.query de l'API Policy Analyzer obtient l'activité d'authentification la plus récente pour des clés de compte de service spécifiques.

Avant d'utiliser les données de requête, effectuez les remplacements suivants :

  • PROJECT_ID : ID de votre projet Google Cloud. Les ID de projet sont des chaînes alphanumériques, telles que my-project.
  • FILTER : filtre spécifiant les noms de ressources complets des clés de compte de service dont vous souhaitez afficher l'utilisation. Le nom de ressource complet d'une clé de compte de service inclut l'ID de projet, l'adresse e-mail du compte de service associé à la clé et l'ID de clé.

    Pour filtrer sur une seule clé de compte de service, utilisez un filtre au format suivant :

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22

    Pour filtrer plusieurs clés de compte de service, utilisez %20OR%20 pour spécifier plusieurs noms de ressources complets acceptables :

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22

    Vous pouvez filtrer jusqu'à 10 clés de compte de service.

Méthode HTTP et URL :

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER

Pour envoyer votre requête, développez l'une des options suivantes :

La réponse décrit l'utilisation la plus récente des clés de compte de service :

{
  "activities": [
    {
      "activity": {
        "lastAuthenticatedTime": "2021-06-11T07:00:00Z",
        "serviceAccountKey": {
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
          "projectNumber": "123456789012",
          "serviceAccountId": "123456789012345678901"
        }
      },
      "activityType": "serviceAccountKeyLastAuthentication",
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
      "observationPeriod": {
        "endTime": "2021-07-06T07:00:00Z",
        "startTime": "2020-04-20T07:00:00Z"
      }
    }
  ]
}

Pour savoir comment interpréter ces résultats, consultez la section Examiner les activités de cette page.

Examiner les activités

L'outil Activity Analyzer enregistre les résultats sous la forme d'une liste d'activités. Les activités sont associées aux champs suivants :

  • fullResourceName : nom de ressource complet du compte de service ou de la clé de compte de service dont l'activité est signalée. Ce format est décrit dans les sections suivantes et dans la section Noms de ressources complets.
  • activityType : type d'activité signalé. Pour l'activité d'authentification récente des comptes de service, la valeur est serviceAccountLastAuthentication. Pour l'activité d'authentification récente des clés de compte de service, la valeur est serviceAccountKeyLastAuthentication.
  • observationPeriod : heures de début et de fin indiquant la période pendant laquelle l'activité du compte de service ou de la clé de compte de service a été observée. L'heure indiquée dans ces horodatages est toujours au format T07:00:00Z.
  • activity : détails de l'activité. Le contenu de ce champ varie en fonction du type d'activité. Pour en savoir plus, consultez les sections suivantes.

Détails des activités des comptes de service

Le champ activity pour les activités serviceAccountLastAuthentication contient les champs suivants :

  • serviceAccount : détails concernant le compte de service dont l'activité est signalée, comprenant les informations suivantes :

    • fullResourceName : nom de ressource complet du compte de service, au format //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
    • projectNumber : ID numérique du projet propriétaire du compte de service.
    • serviceAccountId : ID numérique du compte de service.
  • lastAuthenticatedTime : horodatage représentant la date à laquelle l'événement d'authentification le plus récent s'est produit. L'heure dans cet horodatage est toujours au format T07:00:00Z, quelle que soit l'heure exacte de l'événement d'authentification.

    Ce champ n'est pas inclus pour les comptes de service qui n'ont jamais été utilisés.

Détails des activités des clés de compte de service

Le champ activity pour les activités serviceAccountKeyLastAuthentication contient les champs suivants :

  • serviceAccountKey : détails concernant la clé de compte de service dont l'activité est signalée, comprenant les informations suivantes :

    • fullResourceName : nom de ressource complet de la clé de compte de service, au format //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
    • projectNumber : ID numérique du projet propriétaire du compte de service auquel la clé est associée.
    • serviceAccountId : ID numérique du compte de service auquel la clé est associée.
  • lastAuthenticatedTime : horodatage représentant la date à laquelle l'événement d'authentification le plus récent s'est produit. L'heure dans cet horodatage est toujours au format T07:00:00Z, quelle que soit l'heure exacte de l'événement d'authentification.

    Ce champ n'est pas inclus pour les clés de compte de service qui n'ont jamais été utilisées.

Étape suivante