Questa pagina mostra come utilizzare l'Analizzatore attività per vedere quando il tuo servizio account e chiavi sono stati utilizzati l'ultima volta per chiamare un'API di Google. Questi utilizzi vengono chiamati attività di autenticazione.
Le attività di autenticazione recenti possono aiutarti a identificare gli account di servizio e e chiavi degli account di servizio che non usi più. Ti consigliamo di disattivare o eliminare chiavi e account di servizio inutilizzati perché creano rischio per la sicurezza.
Prima di iniziare
- Comprendere le attività di autenticazione.
-
Attiva l'API Policy Analyzer.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie, elenca le attività di autenticazione più recenti per il tuo
e chiavi degli account di servizio,
chiedi all'amministratore di concederti
Ruolo IAM Visualizzatore analisi attività (roles/policyanalyzer.activityAnalysisViewer) nel progetto.
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Questo ruolo predefinito contiene le autorizzazioni necessarie per elencare le attività di autenticazione più recenti per il tuo e chiavi degli account di servizio. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:
Autorizzazioni obbligatorie
Per elencare le attività di autenticazione più recenti per il tuo dispositivo sono necessarie le seguenti autorizzazioni e chiavi degli account di servizio:
-
policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query -
policyanalyzer.serviceAccountLastAuthenticationActivities.query
Potresti anche riuscire a ottenere queste autorizzazioni con ruoli personalizzati altri ruoli predefiniti.
Visualizza l'utilizzo recente per tutte le chiavi o tutti gli account di servizio
Per elencare le date delle attività di autenticazione più recenti per tutti i tuoi o chiavi degli account di servizio, utilizza Google Cloud CLI o l'API REST.
gcloud
Per elencare le attività di autenticazione più recenti per gli account di servizio
utilizza il comando gcloud policy-intelligence query-activity:
gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \
--project=PROJECT_ID --limit=LIMIT
Sostituisci i seguenti valori:
ACTIVITY_TYPE: il tipo di attività a cui vuoi applicare dall'elenco di lettura. Per elencare gli orari di utilizzo più recenti per gli account di servizio, usaserviceAccountLastAuthentication. Per elencare le ore di utilizzo più recenti per il tuo chiavi dell'account di servizio, usaserviceAccountKeyLastAuthentication.PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project.LIMIT: facoltativo. Il numero massimo di risultati da da restituire. Il valore predefinito è1000.
La risposta è simile alla seguente, che elenca i tempi di utilizzo recenti per gli account di servizio di un progetto:
---
activity:
lastAuthenticatedTime: '2021-04-27T07:00:00Z'
serviceAccount:
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
projectNumber: '123456789012'
serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
endTime: '2021-07-06T07:00:00Z'
startTime: '2020-03-12T07:00:00Z'
---
activity:
lastAuthenticatedTime: '2021-02-09T08:00:00Z'
serviceAccount:
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
projectNumber: '123456789012'
serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
endTime: '2021-07-06T07:00:00Z'
startTime: '2020-09-01T07:00:00Z'
Per scoprire come interpretare questi risultati, consulta Comprendere attività in questa pagina.
REST
Per elencare le attività di autenticazione più recenti per gli account di servizio o le chiavi, utilizza lo strumento
activities.query
.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project.ACTIVITY_TYPE: il tipo di attività a cui vuoi applicare dall'elenco di lettura. Per elencare gli utilizzi più recenti di tutti gli account di servizio, usaserviceAccountLastAuthentication. Per elencare gli utilizzi più recenti di tutti i tuoi chiavi dell'account di servizio, usaserviceAccountKeyLastAuthentication.-
PAGE_SIZE: facoltativo. Il numero massimo di risultati da restituire da questo richiesta. Se non specificato, il server determinerà il numero di risultati da restituire. Se di attività sia maggiore della dimensione della pagina, la risposta contiene un'impaginazione che puoi utilizzare per recuperare la pagina successiva di risultati. -
PAGE_TOKEN: facoltativo. Il token di impaginazione restituito in una sessione la risposta desiderata con questo metodo. Se specificato, l'elenco delle attività inizierà dove richiesta precedente terminata.
