Ver o uso recente de contas de serviço e chaves

Esta página mostra como usar o Activity Analyzer para ver quando suas contas de serviço e chaves foram usadas pela última vez para chamar uma API do Google. Esses usos são chamados de atividades de autenticação.

As atividades de autenticação incluem sempre que uma conta de serviço ou chave é usada para chamar qualquer API do Google, incluindo APIs que não fazem parte do Google Cloud. As atividades de autenticação incluem chamadas de API bem-sucedidas e com falha. Por exemplo, se uma chamada de API falhar porque o autor da chamada não está autorizado a chamar essa API ou porque a solicitação faz referência a um recurso inexistente, a ação ainda conta como uma atividade de autenticação para a conta de serviço ou chave usada para essa chamada de API.

As atividades de autenticação para chaves da conta de serviço também incluem sempre que um sistema lista as chaves ao tentar autenticar uma solicitação, mesmo que o sistema não use a chave para autenticar a solicitação. Esse comportamento é mais comum ao usar URLs assinados para o Cloud Storage ou ao autenticar aplicativos de terceiros.

O Activity Analyzer informa a data da atividade de autenticação mais recente. A data é determinada com base no horário padrão do Pacífico dos EUA e do Canadá (UTC-8), mesmo quando o horário de verão do Pacífico está em vigor. Se você precisar do horário específico da atividade ou quiser rastrear padrões de uso ao longo do tempo, use o Monitoring para visualizar métricas de uso para todas as contas de serviço e chaves.

A atividade de autenticação recente pode ajudar a identificar as contas de serviço e as chaves de contas de serviço que você não usa mais. Recomendamos desativar ou excluir essas contas de serviço e chaves não usadas porque elas criam um risco de segurança desnecessário.

Antes de começar

Ative a API Policy Analyzer.

Ative a API

Permissões necessárias

Para listar as atividades de autenticação mais recentes para suas contas de serviço e chaves de contas de serviço, você precisa de um papel que inclua as seguintes permissões:

  • policyanalyzer.serviceAccountLastAuthenticationActivities.query
  • policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query

Para obter essas permissões seguindo o princípio do privilégio mínimo, peça ao administrador que conceda a você o papel de visualizador de análise de atividades (roles/policyanalyzer.activityAnalysisViewer).

Como alternativa, o administrador pode conceder a você um papel diferente que inclua as permissões necessárias, como um papel personalizado ou um papel predefinido mais permissivo.

Ver o uso recente de todas as contas de serviço ou chaves

Para visualizar o uso recente das suas contas de serviço ou chaves de conta de serviço, use o Activity Analyzer para listar as datas das atividades de autenticação mais recentes.

gcloud

Para listar as atividades de autenticação mais recentes para suas contas de serviço ou chaves, use o comando gcloud policy-intelligence query-activity:

gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \
    --project=PROJECT_ID --limit=LIMIT

Substitua os seguintes valores:

  • ACTIVITY_TYPE: o tipo de atividade que você quer listar. Para listar os horários de uso mais recentes das suas contas de serviço, use serviceAccountLastAuthentication. Para listar os horários de uso mais recentes das chaves da sua conta de serviço, use serviceAccountKeyLastAuthentication.
  • PROJECT_ID pelo ID do projeto no Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
  • LIMIT: opcional. O número máximo de resultados a serem retornados. O valor padrão é 1000.

A resposta será semelhante ao seguinte, que lista os tempos de uso recentes das contas de serviço de um projeto:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'
---
activity:
  lastAuthenticatedTime: '2021-02-09T08:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-01T07:00:00Z'

Para saber como entender esses resultados, consulte Entender as atividades nesta página.

REST

O método activities.query da API Policy Analyzer lista as atividades de autenticação mais recentes para suas contas de serviço ou chaves.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
  • ACTIVITY_TYPE: o tipo de atividade que você quer listar. Para listar os usos mais recentes de todas as contas de serviço, use serviceAccountLastAuthentication. Para listar os usos mais recentes de todas as chaves de conta de serviço, use serviceAccountKeyLastAuthentication.
  • PAGE_SIZE: opcional. O número máximo de resultados a serem retornados a partir dessa solicitação. Se não especificado, o servidor determinará o número de resultados a serem retornados. Se o número de atividades for maior que o tamanho da página, a resposta conterá um token de paginação que é possível usar para recuperar a próxima página de resultados.
  • PAGE_TOKEN: opcional. O token de paginação retornado em uma resposta anterior desse método. Se especificado, a lista de atividades começará onde a solicitação anterior foi finalizada.

Método HTTP e URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Para enviar a solicitação, expanda uma destas opções:

A resposta será semelhante ao seguinte, que lista os tempos de uso recentes das contas de serviço de um projeto:

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    },
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-29T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "234567890123456789012"
        }
      }
    }
  ],
  "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_"
}

Para saber como entender esses resultados, consulte Entender as atividades nesta página.

