Esta página mostra como usar o Activity Analyzer para ver quando suas contas de serviço e chaves foram usadas pela última vez para chamar uma API do Google. Esses usos são chamados de atividades de autenticação.
A atividade de autenticação recente pode ajudar a identificar as contas de serviço e as chaves de conta de serviço que você não usa mais. Recomendamos desativar ou excluir essas contas de serviço e chaves não usadas porque elas criam um risco de segurança desnecessário.
Antes de começar
- Entenda as atividades de autenticação.
-
Enable the Policy Analyzer API.
Funções exigidas
Para receber as permissões necessárias para listar as atividades de autenticação mais recentes das
contas de serviço e das chaves da conta de serviço,
peça ao administrador que conceda a você o
papel de IAM de Leitor de análise de atividades (roles/policyanalyzer.activityAnalysisViewer
) no projeto.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esse papel predefinido contém as permissões necessárias para listar as atividades de autenticação mais recentes das contas de serviço e das chaves de conta de serviço. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As permissões a seguir são necessárias para listar as atividades de autenticação mais recentes das contas de serviço e das chaves de conta de serviço:
-
policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query
-
policyanalyzer.serviceAccountLastAuthenticationActivities.query
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Ver o uso recente de todas as contas de serviço ou chaves
Para listar as datas das atividades de autenticação mais recentes de todas as contas de serviço ou chaves de conta de serviço, use a Google Cloud CLI ou a API REST.
gcloud
Para listar as atividades de autenticação mais recentes para suas contas de serviço ou
chaves, use o comando gcloud policy-intelligence query-activity
:
gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \ --project=PROJECT_ID --limit=LIMIT
Substitua os seguintes valores:
ACTIVITY_TYPE
: o tipo de atividade que você quer listar. Para listar os horários de uso mais recentes das suas contas de serviço, useserviceAccountLastAuthentication
. Para listar os horários de uso mais recentes das chaves da sua conta de serviço, useserviceAccountKeyLastAuthentication
.PROJECT_ID
pelo ID do projeto no Google Cloud. Os IDs do projeto são strings alfanuméricas, comomy-project
.LIMIT
: opcional. O número máximo de resultados a serem retornados. O valor padrão é1000
.
A resposta será semelhante ao seguinte, que lista os tempos de uso recentes das contas de serviço de um projeto:
---
activity:
lastAuthenticatedTime: '2021-04-27T07:00:00Z'
serviceAccount:
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
projectNumber: '123456789012'
serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
endTime: '2021-07-06T07:00:00Z'
startTime: '2020-03-12T07:00:00Z'
---
activity:
lastAuthenticatedTime: '2021-02-09T08:00:00Z'
serviceAccount:
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
projectNumber: '123456789012'
serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
endTime: '2021-07-06T07:00:00Z'
startTime: '2020-09-01T07:00:00Z'
Para saber como entender esses resultados, consulte Entender as atividades nesta página.
REST
Para listar as atividades de autenticação mais recentes para suas contas de serviço ou chaves, use o método
activities.query
da API Policy Analyzer.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
PROJECT_ID
: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, comomy-project
.ACTIVITY_TYPE
: o tipo de atividade que você quer listar. Para listar os usos mais recentes de todas as contas de serviço, useserviceAccountLastAuthentication
. Para listar os usos mais recentes de todas as chaves de conta de serviço, useserviceAccountKeyLastAuthentication
.-
PAGE_SIZE
: opcional. O número máximo de resultados a serem retornados a partir dessa solicitação. Se não especificado, o servidor determinará o número de resultados a serem retornados. Se o número de atividades for maior que o tamanho da página, a resposta conterá um token de paginação que é possível usar para recuperar a próxima página de resultados. -
PAGE_TOKEN
: opcional. O token de paginação retornado em uma resposta anterior desse método. Se especificado, a lista de atividades começará onde a solicitação anterior foi finalizada.
