서비스 계정 및 키의 최근 사용량 보기

이 페이지에서는 활동 분석기를 사용하여 서비스 계정 및 키가 Google API 호출에 마지막으로 사용된 시간을 확인하는 방법을 보여줍니다. 이 같은 사용을 인증 활동이라고 부릅니다.

인증 활동에는 Google Cloud에 포함되지 않은 API를 포함하여 Google API를 호출하는 데 서비스 계정 또는 키가 사용되는 모든 시간이 포함됩니다. 인증 활동에는 성공한 API 호출과 실패한 API 호출이 모두 포함됩니다. 예를 들어 호출자에게 API를 호출할 수 있는 권한이 없거나 요청이 존재하지 않는 리소스를 참조하기 때문에 API 호출이 실패한 경우 작업이 이 API 호출에 사용된 서비스 계정 또는 키의 인증 활동으로 집계됩니다.

서비스 계정 키의 인증 활동에는 시스템에서 요청을 인증하는 데 키를 사용하지 않았더라도 요청 인증을 시도하는 동안 시스템에서 키를 나열하는 모든 시간도 포함됩니다. 이는 Cloud Storage에 서명된 URL을 사용하거나 타사 애플리케이션 인증 시에 일반적으로 나타나는 동작입니다.

활동 분석기에서는 가장 최근의 인증 활동 날짜를 보고합니다. 날짜는 태평양 일광 절약 표준시가 적용되더라도 미국 및 캐나다 태평양 표준시(UTC-8)를 기준으로 결정됩니다. 특정 활동 시간이 필요하거나 시간 경과에 따른 사용 패턴을 추적하려면 Monitoring을 사용하여 모든 서비스 계정 및 키의 사용 측정항목을 확인합니다.

최근 인증 활동은 더 이상 사용하지 않는 서비스 계정 및 서비스 계정 키를 확인하는 데 도움이 됩니다. 사용하지 않는 서비스 계정 및 키는 불필요한 보안 위험을 야기할 수 있으므로 사용 중지하거나 삭제하는 것이 좋습니다.

시작하기 전에

Policy Analyzer API를 사용 설정합니다.

API 사용 설정

필수 권한

서비스 계정 및 서비스 계정 키의 최근 인증 활동을 나열하려면 다음 권한이 포함된 역할이 필요합니다.

  • policyanalyzer.serviceAccountLastAuthenticationActivities.query
  • policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query

최소 권한 원칙에 따라 이러한 권한을 얻기 위해 관리자에게 활동 분석 뷰어 역할(roles/policyanalyzer.activityAnalysisViewer)을 요청합니다.

또는 관리자가 필요한 권한(커스텀 역할 또는 더 많은 권한이 있는 사전 정의된 역할 등)을 포함하는 다른 역할을 부여할 수 있습니다.

모든 서비스 계정 또는 키의 최근 사용 보기

서비스 계정 또는 서비스 계정 키의 최근 사용을 보려면 활동 분석기를 사용하여 가장 최근의 인증 활동 날짜를 나열합니다.

gcloud

서비스 계정 또는 키의 최근 인증 활동을 나열하려면 gcloud policy-intelligence query-activity 명령어를 사용합니다.

gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \
    --project=PROJECT_ID --limit=LIMIT

다음 값을 바꿉니다.

  • ACTIVITY_TYPE: 나열할 활동 유형입니다. 서비스 계정의 최근 사용 시간을 나열하려면 serviceAccountLastAuthentication을 사용합니다. 서비스 계정 키의 최근 사용 시간을 나열하려면 serviceAccountKeyLastAuthentication을 사용합니다.
  • PROJECT_ID: Google Cloud 프로젝트 ID입니다. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
  • LIMIT: 선택사항. 반환될 최대 결과 수입니다. 기본값은 1000입니다.

응답은 다음과 비슷합니다. 여기에서는 프로젝트 서비스 계정의 최근 사용 시간이 나열됩니다.

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'
---
activity:
  lastAuthenticatedTime: '2021-02-09T08:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-01T07:00:00Z'

이러한 결과를 이해하는 방법은 이 페이지의 활동 이해를 참조하세요.