Metodo HTTP e URL:
GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta è simile alla seguente, che elenca i tempi di utilizzo recenti per il servizio di un progetto account:
{
"activities": [
{
"fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
"activityType": "serviceAccountLastAuthentication",
"observationPeriod": {
"startTime": "2020-04-20T07:00:00Z",
"endTime": "2021-05-17T07:00:00Z"
},
"activity": {
"lastAuthenticatedTime": "2021-04-28T07:00:00Z",
"serviceAccount": {
"projectNumber": "123456789012",
"fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
"serviceAccountId": "123456789012345678901"
}
}
},
{
"fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
"activityType": "serviceAccountLastAuthentication",
"observationPeriod": {
"startTime": "2020-04-20T07:00:00Z",
"endTime": "2021-05-17T07:00:00Z"
},
"activity": {
"lastAuthenticatedTime": "2021-04-29T07:00:00Z",
"serviceAccount": {
"projectNumber": "123456789012",
"fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
"serviceAccountId": "234567890123456789012"
}
}
}
],
"nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_"
}
Per scoprire come interpretare questi risultati, consulta Comprendere attività in questa pagina.
Visualizza l'utilizzo recente per account di servizio specifici
Per trovare l'ultima data in cui sono stati utilizzati account di servizio specifici, utilizza la Console Google Cloud, gcloud CLI o l'API REST.
Console
Nella console Google Cloud, vai alla pagina Analizzatore criteri.
In Analizza l'attività recente, individua il riquadro con l'etichetta Quando è stata l'ultima volta che è stato utilizzato questo account di servizio? e fai clic su Crea query nel riquadro.
Nella casella Seleziona ambito della query, inserisci il nome del progetto il cui con gli account di servizio che vuoi analizzare.
Nella sezione Aggiungi account di servizio, fai clic su Account di servizio. . Viene visualizzato un elenco di tutti gli account di servizio nel progetto. L'elenco include inoltre include il progetto a cui è associato ciascun account di servizio per ogni account di servizio.
Seleziona l'account di servizio per il quale vuoi visualizzare l'utilizzo recente.
(Facoltativo) Per visualizzare l'utilizzo recente di più di un account di servizio, fai clic su Aggiungi account e seleziona un altro account di servizio. Puoi analizzare fino a 10 più account di servizio alla volta.
Nel riquadro Query per le attività di accesso, fai clic su Esegui query.
La pagina dei risultati mostra l'utilizzo più recente degli account di servizio. Per scoprire come interpretare questi risultati, consulta Comprendere attività in questa pagina.
gcloud
Per ottenere le attività di autenticazione più recenti per account di servizio specifici:
usa il comando gcloud policy-intelligence query-activity con un filtro:
gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \
--project=PROJECT_ID \
--query-filter='FILTER'
Sostituisci i seguenti valori:
PROJECT_ID: l'ID del tuo progetto Google Cloud. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project.FILTER: un filtro che specifica i nomi completi delle risorse gli account di servizio di cui vuoi visualizzare l'utilizzo. Il nome completo della risorsa un account di servizio include l'ID progetto e l'indirizzo email del servizio .Per filtrare in base a un singolo account di servizio, utilizza un filtro con il formato seguente:
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"
Per filtrare in base a più account di servizio, utilizza
ORper specificare più account nomi completi delle risorse accettabili:activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"
Puoi filtrare fino a 10 account di servizio.
La risposta descrive l'utilizzo più recente degli account di servizio:
---
activity:
lastAuthenticatedTime: '2021-04-27T07:00:00Z'
serviceAccount:
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
projectNumber: '123456789012'
serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
endTime: '2021-07-06T07:00:00Z'
startTime: '2020-03-12T07:00:00Z'
Per scoprire come interpretare questi risultati, consulta Comprendere attività in questa pagina.