Método HTTP e URL:
GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Para enviar a solicitação, expanda uma destas opções:
A resposta será semelhante ao seguinte, que lista os tempos de uso recentes das contas de serviço de um projeto:
{ "activities": [ { "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com", "activityType": "serviceAccountLastAuthentication", "observationPeriod": { "startTime": "2020-04-20T07:00:00Z", "endTime": "2021-05-17T07:00:00Z" }, "activity": { "lastAuthenticatedTime": "2021-04-28T07:00:00Z", "serviceAccount": { "projectNumber": "123456789012", "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com", "serviceAccountId": "123456789012345678901" } } }, { "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com", "activityType": "serviceAccountLastAuthentication", "observationPeriod": { "startTime": "2020-04-20T07:00:00Z", "endTime": "2021-05-17T07:00:00Z" }, "activity": { "lastAuthenticatedTime": "2021-04-29T07:00:00Z", "serviceAccount": { "projectNumber": "123456789012", "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com", "serviceAccountId": "234567890123456789012" } } } ], "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_" }
Para saber como entender esses resultados, consulte Entender as atividades nesta página.
Ver o uso recente de contas de serviço específicas
Para encontrar a última data em que contas de serviço específicas foram usadas, use o console do Google Cloud, a CLI gcloud ou a API REST.
Console
No console do Google Cloud, acesse a página Policy Analyzer.
Em Analisar atividade recente, encontre o painel Quando foi a última vez que essa conta de serviço foi usada? e clique em Criar consulta nesse painel.
Na caixa Selecionar escopo da consulta, insira o nome do projeto cujas contas de serviço você quer analisar.
Na seção Adicionar contas de serviço, clique na caixa Conta de serviço. Uma lista de todas as contas de serviço no seu projeto vai aparecer. A lista também inclui o projeto ao qual cada conta de serviço está associada e o endereço de e-mail de cada conta de serviço.
Selecione a conta de serviço que você quer consultar.
Opcional: para conferir o uso recente de mais de uma conta de serviço, clique em Adicionar conta e selecione outra conta de serviço. É possível analisar até 10 contas de serviço por vez.
No painel Consultar atividades de acesso, clique em Executar consulta.
A página de resultados mostra o uso mais recente das contas de serviço. Para saber como entender esses resultados, consulte Entender as atividades nesta página.
gcloud
Para ver a atividade de autenticação mais recente para as contas de serviço específicas,
use o comando gcloud policy-intelligence query-activity
com um filtro:
gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \ --project=PROJECT_ID \ --query-filter='FILTER'
Substitua os seguintes valores:
PROJECT_ID
pelo ID do projeto no Google Cloud. Os IDs do projeto são strings alfanuméricas, comomy-project
.FILTER
: um filtro que especifica os nomes completos dos recursos das contas de serviço cujo o uso você quer ver. O nome completo do recurso de uma conta de serviço inclui o ID do projeto e o endereço de e-mail da conta de serviço.Para filtrar por uma única conta de serviço, use um filtro com o seguinte formato:
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"
Para filtrar várias contas de serviço, use
OR
para especificar vários nomes de recursos completos aceitáveis:activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"
É possível filtrar por até 10 contas de serviço.
A resposta descreve o uso mais recente das contas de serviço:
---
activity:
lastAuthenticatedTime: '2021-04-27T07:00:00Z'
serviceAccount:
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
projectNumber: '123456789012'
serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
endTime: '2021-07-06T07:00:00Z'
startTime: '2020-03-12T07:00:00Z'
Para saber como entender esses resultados, consulte Entender as atividades nesta página.