REST

Policy Analyzer API의 activities.query 메서드는 서비스 계정 또는 키의 최근 인증 활동을 나열합니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트 ID 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
  • ACTIVITY_TYPE: 나열할 활동 유형입니다. 모든 서비스 계정의 최근 사용을 나열하려면 serviceAccountLastAuthentication을 사용합니다. 모든 서비스 계정 키의 최근 사용을 나열하려면 serviceAccountKeyLastAuthentication을 사용합니다.
  • PAGE_SIZE: 선택사항. 이 요청에서 반환할 최대 결과 수입니다. 지정하지 않으면 서버에서 반환할 결과 수를 결정합니다. 활동 수가 페이지 크기보다 크면 응답에 다음 결과 페이지를 검색하는 데 사용할 수 있는 페이지 나누기 토큰이 포함됩니다.
  • PAGE_TOKEN: 선택사항. 이 메서드의 이전 응답에서 반환된 페이지 나누기 토큰입니다. 지정된 경우 이전 응답이 종료된 위치에서 활동 목록이 시작됩니다.

HTTP 메서드 및 URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

응답은 다음과 비슷합니다. 여기에서는 프로젝트 서비스 계정의 최근 사용 시간이 나열됩니다.

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    },
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-29T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "234567890123456789012"
        }
      }
    }
  ],
  "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_"
}

이러한 결과를 이해하는 방법은 이 페이지의 활동 이해를 참조하세요.

특정 서비스 계정의 최근 사용 보기

특정 서비스 계정이 마지막으로 사용된 날짜를 찾으려면 서비스 계정의 전체 리소스 이름을 사용하여 활동 분석기 결과를 필터링합니다.

gcloud

특정 서비스 계정의 최근 인증 활동을 가져오려면 필터와 함께 gcloud policy-intelligence query-activity 명령어를 사용합니다.

gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

다음 값을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트 ID입니다. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
  • FILTER: 사용을 확인할 서비스 계정의 전체 리소스 이름을 지정하는 필터입니다. 서비스 계정의 전체 리소스 이름에는 프로젝트 ID와 서비스 계정의 이메일 주소가 포함됩니다.

    단일 서비스 계정을 필터링하려면 다음 형식의 필터를 사용합니다.

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"
    

    여러 서비스 계정을 필터링하려면 OR을 사용하여 허용되는 전체 리소스 이름을 여러 개 지정합니다.

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"
    

    최대 10개의 서비스 계정을 필터링할 수 있습니다.

응답에서 서비스 계정의 최근 사용을 설명합니다.

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'

이러한 결과를 이해하는 방법은 이 페이지의 활동 이해를 참조하세요.

REST

Policy Analyzer API의 activities.query 메서드를 필터와 함께 사용하면 특정 서비스 계정의 최근 인증 활동을 가져올 수 있습니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트 ID 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
  • FILTER: 사용을 확인할 서비스 계정의 전체 리소스 이름을 지정하는 필터입니다.

    단일 서비스 계정을 필터링하려면 다음 형식의 필터를 사용합니다.

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22

    여러 서비스 계정을 필터링하려면 %20OR%20을 사용하여 허용되는 전체 리소스 이름을 여러 개 지정합니다.

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22

HTTP 메서드 및 URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

응답에서 서비스 계정의 최근 사용을 설명합니다.

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    }
  ]
}

특정 서비스 계정 키의 최근 사용량 보기

특정 서비스 계정 키가 마지막으로 사용된 날짜를 찾으려면 서비스 계정 키의 고유 ID를 찾은 후 해당 ID를 사용하여 활동 분석기 결과를 필터링합니다.

JSON 키 파일이 있는 경우 파일의 private_key_id 필드에서 서비스 계정 키의 고유 ID를 찾을 수 있습니다.

JSON 키 파일이 없는 경우 다음 단계에 따라 서비스 계정 키의 고유 ID를 찾을 수 있습니다.

Console

  1. Cloud Console에서 서비스 계정 페이지로 이동합니다.

    서비스 계정 페이지로 이동

  2. 키와 연결된 서비스 계정이 포함된 프로젝트를 선택합니다.

  3. 키와 연결된 서비스 계정의 이메일 주소를 클릭합니다.