REST
Per ottenere le attività di autenticazione più recenti per account di servizio specifici, utilizza lo strumento
activities.query
.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project.FILTER: un filtro che specifica i nomi completi delle risorse del servizio account di cui desideri conoscere l'utilizzo.Per filtrare in base a un singolo account di servizio, utilizza un filtro con il formato seguente:
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22
Per filtrare in base a più account di servizio, utilizza
%20OR%20per specificare più account nomi completi delle risorse accettabili:activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22
Metodo HTTP e URL:
GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta descrive l'utilizzo più recente degli account di servizio:
{
"activities": [
{
"fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
"activityType": "serviceAccountLastAuthentication",
"observationPeriod": {
"startTime": "2020-04-20T07:00:00Z",
"endTime": "2021-05-17T07:00:00Z"
},
"activity": {
"lastAuthenticatedTime": "2021-04-28T07:00:00Z",
"serviceAccount": {
"projectNumber": "123456789012",
"fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
"serviceAccountId": "123456789012345678901"
}
}
}
]
}
Visualizza l'utilizzo recente di chiavi dell'account di servizio specifiche
Per trovare l'ultima data in cui sono state utilizzate chiavi specifiche dell'account di servizio, identifica il valore della chiave dell'account di servizio di cui vuoi visualizzare l'utilizzo recente, quindi crea una query utilizzando questo ID.
Se hai un file di chiave JSON, puoi trovare l'ID univoco di una chiave dell'account di servizio in
il campo private_key_id del file.
Se non hai un file di chiave JSON, puoi trovare il codice univoco di un account di servizio seguendo questa procedura:
Console
Nella console Google Cloud, vai alla pagina Analizzatore criteri.
In Analizza l'attività recente, individua il riquadro con l'etichetta Quando è stata l'ultima volta che è stata utilizzata questa chiave dell'account di servizio? e fai clic su Crea query nel riquadro.
Nella casella Seleziona ambito della query, inserisci il nome del progetto il cui e le chiavi dell'account di servizio che vuoi analizzare.
Nella sezione Aggiungi chiave account di servizio, fai clic su Chiave account di servizio. . Viene visualizzato un elenco di tutte le chiavi degli account di servizio nel progetto. Elenco include anche l'account del progetto e di servizio a cui è associata ogni chiave con.
Seleziona la chiave di cui vuoi visualizzare l'utilizzo recente.
(Facoltativo) Per visualizzare l'utilizzo recente di più di un token, fai clic su Aggiungi chiave e seleziona un'altra chiave. Puoi analizzare fino a 10 chiavi alla volta.
Nel riquadro Query per le attività di accesso, fai clic su Esegui query.
La pagina dei risultati mostra l'utilizzo più recente delle chiavi dell'account di servizio. Per scoprire come interpretare questi risultati, consulta Comprendere attività in questa pagina.
gcloud
Identifica innanzitutto la chiave dell'account di servizio di cui vuoi visualizzare l'utilizzo recente per:
Elenca le chiavi dell'account di servizio.
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
-
SERVICE_ACCOUNT_EMAIL: L'indirizzo email dell'account di servizio a cui è associata la chiave.
Esegui la Elenco delle chiavi di gcloud iam service-accounts :
Linux, macOS o Cloud Shell
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
Windows (PowerShell)
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
Windows (cmd.exe)
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
L'output mostra un elenco di tutte le chiavi create dall'utente associate account di servizio, inclusi l'ID univoco, l'ora di creazione e e scadenza.
-
Utilizza i dati nell'output per identificare la chiave che vuoi monitorare e copiare il suo ID univoco.
Dopo aver trovato gli ID univoci per le chiavi degli account di servizio, utilizzali per filtra i risultati da Analizzatore attività:
Per ottenere le attività di autenticazione più recenti per un account di servizio specifico
usa il comando gcloud policy-intelligence query-activity con un filtro.
Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:
PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project.-
FILTER: un filtro che specifica i nomi completi delle risorse del servizio le chiavi dell'account di cui vuoi conoscere l'utilizzo. Il nome completo della risorsa di una chiave dell'account di servizio include l'ID progetto, l'indirizzo email dell'account di servizio associato alla chiave e l'ID della chiave.Per filtrare in base a una singola chiave dell'account di servizio, utilizza un filtro con il formato seguente:
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
Per filtrare in base a più chiavi dell'account di servizio, utilizza
ORper specificare più chiavi nomi completi delle risorse accettabili:activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"
Puoi filtrare fino a 10 chiavi dell'account di servizio.