REST
Para conferir a atividade de autenticação mais recente para contas de serviço específicas, use o método
activities.query
da API Policy Analyzer.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
PROJECT_ID
: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, comomy-project
.FILTER
: um filtro que especifica os nomes completos dos recursos das contas de serviço cujo o uso você quer ver.Para filtrar por uma única conta de serviço, use um filtro com o seguinte formato:
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22
Para filtrar várias contas de serviço, use
%20OR%20
para especificar vários nomes de recursos completos aceitáveis:activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22
Método HTTP e URL:
GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER
Para enviar a solicitação, expanda uma destas opções:
A resposta descreve o uso mais recente das contas de serviço:
{ "activities": [ { "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com", "activityType": "serviceAccountLastAuthentication", "observationPeriod": { "startTime": "2020-04-20T07:00:00Z", "endTime": "2021-05-17T07:00:00Z" }, "activity": { "lastAuthenticatedTime": "2021-04-28T07:00:00Z", "serviceAccount": { "projectNumber": "123456789012", "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com", "serviceAccountId": "123456789012345678901" } } } ] }
Ver o uso recente das chaves de contas de serviço específicas
Para encontrar a última data em que chaves específicas da conta de serviço foram usadas, identifique a chave da conta de serviço que você quer consultar o uso recente e crie uma consulta usando esse ID.
Se você tiver um arquivo de chave JSON, poderá encontrar o ID exclusivo da chave da conta de serviço
no campo private_key_id
do arquivo.
Se você não tiver um arquivo de chave JSON, siga estas etapas para encontrar o ID exclusivo da chave da conta de serviço:
Console
No console do Google Cloud, acesse a página Policy Analyzer.
Em Analisar atividade recente, encontre o painel Quando foi a última vez que essa chave da conta de serviço foi usada? e clique em Criar consulta nesse painel.
Na caixa Selecionar escopo da consulta, insira o nome do projeto com as chaves de conta de serviço que você quer analisar.
Na seção Adicionar chave da conta de serviço, clique na caixa Chave da conta de serviço. Uma lista de todas as chaves de conta de serviço no seu projeto vai aparecer. A lista também inclui o projeto e a conta de serviço com que cada chave está associada.
Selecione a chave para conferir o uso recente.
Opcional: para conferir o uso recente de mais de uma chave, clique em Adicionar chave e selecione outra chave. É possível analisar até 10 chaves por vez.
No painel Consultar atividades de acesso, clique em Executar consulta.
A página de resultados mostra o uso mais recente das chaves da conta de serviço. Para saber como entender esses resultados, consulte Entender as atividades nesta página.
gcloud
Primeiro, identifique a chave da conta de serviço para a qual você quer conferir o uso recente:
Liste as chaves da conta de serviço.
Antes de usar os dados do comando abaixo, faça estas substituições:
-
SERVICE_ACCOUNT_EMAIL
: o endereço de e-mail da conta de serviço a que a chave está associada.
Execute o comando gcloud iam service-accounts keys list:
Linux, macOS ou Cloud Shell
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
Windows (PowerShell)
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
Windows (cmd.exe)
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
A saída mostra uma lista de todas as chaves criadas pelo usuário associadas à conta de serviço, incluindo o ID exclusivo de cada chave, o horário de criação e o prazo de validade.
-
Use os dados na saída para identificar a chave que você quer rastrear e copiar o ID exclusivo dela.
Depois de encontrar os IDs exclusivos para as chaves da conta de serviço, use os IDs para filtrar os resultados do Activity Analyzer:
Para ver a atividade de autenticação mais recente para chaves de contas de serviço
específicas, use o comando gcloud policy-intelligence query-activity
com um filtro.