  4. 탭을 클릭합니다.

  5. 키 ID 목록에서 키 ID를 찾고 복사합니다.

gcloud

  1. gcloud iam service-accounts keys list 명령어를 실행합니다. 여기서 SERVICE_ACCOUNT_EMAIL은 키가 연결된 서비스 계정의 이메일 주소로 바꿉니다.

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
    

    출력에는 각 키의 고유 ID, 생성 시간, 만료 시간을 포함하여 서비스 계정과 관련된 모든 사용자 생성 키 목록이 표시됩니다.

  2. 출력의 데이터를 사용하여 추적할 키를 식별하고 고유 ID를 복사합니다.

REST

  1. 서비스 계정 키를 나열합니다.

    Policy Analyzer API의 projects.serviceAccounts.keys.list 메서드는 서비스 계정의 모든 서비스 계정 키를 나열합니다.

    요청 데이터를 사용하기 전에 다음을 바꿉니다.

    • PROJECT_ID: Google Cloud 프로젝트 ID 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
    • SA_NAME: 키를 나열하려는 서비스 계정의 이름입니다.
    • KEY_TYPES: 선택사항. 응답에 포함할 키 유형의 쉼표로 구분된 목록입니다. 키 유형은 키가 사용자 관리(USER_MANAGED)인지 시스템 관리(SYSTEM_MANAGED)인지를 나타냅니다. 비워두면 모든 키가 반환됩니다.

    HTTP 메서드 및 URL:

    GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES

    요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

    다음과 비슷한 JSON 응답이 표시됩니다.

    {
      "keys": [
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c",
          "validAfterTime": "2020-03-04T17:39:47Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED"
        },
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8",
          "validAfterTime": "2020-03-31T23:50:09Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED"
        },
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e",
          "validAfterTime": "2020-05-17T18:58:13Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED"
        }
      ]
    }
    

  2. 응답의 메타데이터를 사용하여 추적할 키를 식별합니다. 그런 다음 name 필드 끝에서 키의 고유 ID를 복사합니다.

    name 필드의 형식은 다음과 같습니다.

    "name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
    

    키의 고유 ID는 keys/ 이후의 모든 문자입니다.

    예를 들어 다음 키 이름의 고유 ID는 0f561cc41650ff521899de2fd653bd3de08e2da4입니다.

    "name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"
    

서비스 계정 키의 고유 ID를 찾은 후 이 ID를 사용하여 활동 분석기의 결과를 필터링합니다.

gcloud

특정 서비스 계정 키의 최근 인증 활동을 가져오려면 필터와 함께 gcloud policy-intelligence query-activity 명령어를 사용합니다.

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

다음 값을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트 ID입니다. 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
  • FILTER: 사용을 확인할 서비스 계정 키의 전체 리소스 이름을 지정하는 필터입니다. 서비스 계정 키의 전체 리소스 이름에는 프로젝트 ID, 키와 연결된 서비스 계정의 이메일 주소, 키 ID가 포함됩니다.

    단일 서비스 계정 키를 필터링하려면 다음 형식의 필터를 사용합니다.

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
    

    여러 서비스 계정 키를 필터링하려면 OR을 사용하여 허용되는 전체 리소스 이름을 여러 개 지정합니다.

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"
    

    최대 10개의 서비스 계정 키를 필터링할 수 있습니다.

응답에서 서비스 계정 키의 최근 사용을 설명합니다.

---
activity:
  lastAuthenticatedTime: '2021-06-11T07:00:00Z'
  serviceAccountKey:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
    projectNumber: '232342569935'
    serviceAccountId: '103185812403937829397'
activityType: serviceAccountKeyLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-10T07:00:00Z'

이러한 결과를 이해하는 방법은 이 페이지의 활동 이해를 참조하세요.

REST

Policy Analyzer API의 activities.query 메서드를 필터와 함께 사용하면 특정 서비스 계정 키의 최근 인증 활동을 가져올 수 있습니다.

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • PROJECT_ID: Google Cloud 프로젝트 ID 프로젝트 ID는 my-project 같은 영숫자 문자열입니다.
  • FILTER: 사용을 확인할 서비스 계정 키의 전체 리소스 이름을 지정하는 필터입니다. 서비스 계정 키의 전체 리소스 이름에는 프로젝트 ID, 키와 연결된 서비스 계정의 이메일 주소, 키 ID가 포함됩니다.