Ver o uso recente de contas de serviço específicas

Para encontrar a data mais recente de uso de contas de serviço específicas, filtre os resultados do Activity Analyzer usando os nomes completos dos recursos das contas de serviço.

gcloud

Para ver a atividade de autenticação mais recente para as contas de serviço específicas, use o comando gcloud policy-intelligence query-activity com um filtro:

gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Substitua os seguintes valores:

  • PROJECT_ID pelo ID do projeto no Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
  • FILTER: um filtro que especifica os nomes completos dos recursos das contas de serviço cujo o uso você quer ver. O nome completo do recurso de uma conta de serviço inclui o ID do projeto e o endereço de e-mail da conta de serviço.

    Para filtrar por uma única conta de serviço, use um filtro com o seguinte formato:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"
    

    Para filtrar várias contas de serviço, use OR para especificar vários nomes de recursos completos aceitáveis:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"
    

    É possível filtrar por até 10 contas de serviço.

A resposta descreve o uso mais recente das contas de serviço:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'

Para saber como entender esses resultados, consulte Entender as atividades nesta página.

REST

O método activities.query da API Policy Analyzer , quando usado com um filtro, recebe a atividade de autenticação mais recente para as contas de serviço específicas.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
  • FILTER: um filtro que especifica os nomes completos dos recursos das contas de serviço cujo o uso você quer ver.

    Para filtrar por uma única conta de serviço, use um filtro com o seguinte formato:

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22

    Para filtrar várias contas de serviço, use %20OR%20 para especificar vários nomes de recursos completos aceitáveis:

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22

Método HTTP e URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER

Para enviar a solicitação, expanda uma destas opções:

A resposta descreve o uso mais recente das contas de serviço:

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    }
  ]
}

Ver o uso recente das chaves de contas de serviço específicas

Para encontrar a última data em que chaves específicas da conta de serviço foram usadas, encontre os IDs exclusivos para as chaves da conta de serviço e, em seguida, filtre os resultados do Activity Analyzer usando esses IDs.

Se você tiver um arquivo de chave JSON, poderá encontrar o ID exclusivo da chave da conta de serviço no campo private_key_id do arquivo.

Se você não tiver um arquivo de chave JSON, siga estas etapas para encontrar o ID exclusivo da chave da conta de serviço:

Console

  1. No Console do Cloud, acesse a página Contas de serviço:

    Acessar a página "Contas de serviço"

  2. Selecione o projeto que contém a conta de serviço associada à sua chave.

  3. Clique no endereço de e-mail da conta de serviço associada à sua chave.

  4. Clique na guia Chaves.

  5. Encontre e copie o ID da chave na lista.

gcloud

  1. Execute o comando gcloud iam service-accounts keys list, substituindo SERVICE_ACCOUNT_EMAIL pelo endereço de e-mail da conta de serviço a que a chave está associada:

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
    

    A saída mostra uma lista de todas as chaves criadas pelo usuário associadas à conta de serviço, incluindo o ID exclusivo de cada chave, o horário de criação e o prazo de validade.

  2. Use os dados na saída para identificar a chave que você quer rastrear e copiar o ID exclusivo dela.

REST

  1. Liste as chaves da conta de serviço:

    O método projects.serviceAccounts.keys.list da API Policy Analyzer lista todas as chaves de uma conta de serviço.

    Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

    • PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
    • SA_NAME: o nome da conta de serviço cujas chaves você quer listar.
    • KEY_TYPES: opcional. Uma lista separada por vírgulas dos tipos de chave que você quer incluir na resposta. O tipo de chave indica se uma chave é gerenciada pelo usuário (USER_MANAGED) ou pelo sistema (SYSTEM_MANAGED). Se deixado em branco, todas as chaves são retornadas.

    Método HTTP e URL:

    GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES

    Para enviar a solicitação, expanda uma destas opções:

    Você receberá uma resposta JSON semelhante a esta:

    {
      "keys": [
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c",
          "validAfterTime": "2020-03-04T17:39:47Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED"
        },
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8",
          "validAfterTime": "2020-03-31T23:50:09Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED"
        },
        {
          "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e",
          "validAfterTime": "2020-05-17T18:58:13Z",
          "validBeforeTime": "9999-12-31T23:59:59Z",
          "keyAlgorithm": "KEY_ALG_RSA_2048",
          "keyOrigin": "GOOGLE_PROVIDED",
          "keyType": "USER_MANAGED",
          "disabled": true
        }
      ]
    }
    

  2. Use os metadados na resposta para identificar a chave que você quer rastrear. Em seguida, copie o ID exclusivo da chave no final do campo name.

    O campo name tem o seguinte formato:

    "name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
    

    O ID exclusivo da chave é tudo o que vem depois de keys/.

    Por exemplo, o ID exclusivo no seguinte nome de chave é 0f561cc41650ff521899de2fd653bd3de08e2da4:

    "name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"
    

Depois de encontrar os IDs exclusivos para as chaves da conta de serviço, use os IDs para filtrar os resultados do Activity Analyzer:

gcloud

Para ver a atividade de autenticação mais recente para chaves de contas de serviço específicas, use o comando gcloud policy-intelligence query-activity com um filtro:

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Substitua os seguintes valores:

  • PROJECT_ID pelo ID do projeto no Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
  • FILTER: um filtro que especifica os nomes completos dos recursos das chaves da conta de serviço cujo uso você quer ver. O nome completo do recurso de uma chave de conta de serviço inclui o ID do projeto, o endereço de e-mail da conta de serviço associada à chave e o ID da chave.