Esegui la persone che seguo :
Linux, macOS o Cloud Shell
gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \
--project=PROJECT_ID \
--query-filter='FILTER'
Windows (PowerShell)
gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication `
--project=PROJECT_ID `
--query-filter='FILTER'
Windows (cmd.exe)
gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ^
--project=PROJECT_ID ^
--query-filter='FILTER'
Dovresti ricevere una risposta simile alla seguente:
activity:
lastAuthenticatedTime: '2021-06-11T07:00:00Z'
serviceAccountKey:
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
projectNumber: '232342569935'
serviceAccountId: '103185812403937829397'
activityType: serviceAccountKeyLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
observationPeriod:
endTime: '2021-07-06T07:00:00Z'
startTime: '2020-09-10T07:00:00Z'
Questa risposta descrive l'utilizzo più recente delle chiavi dell'account di servizio. Per scoprire come interpretare questi risultati, consulta Comprendere attività in questa pagina.
REST
Identifica innanzitutto la chiave dell'account di servizio di cui vuoi visualizzare l'utilizzo recente per:
Elenca le chiavi dell'account di servizio:
Per elencare tutte le chiavi di un account di servizio, utilizza la classe IAM
projects.serviceAccounts.keys.list.Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project.SA_NAME: il nome dell'account di servizio di cui vuoi elencare le chiavi.KEY_TYPES: facoltativo. Un elenco separato da virgole dei tipi di chiavi che ti interessano da includere nella risposta. Il tipo di chiave indica se una chiave è gestita dall'utente. (USER_MANAGED) o gestita dal sistema (SYSTEM_MANAGED). Se viene lasciato vuoto, vengono restituite.
Metodo HTTP e URL:
GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta descrive l'utilizzo più recente delle chiavi dell'account di servizio:
{ "keys": [ { "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c", "validAfterTime": "2020-03-04T17:39:47Z", "validBeforeTime": "9999-12-31T23:59:59Z", "keyAlgorithm": "KEY_ALG_RSA_2048", "keyOrigin": "GOOGLE_PROVIDED", "keyType": "USER_MANAGED" }, { "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8", "validAfterTime": "2020-03-31T23:50:09Z", "validBeforeTime": "9999-12-31T23:59:59Z", "keyAlgorithm": "KEY_ALG_RSA_2048", "keyOrigin": "GOOGLE_PROVIDED", "keyType": "USER_MANAGED" }, { "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e", "validAfterTime": "2020-05-17T18:58:13Z", "validBeforeTime": "9999-12-31T23:59:59Z", "keyAlgorithm": "KEY_ALG_RSA_2048", "keyOrigin": "GOOGLE_PROVIDED", "keyType": "USER_MANAGED", "disabled": true } ] }Utilizza i metadati nella risposta per identificare la chiave che vuoi monitorare. A questo punto, copia l'ID univoco della chiave dalla fine del campo
name.Il campo
nameha il seguente formato:"name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
L'ID univoco della chiave è tutto ciò che segue
keys/.Ad esempio, l'ID univoco nel seguente nome della chiave è
0f561cc41650ff521899de2fd653bd3de08e2da4:"name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"
Dopo aver trovato gli ID univoci per le chiavi degli account di servizio, utilizzali per filtra i risultati da Analizzatore attività:
Per ottenere l'attività di autenticazione più recente per determinate chiavi degli account di servizio, utilizza lo strumento
activities.query
.
Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:
PROJECT_ID: il tuo progetto Google Cloud ID. Gli ID progetto sono stringhe alfanumeriche, ad esempiomy-project.-
FILTER: un filtro che specifica i nomi completi delle risorse del servizio le chiavi dell'account di cui vuoi conoscere l'utilizzo. Il nome completo della risorsa di una chiave dell'account di servizio include l'ID progetto, l'indirizzo email dell'account di servizio associato alla chiave e l'ID della chiave.Per filtrare in base a una singola chiave dell'account di servizio, utilizza un filtro con il formato seguente:
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22
Per filtrare in base a più chiavi dell'account di servizio, utilizza
%20OR%20per specificare più chiavi nomi completi delle risorse accettabili:activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22
Puoi filtrare fino a 10 chiavi dell'account di servizio.
Metodo HTTP e URL:
GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER
Per inviare la richiesta, espandi una delle seguenti opzioni:
La risposta descrive l'utilizzo più recente delle chiavi dell'account di servizio:
{
"activities": [
{
"activity": {
"lastAuthenticatedTime": "2021-06-11T07:00:00Z",
"serviceAccountKey": {
"fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
"projectNumber": "123456789012",
"serviceAccountId": "123456789012345678901"
}
},
"activityType": "serviceAccountKeyLastAuthentication",
"fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
"observationPeriod": {
"endTime": "2021-07-06T07:00:00Z",
"startTime": "2020-04-20T07:00:00Z"
}
}
]
}
Per scoprire come interpretare questi risultati, consulta Comprendere attività in questa pagina.
Informazioni sulle attività
Console
Nella pagina dei risultati della query vengono elencati i parametri di ricerca e i risultati query.
Per una query su un account di servizio, la tabella dei risultati elenca ciascun account di servizio da la query e la data dell'ultima autenticazione:
Per una query sulla chiave di un account di servizio, la tabella dei risultati elenca ciascun account di servizio chiave della query, l'account di servizio a cui è associato e la data dell'ultima autenticati.
I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla il per vedere l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includi gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.
La tabella dei risultati per entrambe le query elenca anche i ruoli IAM dell'account di servizio sul progetto, oltre a eventuali insight sulla sicurezza. Questi gli insight evidenziano i pattern di accesso alle risorse da parte degli account di servizio. Per Ad esempio, alcuni approfondimenti evidenziano autorizzazioni in eccesso, ovvero autorizzazioni che un non serve a usare l'entità. Altri approfondimenti mettono in evidenza gli account di servizio laterali autorizzazioni di movimento o autorizzazioni che consentono account di servizio rappresenta un account di servizio in un altro progetto.
Alcuni insight includono anche il ruolo consigli che suggeriscono modifiche che puoi per ridurre le autorizzazioni in eccesso. Per scoprire come gestire i suggerimenti approfondimenti, consulta Esaminare e applicare i consigli.
gcloud
Analizzatore attività riporta i risultati sotto forma di elenco di attività. Le attività hanno nei seguenti campi:
fullResourceName: nome completo della risorsa dell'account di servizio o del servizio chiave dell'account di cui viene segnalata l'attività. Questo formato viene descritto le sezioni seguenti e in Nomi completi delle risorse.activityType: tipo di attività segnalata. Per recenti attività di autenticazione dell'account di servizio, il valore èserviceAccountLastAuthentication. Per la chiave recente dell'account di servizio attività di autenticazione, il valore èserviceAccountKeyLastAuthentication.observationPeriod: l'ora di inizio e l'ora di fine che indicano l'intervallo di tempo per in cui l'account o la chiave di servizio sono stati osservati per l'attività. L'ora in questi i timestamp sono sempreT07:00:00Z.activity: i dettagli dell'attività. I contenuti di questo campo variano in base al tipo di attività. Per informazioni dettagliate, consulta le sezioni seguenti.
Dettagli delle attività degli account di servizio
Il campo activity per le attività serviceAccountLastAuthentication contiene
nei seguenti campi:
serviceAccount: dettagli dell'account di servizio la cui attività è segnalato, tra cui:fullResourceName: il nome completo della risorsa del servizio account, nel formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.projectNumber: l'ID numerico del progetto proprietario del l'account di servizio.serviceAccountId: l'ID numerico del servizio .
lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato un recente evento di autenticazione. L'ora in questo timestamp è sempreT07:00:00Z, indipendentemente dall'ora esatta di autenticazione .I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla il
observationPeriodper visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.Questo campo non è incluso per gli account di servizio che non sono mai stati utilizzati.