Antes de usar os dados do comando abaixo, faça estas substituições:
PROJECT_ID
: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, comomy-project
.-
FILTER
: um filtro que especifica os nomes completos dos recursos das chaves da conta de serviço cujo uso você quer ver. O nome completo do recurso de uma chave de conta de serviço inclui o ID do projeto, o endereço de e-mail da conta de serviço associada à chave e o ID da chave.Para filtrar uma única chave de conta de serviço, use um filtro com o seguinte formato:
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
Para filtrar várias chaves da conta de serviço, use
OR
para especificar vários nomes de recursos completos aceitáveis:activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"
É possível filtrar até 10 chaves da conta de serviço.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \ --project=PROJECT_ID \ --query-filter='FILTER'
Windows (PowerShell)
gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ` --project=PROJECT_ID ` --query-filter='FILTER'
Windows (cmd.exe)
gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ^ --project=PROJECT_ID ^ --query-filter='FILTER'
Você receberá uma resposta semelhante a esta:
activity: lastAuthenticatedTime: '2021-06-11T07:00:00Z' serviceAccountKey: fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c projectNumber: '232342569935' serviceAccountId: '103185812403937829397' activityType: serviceAccountKeyLastAuthentication fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c observationPeriod: endTime: '2021-07-06T07:00:00Z' startTime: '2020-09-10T07:00:00Z'
A resposta descreve o uso mais recente das chaves da conta de serviço. Para saber como entender esses resultados, consulte Entender as atividades nesta página.
REST
Primeiro, identifique a chave da conta de serviço para a qual você quer conferir o uso recente:
Liste as chaves da conta de serviço:
Para listar todas as chaves de uma conta de serviço, use o método
projects.serviceAccounts.keys.list
da API IAM.Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
PROJECT_ID
: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, comomy-project
.SA_NAME
: o nome da conta de serviço cujas chaves você quer listar.KEY_TYPES
: opcional. Uma lista separada por vírgulas dos tipos de chave que você quer incluir na resposta. O tipo de chave indica se uma chave é gerenciada pelo usuário (USER_MANAGED
) ou pelo sistema (SYSTEM_MANAGED
). Se deixado em branco, todas as chaves são retornadas.
Método HTTP e URL:
GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES
Para enviar a solicitação, expanda uma destas opções:
A resposta descreve o uso mais recente das chaves da conta de serviço:
{ "keys": [ { "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c", "validAfterTime": "2020-03-04T17:39:47Z", "validBeforeTime": "9999-12-31T23:59:59Z", "keyAlgorithm": "KEY_ALG_RSA_2048", "keyOrigin": "GOOGLE_PROVIDED", "keyType": "USER_MANAGED" }, { "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8", "validAfterTime": "2020-03-31T23:50:09Z", "validBeforeTime": "9999-12-31T23:59:59Z", "keyAlgorithm": "KEY_ALG_RSA_2048", "keyOrigin": "GOOGLE_PROVIDED", "keyType": "USER_MANAGED" }, { "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e", "validAfterTime": "2020-05-17T18:58:13Z", "validBeforeTime": "9999-12-31T23:59:59Z", "keyAlgorithm": "KEY_ALG_RSA_2048", "keyOrigin": "GOOGLE_PROVIDED", "keyType": "USER_MANAGED", "disabled": true } ] }
Use os metadados na resposta para identificar a chave que você quer rastrear. Em seguida, copie o ID exclusivo da chave no final do campo
name
.O campo
name
tem o seguinte formato:"name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
O ID exclusivo da chave é tudo o que vem depois de
keys/
.Por exemplo, o ID exclusivo no seguinte nome de chave é
0f561cc41650ff521899de2fd653bd3de08e2da4
:"name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"
Depois de encontrar os IDs exclusivos para as chaves da conta de serviço, use os IDs para filtrar os resultados do Activity Analyzer:
Para conferir a atividade de autenticação mais recente para chaves de conta de serviço específicas, use o método
activities.query
da API Policy Analyzer.
Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:
PROJECT_ID
: o ID do projeto do Google Cloud. Os IDs do projeto são strings alfanuméricas, comomy-project
.-
FILTER
: um filtro que especifica os nomes completos dos recursos das chaves da conta de serviço cujo uso você quer ver. O nome completo do recurso de uma chave de conta de serviço inclui o ID do projeto, o endereço de e-mail da conta de serviço associada à chave e o ID da chave.Para filtrar uma única chave de conta de serviço, use um filtro com o seguinte formato:
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22
Para filtrar várias chaves da conta de serviço, use
%20OR%20
para especificar vários nomes de recursos completos aceitáveis:activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22
É possível filtrar até 10 chaves da conta de serviço.
