サービス アカウントとキーの最近の使用状況を表示する

このページでは、Activity Analyzer を使用して、Google API の呼び出しにサービス アカウントとキーが最後に使用された日時を確認する方法を説明します。このような使用方法は認証アクティビティと呼ばれます。

認証アクティビティには、Google Cloud に含まれていない API を含め、Google API の呼び出しにサービス アカウントまたはキーを使用したすべての時間が含まれます。認証アクティビティには、成功した API 呼び出しと失敗した API 呼び出しの両方が含まれます。たとえば、呼び出し側に必要な権限がないため、あるいはリクエストで存在しないリソースが参照されているために API の呼び出しが失敗した場合でも、その API 呼び出しに使用されたサービス アカウントまたはキーの認証アクティビティとしてアクションがカウントされます。

サービス アカウント キーの認証アクティビティには、リクエストの認証にキーが使用されていない場合でも、リクエストの認証中にシステムがキーの一覧を取得する時間が含まれます。このような動作は、Cloud Storage に署名付き URL を使用する場合や、サードパーティのアプリケーションの認証でよく行われます。

Activity Analyzer は最新の認証アクティビティの日付を報告します。この日付は、太平洋夏時間が有効になっていても、米国およびカナダ太平洋標準時(UTC-8)で表示されます。アクティビティの具体的な時間が必要な場合や、使用パターンを時系列で追跡する場合は、Monitoring を使用して、すべてのサービス アカウントとキーの使用状況の指標を表示します。

最近の認証アクティビティを確認することで、不要になったサービス アカウントとサービス アカウント キーを特定できます。このような未使用のサービス アカウントとキーは、セキュリティ リスクとなるため、無効にするか削除することをおすすめします。

始める前に

  • Policy Analyzer API を有効にします。

    API を有効にする

必要な権限

サービス アカウントとサービス アカウント キーに対する最新の認証アクティビティを一覧表示するには、次の権限を含むロールが必要です。

  • policyanalyzer.serviceAccountLastAuthenticationActivities.query
  • policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query

最小権限の原則に従ってこれらの権限を取得するには、アクティビティ分析閲覧者ロール(roles/policyanalyzer.activityAnalysisViewer)を付与するように管理者に依頼してください。

あるいは、必要な権限を含む別のロールを管理者に付与してもらうこともできます。たとえば、カスタムロールや、許容範囲がより広い事前定義ロールなどです。

すべてのサービス アカウントまたはキーの最近の使用状況を表示する

サービス アカウントまたはサービス アカウント キーの最近の使用状況を表示するには、Activity Analyzer を使用して、最新の認証アクティビティの日付を一覧表示します。

gcloud

サービス アカウントまたはキーの最新の認証アクティビティを一覧表示するには、gcloud policy-intelligence query-activity コマンドを使用します。

gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \
    --project=PROJECT_ID --limit=LIMIT

次の値を置き換えます。

  • ACTIVITY_TYPE: 一覧表示するアクティビティのタイプ。サービス アカウントの直近の使用状況を一覧表示するには、serviceAccountLastAuthentication を使用します。サービス アカウント キーの最新の使用時間を一覧表示するには、serviceAccountKeyLastAuthentication を使用します。
  • PROJECT_ID: Google Cloud プロジェクト ID。プロジェクト ID は英数字からなる文字列です(例: my-project)。
  • LIMIT: 省略可。返される結果の最大件数です。デフォルト値は 1000 です。

レスポンスでは、次のようにプロジェクトのサービス アカウントの最近の使用時間が一覧表示されます。

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'
---
activity:
  lastAuthenticatedTime: '2021-02-09T08:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-01T07:00:00Z'

こうした結果を理解する方法については、このページのアクティビティを理解するをご覧ください。

REST

Policy Analyzer API の activities.query メソッドを使用すると、サービス アカウントまたはキーの最新の認証アクティビティを一覧表示できます。