    단일 서비스 계정 키를 필터링하려면 다음 형식의 필터를 사용합니다.

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22

    여러 서비스 계정 키를 필터링하려면 %20OR%20을 사용하여 허용되는 전체 리소스 이름을 여러 개 지정합니다.

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22

    최대 10개의 서비스 계정 키를 필터링할 수 있습니다.

HTTP 메서드 및 URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

응답에서 서비스 계정 키의 최근 사용을 설명합니다.

{
  "activities": [
    {
      "activity": {
        "lastAuthenticatedTime": "2021-06-11T07:00:00Z",
        "serviceAccountKey": {
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
          "projectNumber": "123456789012",
          "serviceAccountId": "123456789012345678901"
        }
      },
      "activityType": "serviceAccountKeyLastAuthentication",
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
      "observationPeriod": {
        "endTime": "2021-07-06T07:00:00Z",
        "startTime": "2020-04-20T07:00:00Z"
      }
    }
  ]
}

이러한 결과를 이해하는 방법은 이 페이지의 활동 이해를 참조하세요.

활동 이해

활동 분석기에서 결과를 활동 목록으로 보고합니다. 활동에는 다음과 같은 필드가 있습니다.

  • fullResourceName: 활동이 보고되는 서비스 계정 또는 서비스 계정 키의 전체 리소스 이름입니다. 이 형식은 다음 섹션과 전체 리소스 이름에 설명되어 있습니다.
  • activityType: 보고되는 활동 유형입니다. 최근 서비스 계정 인증 활동의 경우 값이 serviceAccountLastAuthentication입니다. 최근 서비스 계정 키 인증 활동은 값이 serviceAccountKeyLastAuthentication입니다.
  • observationPeriod: 활동에서 서비스 계정 또는 키가 관찰된 기간을 나타내는 시작 및 종료 시간입니다. 이 타임스탬프의 시간은 항상 T07:00:00Z입니다.
  • activity: 활동의 세부정보입니다. 이 필드의 콘텐츠는 활동 유형에 따라 다릅니다. 자세한 내용은 다음 섹션을 참조하세요.

서비스 계정 활동 세부정보

serviceAccountLastAuthentication 활동의 activity 필드에는 다음 필드가 포함됩니다.

  • serviceAccount: 다음을 포함한 활동이 보고되는 서비스 계정에 대한 세부정보입니다.

    • fullResourceName: 서비스 계정의 전체 리소스 이름이며 형식은 //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL입니다.
    • projectNumber: 서비스 계정을 소유하는 프로젝트의 숫자 ID입니다.
    • serviceAccountId: 서비스 계정의 숫자 ID입니다.
  • lastAuthenticatedTime: 최근 인증 이벤트가 발생한 날짜를 나타내는 타임스탬프입니다. 이 타임스탬프의 시간은 인증 이벤트의 정확한 시간에 관계없이 항상 T07:00:00Z입니다.

    사용한 적이 없는 서비스 계정에는 이 필드가 포함되지 않습니다.

서비스 계정 키 활동 세부정보

serviceAccountKeyLastAuthentication 활동의 activity 필드에는 다음 필드가 포함됩니다.

  • serviceAccountKey: 다음을 포함한 활동이 보고되는 서비스 계정 키에 대한 세부정보입니다.

    • fullResourceName: 서비스 계정 키의 전체 리소스 이름이며 형식은 //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID입니다.
    • projectNumber: 키가 연결된 서비스 계정을 소유하는 프로젝트의 숫자 ID입니다.
    • serviceAccountId: 키가 연결된 서비스 계정의 숫자 ID입니다.
  • lastAuthenticatedTime: 최근 인증 이벤트가 발생한 날짜를 나타내는 타임스탬프입니다. 이 타임스탬프의 시간은 인증 이벤트의 정확한 시간에 관계없이 항상 T07:00:00Z입니다.

    사용한 적이 없는 서비스 계정 키에는 이 필드가 포함되지 않습니다.

다음 단계