Halaman ini diterjemahkan oleh Cloud Translation API.

Melihat penggunaan terbaru untuk kunci dan akun layanan

Halaman ini menunjukkan cara menggunakan Activity Analyzer untuk melihat kapan kunci dan akun layanan Anda terakhir digunakan untuk memanggil Google API. Penggunaan ini disebut aktivitas autentikasi.

Aktivitas autentikasi terbaru dapat membantu Anda mengidentifikasi akun layanan dan kunci akun layanan yang tidak lagi Anda gunakan. Sebaiknya nonaktifkan atau hapus akun layanan dan kunci yang tidak digunakan ini karena menimbulkan risiko keamanan yang tidak perlu.

Sebelum memulai

Memahami aktivitas autentikasi.
Enable the Policy Analyzer API.
Enable the API

Peran yang diperlukan

Untuk mendapatkan izin yang diperlukan guna mencantumkan aktivitas autentikasi terbaru untuk akun layanan dan kunci akun layanan, minta administrator untuk memberi Anda peran IAM Activity Analysis Viewer (roles/policyanalyzer.activityAnalysisViewer) pada project. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Peran bawaan ini berisi izin yang diperlukan untuk mencantumkan aktivitas autentikasi terbaru untuk akun layanan dan kunci akun layanan Anda. Untuk melihat izin yang benar-benar diperlukan, luaskan bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk mencantumkan aktivitas autentikasi terbaru untuk akun layanan dan kunci akun layanan Anda:

policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query
policyanalyzer.serviceAccountLastAuthenticationActivities.query

Anda mungkin juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaan lainnya.

Melihat penggunaan terbaru untuk semua akun layanan atau kunci

Untuk mencantumkan tanggal aktivitas autentikasi terbaru untuk semua akun layanan atau kunci akun layanan Anda, gunakan Google Cloud CLI atau REST API.

gcloud

Untuk mencantumkan aktivitas autentikasi terbaru untuk kunci atau akun layanan Anda, gunakan perintah gcloud policy-intelligence query-activity:

gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \
    --project=PROJECT_ID --limit=LIMIT

Ganti nilai berikut:

ACTIVITY_TYPE: Jenis aktivitas yang ingin Anda cantumkan. Untuk mencantumkan waktu penggunaan terbaru untuk akun layanan Anda, gunakan serviceAccountLastAuthentication. Untuk mencantumkan waktu penggunaan terbaru untuk kunci akun layanan Anda, gunakan serviceAccountKeyLastAuthentication.
PROJECT_ID: ID project Google Cloud Anda. Project ID adalah string alfanumerik, seperti my-project.
LIMIT: Opsional. Jumlah maksimum hasil yang akan ditampilkan. Nilai defaultnya adalah 1000.

Responsnya mirip dengan berikut ini, yang mencantumkan waktu penggunaan terbaru untuk akun layanan project:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'
---
activity:
  lastAuthenticatedTime: '2021-02-09T08:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-01T07:00:00Z'

Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.

REST

Untuk mencantumkan aktivitas autentikasi terbaru untuk kunci atau akun layanan Anda, gunakan metode activities.query Policy Analyzer API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

PROJECT_ID: Project ID Google Cloud Anda Project ID adalah string alfanumerik, seperti my-project.
ACTIVITY_TYPE: Jenis aktivitas yang ingin Anda cantumkan. Untuk mencantumkan penggunaan terbaru untuk semua akun layanan Anda, gunakan serviceAccountLastAuthentication. Untuk mencantumkan penggunaan terbaru untuk semua kunci akun layanan Anda, gunakan serviceAccountKeyLastAuthentication.
PAGE_SIZE: Opsional. Jumlah maksimum hasil yang akan ditampilkan dari permintaan ini. Jika tidak ditentukan, server akan menentukan jumlah hasil yang akan ditampilkan. Jika jumlah aktivitas lebih besar dari ukuran halaman, respons akan berisi token penomoran halaman yang dapat Anda gunakan untuk mengambil halaman hasil berikutnya.
PAGE_TOKEN: Opsional. Token penomoran halaman yang ditampilkan dalam respons sebelumnya dari metode ini. Jika ditentukan, daftar aktivitas akan dimulai dari tempat permintaan sebelumnya berakhir.

Metode HTTP dan URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login , atau dengan menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke gcloud CLI . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

PowerShell (Windows)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke gcloud CLI dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login . Anda dapat memeriksa akun yang saat ini aktif dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

Responsnya mirip dengan berikut ini, yang mencantumkan waktu penggunaan terbaru untuk akun layanan project:

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    },
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-29T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "234567890123456789012"
        }
      }
    }
  ],
  "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_"
}

Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.

Melihat penggunaan terbaru untuk akun layanan tertentu

Untuk menemukan tanggal terakhir akun layanan tertentu digunakan, gunakan konsol Google Cloud, gcloud CLI, atau REST API.

Konsol

Di konsol Google Cloud, buka halaman Policy Analyzer.