リクエストのデータを使用する前に、次のように置き換えます。

  • PROJECT_ID: Google Cloud プロジェクト IDプロジェクト ID は英数字からなる文字列です(例: my-project)。
  • ACTIVITY_TYPE: 一覧表示するアクティビティのタイプ。すべてのサービス アカウントの最新の使用状況を一覧表示するには、serviceAccountLastAuthentication を使用します。すべてのサービス アカウント キーの最新の使用状況を一覧表示するには、serviceAccountKeyLastAuthentication を使用します。
  • PAGE_SIZE: 省略可。このリクエストから返される結果の最大数。指定しなかった場合、サーバーが結果数を決定します。アクティビティの数がページサイズより大きい場合、レスポンスにページ設定トークンが含まれます。このトークンを使用して次のページを取得できます。
  • PAGE_TOKEN: 省略可。以前のレスポンスでこのメソッドから返されたページ設定トークン。指定すると、前のリクエストが終了した時点からアクティビティのリストが開始します。

HTTP メソッドと URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

リクエストを送信するには、次のいずれかのオプションを展開します。

レスポンスでは、次のようにプロジェクトのサービス アカウントの最近の使用時間が一覧表示されます。

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    },
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-29T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "234567890123456789012"
        }
      }
    }
  ],
  "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_"
}

こうした結果を理解する方法については、このページのアクティビティを理解するをご覧ください。

特定のサービス アカウントの最近の使用状況を表示する

特定のサービス アカウントが最後に使用された日付を確認するには、サービス アカウントの完全なリソース名を使用して Activity Analyzer の結果をフィルタします。

gcloud

特定のサービス アカウントの最新の認証アクティビティを取得するには、フィルタを指定して gcloud policy-intelligence query-activity コマンドを使用します。

gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

次の値を置き換えます。

  • PROJECT_ID: Google Cloud プロジェクト ID。プロジェクト ID は英数字からなる文字列です(例: my-project)。
  • FILTER: 使用状況を表示するサービス アカウントの完全なリソース名を指定するフィルタ。サービス アカウントの完全なリソース名には、プロジェクト ID とサービス アカウントのメールアドレスが含まれます。

    1 つのサービス アカウントをフィルタするには、次の形式のフィルタを使用します。

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"
    

    複数のサービス アカウントをフィルタリングするには、OR を使用して、許容される複数の完全なリソース名を指定します。

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"
    

    最大 10 個のサービス アカウントをフィルタできます。

レスポンスで、サービス アカウントの最新の使用状況が返されます。

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'

こうした結果を理解する方法については、このページのアクティビティを理解するをご覧ください。

REST

フィルタで Policy Analyzer API の activities.query メソッドを使用すると、特定のサービス アカウントの最新の認証アクティビティを取得できます。

リクエストのデータを使用する前に、次のように置き換えます。

  • PROJECT_ID: Google Cloud プロジェクト IDプロジェクト ID は英数字からなる文字列です(例: my-project)。
  • FILTER: 使用状況を表示するサービス アカウントの完全なリソース名を指定するフィルタ。

    1 つのサービス アカウントをフィルタするには、次の形式のフィルタを使用します。

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22

    複数のサービス アカウントをフィルタリングするには、%20OR%20 を使用して、許容される複数の完全なリソース名を指定します。

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22

HTTP メソッドと URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER

リクエストを送信するには、次のいずれかのオプションを展開します。

レスポンスで、サービス アカウントの最新の使用状況が返されます。

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    }
  ]
}

特定のサービス アカウント キーの最近の使用状況を表示する

特定のサービス アカウント キーが最後に使用された日付を確認するには、サービス アカウント キーの一意の ID を確認し、それらの ID を使用して Activity Analyzer の結果をフィルタします。

JSON キーファイルがある場合は、ファイルの private_key_id フィールドでサービス アカウント キーの一意の ID を確認できます。

JSON キーファイルがない場合は、次の手順でサービス アカウント キーの一意の ID を確認します。

Console

  1. Cloud Console で、[サービス アカウント] ページに移動します。

    [サービス アカウント] ページに移動

  2. キーに関連付けられたサービス アカウントを含むプロジェクトを選択します。

  3. キーに関連付けられているサービス アカウントのメールアドレスをクリックします。

  4. [キー] タブをクリックします。

  5. キー ID のリストからキー ID を探してコピーします。

gcloud

  1. gcloud iam service-accounts keys list コマンドを実行します。SERVICE_ACCOUNT_EMAIL は、キーが関連付けられているサービス アカウントのメールアドレスで置き換えます。