Método HTTP e URL:
GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER
Para enviar a solicitação, expanda uma destas opções:
A resposta descreve o uso mais recente das chaves da conta de serviço:
{ "activities": [ { "activity": { "lastAuthenticatedTime": "2021-06-11T07:00:00Z", "serviceAccountKey": { "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c", "projectNumber": "123456789012", "serviceAccountId": "123456789012345678901" } }, "activityType": "serviceAccountKeyLastAuthentication", "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c", "observationPeriod": { "endTime": "2021-07-06T07:00:00Z", "startTime": "2020-04-20T07:00:00Z" } } ] }
Para saber como entender esses resultados, consulte Entender as atividades nesta página.
Entender as atividades
Console
A página de resultados da consulta lista os parâmetros e os resultados da consulta.
Para uma consulta de conta de serviço, a tabela de resultados lista cada conta de serviço da consulta e quando ela foi autenticada pela última vez:
Para uma consulta de chave de conta de serviço, a tabela de resultados lista cada chave da conta de serviço da consulta, a conta de serviço associada a ela e a última vez que ela foi autenticada.
Os resultados podem não incluir eventos de autenticação muito recentes. Confira a caixa de informações para ver o intervalo de datas exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora desse intervalo.
A tabela de resultados das duas consultas também lista os papéis do IAM que a conta de serviço tem no projeto, além de insights de segurança. Esses insights destacam padrões na maneira como as contas de serviço acessam recursos. Por exemplo, alguns insights destacam as permissões em excesso ou as permissões que um membro não precisa. Outros insights destacam contas de serviço com permissões de movimento lateral ou permissões que permitem que a conta de serviço represente uma conta de serviço em outro projeto.
Alguns insights também vêm com recomendações de papéis que sugerem mudanças que você pode fazer para reduzir o excesso de permissões. Para saber como gerenciar recomendações e insights, consulte Analisar e aplicar recomendações.
gcloud
O Activity Analyzer informa os resultados como uma lista de atividades. As atividades têm os seguintes campos:
fullResourceName
: o nome completo do recurso da conta de serviço ou chave da conta de serviço cuja atividade está sendo relatada. Esse formato é descrito nas seções a seguir e em Nomes de recursos completos.activityType
: o tipo de atividade que está sendo informada. Para atividades recentes de autenticação de conta de serviço, o valor éserviceAccountLastAuthentication
. Para as atividades recentes de autenticação de chave da conta de serviço, o valor éserviceAccountKeyLastAuthentication
.observationPeriod
: horários de início e término que indicam o período em que a conta de serviço ou a chave foi observada para a atividade. A hora nesses carimbos de data/hora é sempreT07:00:00Z
.activity
: os detalhes da atividade. O conteúdo desse campo varia com base no tipo de atividade. Consulte as seções a seguir para mais detalhes.
Detalhes das atividades da conta de serviço
O campo activity
para atividades serviceAccountLastAuthentication
contém
os seguintes campos:
serviceAccount
: detalhes sobre a conta de serviço cuja atividade está sendo informada, incluindo:fullResourceName
: o nome completo do recurso da conta de serviço, no formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL
.projectNumber
: o ID numérico do projeto proprietário da conta de serviço.serviceAccountId
: o ID numérico exclusivo da conta de serviço.
lastAuthenticatedTime
: um carimbo de data/hora que representa a data em que o evento de autenticação mais recente ocorreu. A hora nesse carimbo de data/hora é sempreT07:00:00Z
, independentemente da hora exata do evento de autenticação.Os resultados podem não incluir eventos de autenticação muito recentes. Verifique o
observationPeriod
para saber o intervalo de datas exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora desse intervalo.Este campo não está incluído nas contas de serviço que nunca foram usadas.