    Para filtrar uma única chave de conta de serviço, use um filtro com o seguinte formato:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
    

    Para filtrar várias chaves da conta de serviço, use OR para especificar vários nomes de recursos completos aceitáveis:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"
    

    É possível filtrar até 10 chaves da conta de serviço.

A resposta descreve o uso mais recente das chaves da conta de serviço:

---
activity:
  lastAuthenticatedTime: '2021-06-11T07:00:00Z'
  serviceAccountKey:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
    projectNumber: '232342569935'
    serviceAccountId: '103185812403937829397'
activityType: serviceAccountKeyLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-10T07:00:00Z'

Para saber como entender esses resultados, consulte Entender as atividades nesta página.

REST

O método activities.query da API Policy Analyzer , quando usado com um filtro, recebe a atividade de autenticação mais recente para as chaves das contas de serviço específicas.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

  • PROJECT_ID: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, como my-project.
  • FILTER: um filtro que especifica os nomes completos dos recursos das chaves da conta de serviço cujo uso você quer ver. O nome completo do recurso de uma chave de conta de serviço inclui o ID do projeto, o endereço de e-mail da conta de serviço associada à chave e o ID da chave.

    Para filtrar uma única chave de conta de serviço, use um filtro com o seguinte formato:

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22

    Para filtrar várias chaves da conta de serviço, use %20OR%20 para especificar vários nomes de recursos completos aceitáveis:

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22

    É possível filtrar até 10 chaves da conta de serviço.

Método HTTP e URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER

Para enviar a solicitação, expanda uma destas opções:

A resposta descreve o uso mais recente das chaves da conta de serviço:

{
  "activities": [
    {
      "activity": {
        "lastAuthenticatedTime": "2021-06-11T07:00:00Z",
        "serviceAccountKey": {
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
          "projectNumber": "123456789012",
          "serviceAccountId": "123456789012345678901"
        }
      },
      "activityType": "serviceAccountKeyLastAuthentication",
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
      "observationPeriod": {
        "endTime": "2021-07-06T07:00:00Z",
        "startTime": "2020-04-20T07:00:00Z"
      }
    }
  ]
}

Para saber como entender esses resultados, consulte Entender as atividades nesta página.

Entender as atividades

O Activity Analyzer informa os resultados como uma lista de atividades. As atividades têm os seguintes campos:

  • fullResourceName: o nome completo do recurso da conta de serviço ou chave da conta de serviço cuja atividade está sendo relatada. Esse formato é descrito nas seções a seguir e em Nomes de recursos completos.
  • activityType: o tipo de atividade que está sendo informada. Para atividades recentes de autenticação de conta de serviço, o valor é serviceAccountLastAuthentication. Para as atividades recentes de autenticação de chave da conta de serviço, o valor é serviceAccountKeyLastAuthentication.
  • observationPeriod: horários de início e término que indicam o período em que a conta de serviço ou a chave foi observada para a atividade. A hora nesses carimbos de data/hora é sempre T07:00:00Z.
  • activity: os detalhes da atividade. O conteúdo desse campo varia com base no tipo de atividade. Consulte as seções a seguir para mais detalhes.

Detalhes das atividades da conta de serviço

O campo activity para atividades serviceAccountLastAuthentication contém os seguintes campos:

  • serviceAccount: detalhes sobre a conta de serviço cuja atividade está sendo informada, incluindo:

    • fullResourceName: o nome completo do recurso da conta de serviço, no formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
    • projectNumber: o ID numérico do projeto proprietário da conta de serviço.
    • serviceAccountId: o ID numérico exclusivo da conta de serviço.
  • lastAuthenticatedTime: um carimbo de data/hora que representa a data em que o evento de autenticação mais recente ocorreu. A hora nesse carimbo de data/hora é sempre T07:00:00Z, independentemente da hora exata do evento de autenticação.

    Este campo não está incluído nas contas de serviço que nunca foram usadas.

Detalhes das principais atividades da conta de serviço

O campo activity das atividades serviceAccountKeyLastAuthentication contém os seguintes campos:

  • serviceAccountKey: detalhes sobre a chave da conta de serviço cuja atividade está sendo relatada, incluindo o seguinte:

    • fullResourceName: o nome completo do recurso da chave da conta de serviço, no formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
    • projectNumber: o ID numérico do projeto que possui a conta de serviço à qual a chave está associada.
    • serviceAccountId: o ID numérico da conta de serviço à qual a chave está associada.
  • lastAuthenticatedTime: um carimbo de data/hora que representa a data em que o evento de autenticação mais recente ocorreu. A hora nesse carimbo de data/hora é sempre T07:00:00Z, independentemente da hora exata do evento de autenticação.

    Este campo não está incluído nas chaves das contas de serviço que nunca foram usadas.

A seguir