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
    

    出力には、サービス アカウントに関連付けられているユーザー作成のキーのリストと、各キーの一意の ID、作成日時、有効期限が表示されます。

  2. 出力に含まれるデータを使用して、追跡するキーを特定し、一意の ID をコピーします。

REST

  1. サービス アカウント キーの一覧を表示します。

    Policy Analyzer API の projects.serviceAccounts.keys.list メソッドを使用すると、サービス アカウントのすべてのサービス アカウント キーを一覧表示できます。

    リクエストのデータを使用する前に、次のように置き換えます。

    • PROJECT_ID: Google Cloud プロジェクト IDプロジェクト ID は英数字からなる文字列です(例: my-project)。
    • SA_NAME: キーを一覧表示するサービス アカウントの名前。
    • KEY_TYPES: 省略可。レスポンスに含めるキータイプのカンマ区切りのリスト。キータイプは、キーがユーザー管理(USER_MANAGED)かシステム管理(SYSTEM_MANAGED)かを示します。空白のままにすると、すべてのキーが返されます。

    HTTP メソッドと URL:

    GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES

    リクエストを送信するには、次のいずれかのオプションを展開します。

    次のような JSON レスポンスが返されます。

    {
      "keys": [
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c",
          "validAfterTime": "2020-03-04T17:39:47Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED"
        },
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8",
          "validAfterTime": "2020-03-31T23:50:09Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED"
        },
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e",
          "validAfterTime": "2020-05-17T18:58:13Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED",
          "disabled": true
        }
      ]
    }
    

  2. レスポンスのメタデータを使用して、追跡するキーを特定します。次に、[name] フィールドの末尾にあるキーの一意の ID をコピーします。

    name フィールドの形式は次のとおりです。

    "name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
    

    keys/ より後のすべての部分がキーの一意の ID になります。

    たとえば、次のキー名の一意の ID は 0f561cc41650ff521899de2fd653bd3de08e2da4 です。

    "name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"
    

サービス アカウント キーの一意の ID を確認した後、その ID を使用して Activity Analyzer の結果をフィルタします。

gcloud

特定のサービス アカウント キーの最新の認証アクティビティを取得するには、フィルタを指定して gcloud policy-intelligence query-activity コマンドを使用します。

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

次の値を置き換えます。

  • PROJECT_ID: Google Cloud プロジェクト ID。プロジェクト ID は英数字からなる文字列です(例: my-project)。
  • FILTER: 使用状況を表示するサービス アカウント キーの完全なリソース名を指定するフィルタ。サービス アカウント キーの完全なリソース名には、プロジェクト ID、キーに関連付けられたサービス アカウントのメールアドレス、キー ID が含まれます。

    1 つのサービス アカウント キーをフィルタするには、次の形式のフィルタを使用します。

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
    

    複数のサービス アカウント キーをフィルタするには、OR を使用して、許容される複数の完全なリソース名を指定します。

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"
    

    最大 10 個のサービス アカウント キーをフィルタできます。

レスポンスで、サービス アカウント キーの最新の使用状況が返されます。

---
activity:
  lastAuthenticatedTime: '2021-06-11T07:00:00Z'
  serviceAccountKey:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
    projectNumber: '232342569935'
    serviceAccountId: '103185812403937829397'
activityType: serviceAccountKeyLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-10T07:00:00Z'

こうした結果を理解する方法については、このページのアクティビティを理解するをご覧ください。

REST

フィルタで Policy Analyzer API の activities.query メソッドを使用すると、特定のサービス アカウント キーの最新の認証アクティビティを取得できます。