Detalhes das principais atividades da conta de serviço
O campo activity
das atividades serviceAccountKeyLastAuthentication
contém os seguintes campos:
serviceAccountKey
: detalhes sobre a chave da conta de serviço cuja atividade está sendo relatada, incluindo o seguinte:fullResourceName
: o nome completo do recurso da chave da conta de serviço, no formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID
.projectNumber
: o ID numérico do projeto que possui a conta de serviço à qual a chave está associada.serviceAccountId
: o ID numérico da conta de serviço à qual a chave está associada.
lastAuthenticatedTime
: um carimbo de data/hora que representa a data em que o evento de autenticação mais recente ocorreu. A hora nesse carimbo de data/hora é sempreT07:00:00Z
, independentemente da hora exata do evento de autenticação.Os resultados podem não incluir eventos de autenticação muito recentes. Verifique o
observationPeriod
para saber o intervalo de datas exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora desse intervalo.Este campo não está incluído nas chaves das contas de serviço que nunca foram usadas.
REST
O Activity Analyzer informa os resultados como uma lista de atividades. As atividades têm os seguintes campos:
fullResourceName
: o nome completo do recurso da conta de serviço ou chave da conta de serviço cuja atividade está sendo relatada. Esse formato é descrito nas seções a seguir e em Nomes de recursos completos.activityType
: o tipo de atividade que está sendo informada. Para atividades recentes de autenticação de conta de serviço, o valor éserviceAccountLastAuthentication
. Para as atividades recentes de autenticação de chave da conta de serviço, o valor éserviceAccountKeyLastAuthentication
.observationPeriod
: horários de início e término que indicam o período em que a conta de serviço ou a chave foi observada para a atividade. A hora nesses carimbos de data/hora é sempreT07:00:00Z
.activity
: os detalhes da atividade. O conteúdo desse campo varia com base no tipo de atividade. Consulte as seções a seguir para mais detalhes.
Detalhes das atividades da conta de serviço
O campo activity
para atividades serviceAccountLastAuthentication
contém
os seguintes campos:
serviceAccount
: detalhes sobre a conta de serviço cuja atividade está sendo informada, incluindo:fullResourceName
: o nome completo do recurso da conta de serviço, no formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL
.projectNumber
: o ID numérico do projeto proprietário da conta de serviço.serviceAccountId
: o ID numérico exclusivo da conta de serviço.
lastAuthenticatedTime
: um carimbo de data/hora que representa a data em que o evento de autenticação mais recente ocorreu. A hora nesse carimbo de data/hora é sempreT07:00:00Z
, independentemente da hora exata do evento de autenticação.Os resultados podem não incluir eventos de autenticação muito recentes. Verifique o
observationPeriod
para saber o intervalo de datas exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora desse intervalo.Este campo não está incluído nas contas de serviço que nunca foram usadas.
Detalhes das principais atividades da conta de serviço
O campo activity
das atividades serviceAccountKeyLastAuthentication
contém os seguintes campos:
serviceAccountKey
: detalhes sobre a chave da conta de serviço cuja atividade está sendo relatada, incluindo o seguinte:fullResourceName
: o nome completo do recurso da chave da conta de serviço, no formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID
.projectNumber
: o ID numérico do projeto que possui a conta de serviço à qual a chave está associada.serviceAccountId
: o ID numérico da conta de serviço à qual a chave está associada.
lastAuthenticatedTime
: um carimbo de data/hora que representa a data em que o evento de autenticação mais recente ocorreu. A hora nesse carimbo de data/hora é sempreT07:00:00Z
, independentemente da hora exata do evento de autenticação.Os resultados podem não incluir eventos de autenticação muito recentes. Verifique o
observationPeriod
para saber o intervalo de datas exato usado durante a análise. Os resultados não incluem eventos de autenticação que ocorreram fora desse intervalo.Este campo não está incluído nas chaves das contas de serviço que nunca foram usadas.
A seguir
- Consulte as outras ferramentas disponíveis para entender o uso da conta de serviço.
- Aprenda como desativar contas de serviço ou excluir contas de serviço.
- Aprenda como excluir chaves de contas de serviço.