Dettagli per le attività delle chiavi degli account di servizio
Il campo activity per le attività serviceAccountKeyLastAuthentication
contiene i seguenti campi:
serviceAccountKey: dettagli della chiave dell'account di servizio la cui l'attività viene segnalata, tra cui:fullResourceName: il nome completo della risorsa del servizio chiave dell'account nel formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.projectNumber: l'ID numerico del progetto proprietario del l'account di servizio a cui è associata la chiave.serviceAccountId: l'ID numerico dell'account di servizio a cui è associata la chiave.
lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato un recente evento di autenticazione. L'ora in questo timestamp è sempreT07:00:00Z, indipendentemente dall'ora esatta di autenticazione .I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla il
observationPeriodper visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.Questo campo non è incluso per le chiavi degli account di servizio che non sono mai state in uso.
REST
Analizzatore attività riporta i risultati sotto forma di elenco di attività. Le attività hanno nei seguenti campi:
fullResourceName: nome completo della risorsa dell'account di servizio o del servizio chiave dell'account di cui viene segnalata l'attività. Questo formato viene descritto le sezioni seguenti e in Nomi completi delle risorse.activityType: tipo di attività segnalata. Per recenti attività di autenticazione dell'account di servizio, il valore èserviceAccountLastAuthentication. Per la chiave recente dell'account di servizio attività di autenticazione, il valore èserviceAccountKeyLastAuthentication.observationPeriod: l'ora di inizio e l'ora di fine che indicano l'intervallo di tempo per in cui l'account o la chiave di servizio sono stati osservati per l'attività. L'ora in questi i timestamp sono sempreT07:00:00Z.activity: i dettagli dell'attività. I contenuti di questo campo variano in base al tipo di attività. Per informazioni dettagliate, consulta le sezioni seguenti.
Dettagli delle attività degli account di servizio
Il campo activity per le attività serviceAccountLastAuthentication contiene
nei seguenti campi:
serviceAccount: dettagli dell'account di servizio la cui attività è segnalato, tra cui:fullResourceName: il nome completo della risorsa del servizio account, nel formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.projectNumber: l'ID numerico del progetto proprietario del l'account di servizio.serviceAccountId: l'ID numerico del servizio .
lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato un recente evento di autenticazione. L'ora in questo timestamp è sempreT07:00:00Z, indipendentemente dall'ora esatta di autenticazione .I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla il
observationPeriodper visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.Questo campo non è incluso per gli account di servizio che non sono mai stati utilizzati.
Dettagli per le attività delle chiavi degli account di servizio
Il campo activity per le attività serviceAccountKeyLastAuthentication
contiene i seguenti campi:
serviceAccountKey: dettagli della chiave dell'account di servizio la cui l'attività viene segnalata, tra cui:fullResourceName: il nome completo della risorsa del servizio chiave dell'account nel formato//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.projectNumber: l'ID numerico del progetto proprietario del l'account di servizio a cui è associata la chiave.serviceAccountId: l'ID numerico dell'account di servizio a cui è associata la chiave.
lastAuthenticatedTime: un timestamp che rappresenta la data in cui si è verificato un recente evento di autenticazione. L'ora in questo timestamp è sempreT07:00:00Z, indipendentemente dall'ora esatta di autenticazione .I risultati potrebbero non includere eventi di autenticazione molto recenti. Controlla il
observationPeriodper visualizzare l'intervallo di date esatto utilizzato durante l'analisi. I risultati non includono gli eventi di autenticazione che si sono verificati al di fuori di questo intervallo.Questo campo non è incluso per le chiavi degli account di servizio che non sono mai state in uso.
Passaggi successivi
- Esamina gli altri strumenti disponibili per comprendere il funzionamento dell'account di servizio dell'audiodescrizione.
- Scopri come disabilitare gli account di servizio o elimina account di servizio.
- Scopri come eliminare le chiavi degli account di servizio.