リクエストのデータを使用する前に、次のように置き換えます。

  • PROJECT_ID: Google Cloud プロジェクト IDプロジェクト ID は英数字からなる文字列です(例: my-project)。
  • FILTER: 使用状況を表示するサービス アカウント キーの完全なリソース名を指定するフィルタ。サービス アカウント キーの完全なリソース名には、プロジェクト ID、キーに関連付けられたサービス アカウントのメールアドレス、キー ID が含まれます。

    1 つのサービス アカウント キーをフィルタするには、次の形式のフィルタを使用します。

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22

    複数のサービス アカウント キーをフィルタするには、%20OR%20 を使用して、許容される複数の完全なリソース名を指定します。

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22

    最大 10 個のサービス アカウント キーをフィルタできます。

HTTP メソッドと URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER

リクエストを送信するには、次のいずれかのオプションを展開します。

レスポンスで、サービス アカウント キーの最新の使用状況が返されます。

{
  "activities": [
    {
      "activity": {
        "lastAuthenticatedTime": "2021-06-11T07:00:00Z",
        "serviceAccountKey": {
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
          "projectNumber": "123456789012",
          "serviceAccountId": "123456789012345678901"
        }
      },
      "activityType": "serviceAccountKeyLastAuthentication",
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
      "observationPeriod": {
        "endTime": "2021-07-06T07:00:00Z",
        "startTime": "2020-04-20T07:00:00Z"
      }
    }
  ]
}

こうした結果を理解する方法については、このページのアクティビティを理解するをご覧ください。

アクティビティを理解する

Activity Analyzer は、結果をアクティビティのリストとして報告します。アクティビティには次のフィールドがあります。

  • fullResourceName: アクティビティが報告されているサービス アカウントまたはサービス アカウント キーの完全なリソース名。この形式については、以降のセクションと完全なリソース名で説明します。
  • activityType: 報告されているアクティビティのタイプ。最近のサービス アカウントの認証アクティビティの場合、値は serviceAccountLastAuthentication になります。最近のサービス アカウント キーの認証アクティビティの場合、値は serviceAccountKeyLastAuthentication になります。
  • observationPeriod: サービス アカウントまたはキーのモニタリング対象期間の開始時間と終了時間。これらのタイムスタンプの時間は常に T07:00:00Z です。
  • activity: アクティビティの詳細。このフィールドの内容はアクティビティのタイプによって異なります。詳しくは、以降のセクションをご覧ください。

サービス アカウント アクティビティの詳細

serviceAccountLastAuthentication アクティビティの activity フィールドには、以下のフィールドがあります。

  • serviceAccount: アクティビティが報告されているサービス アカウントの詳細。以下のものが含まれます。

    • fullResourceName: サービス アカウントの完全なリソース名。形式は //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL です。
    • projectNumber: サービス アカウントを所有するプロジェクトの ID。
    • serviceAccountId: サービス アカウントの数値 ID。
  • lastAuthenticatedTime: 最新の認証イベントが発生した日付を表すタイムスタンプ。認証イベントの正確な時刻に関係なく、このタイムスタンプの時刻は常に T07:00:00Z です。

    以前に使用されたことのないサービス アカウントの場合、このフィールドは含まれません。

サービス アカウント キーのアクティビティの詳細

serviceAccountKeyLastAuthentication アクティビティの activity フィールドには、以下のフィールドがあります。

  • serviceAccountKey: アクティビティが報告されているサービス アカウント キーの詳細。以下のものが含まれます。

    • fullResourceName: サービス アカウント キーの完全なリソース名。形式は //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID です。
    • projectNumber: キーが関連付けられているサービス アカウントを所有するプロジェクトの数値 ID。
    • serviceAccountId: キーが関連付けられているサービス アカウントの数値 ID。
  • lastAuthenticatedTime: 最新の認証イベントが発生した日付を表すタイムスタンプ。認証イベントの正確な時刻に関係なく、このタイムスタンプの時刻は常に T07:00:00Z です。

    使用されたことのないサービス アカウント キーの場合、このフィールドは含まれません。

次のステップ