Buka Penganalisis Kebijakan
Di bagian Analyze recent activity, temukan panel berlabel When was the last time this service account was used? dan klik Create query di panel tersebut.
Di kotak Select query scope, masukkan nama project yang akun layanannya ingin Anda analisis.
Di bagian Tambahkan akun layanan, klik kotak Akun layanan. Daftar semua akun layanan di project Anda akan muncul. Daftar ini juga menyertakan project yang terkait dengan setiap akun layanan dan alamat email untuk setiap akun layanan.
Pilih akun layanan yang penggunaan terbarunya ingin Anda lihat.
Opsional: Untuk melihat penggunaan terbaru untuk lebih dari satu akun layanan, klik Tambahkan akun, lalu pilih akun layanan lain. Anda dapat menganalisis hingga 10 akun layanan sekaligus.
Di panel Kueri untuk aktivitas akses, klik Jalankan kueri.

Halaman hasil menampilkan penggunaan terbaru untuk akun layanan. Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.

gcloud

Untuk mendapatkan aktivitas autentikasi terbaru untuk akun layanan tertentu, gunakan perintah gcloud policy-intelligence query-activity dengan filter:

gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Ganti nilai berikut:

PROJECT_ID: ID project Google Cloud Anda. Project ID adalah string alfanumerik, seperti my-project.
FILTER: Filter yang menentukan nama resource lengkap akun layanan yang penggunaannya ingin Anda lihat. Nama resource lengkap akun layanan mencakup ID project dan alamat email akun layanan.

Untuk memfilter satu akun layanan, gunakan filter dengan format berikut:
```
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"
```
Untuk memfilter beberapa akun layanan, gunakan OR untuk menentukan beberapa nama resource lengkap yang dapat diterima:
```
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"
```
Anda dapat memfilter hingga 10 akun layanan.

Respons menjelaskan penggunaan terbaru untuk akun layanan:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'

Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.

REST

Untuk mendapatkan aktivitas autentikasi terbaru untuk akun layanan tertentu, gunakan metode activities.query Policy Analyzer API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

PROJECT_ID: Project ID Google Cloud Anda Project ID adalah string alfanumerik, seperti my-project.

FILTER: Filter yang menentukan nama resource lengkap akun layanan yang penggunaannya ingin Anda lihat.

Untuk memfilter satu akun layanan, gunakan filter dengan format berikut:

activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22

Untuk memfilter beberapa akun layanan, gunakan %20OR%20 untuk menentukan beberapa nama resource lengkap yang dapat diterima:

activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22

Metode HTTP dan URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER"

PowerShell (Windows)

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER" | Select-Object -Expand Content

Respons menjelaskan penggunaan terbaru untuk akun layanan:

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    }
  ]
}

Melihat penggunaan terbaru untuk kunci akun layanan tertentu

Untuk menemukan tanggal terakhir kunci akun layanan tertentu digunakan, identifikasi kunci akun layanan yang ingin Anda lihat penggunaan terbarunya, lalu buat kueri menggunakan ID tersebut.

Jika memiliki file kunci JSON, Anda dapat menemukan ID unik kunci akun layanan di kolom private_key_id file.

Jika tidak memiliki file kunci JSON, Anda dapat menemukan ID unik kunci akun layanan dengan mengikuti langkah-langkah berikut:

Konsol

Di konsol Google Cloud, buka halaman Policy Analyzer.

Buka Penganalisis Kebijakan
Di bagian Analyze recent activity, temukan panel berlabel When was the last time this service account key was used?, lalu klik Create query di panel tersebut.
Di kotak Select query scope, masukkan nama project yang kunci akun layanannya ingin Anda analisis.
Di bagian Tambahkan kunci akun layanan, klik kotak Kunci akun layanan. Daftar semua kunci akun layanan di project Anda akan muncul. Daftar ini juga mencakup project dan akun layanan yang terkait dengan setiap kunci.
Pilih kunci yang ingin Anda lihat penggunaan terbarunya.
Opsional: Untuk melihat penggunaan terbaru untuk lebih dari satu kunci, klik Tambahkan kunci dan pilih kunci lain. Anda dapat menganalisis hingga 10 kunci sekaligus.
Di panel Kueri untuk aktivitas akses, klik Jalankan kueri.

Halaman hasil menampilkan penggunaan terbaru untuk kunci akun layanan. Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.

gcloud

Pertama, identifikasi kunci akun layanan yang ingin Anda lihat penggunaan terbarunya:

Cantumkan kunci akun layanan.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
- SERVICE_ACCOUNT_EMAIL: Alamat email akun layanan yang dikaitkan dengan kunci.
Jalankan perintah gcloud iam service-accounts keys list:
Linux, macOS, atau Cloud Shell

Catatan: Pastikan Anda telah menginisialisasi Google Cloud CLI dengan autentikasi dan sebuah project dengan menjalankan gcloud init; atau gcloud auth login dan gcloud config set project.
```
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
```
Windows (PowerShell)

Catatan: Pastikan Anda telah menginisialisasi Google Cloud CLI dengan autentikasi dan sebuah project dengan menjalankan gcloud init; atau gcloud auth login dan gcloud config set project.
```
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
```
Windows (cmd.exe)

Catatan: Pastikan Anda telah menginisialisasi Google Cloud CLI dengan autentikasi dan sebuah project dengan menjalankan gcloud init; atau gcloud auth login dan gcloud config set project.
```
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
```
Output menampilkan daftar semua kunci yang dibuat pengguna dan dikaitkan dengan akun layanan, termasuk ID unik, waktu pembuatan, dan waktu habis masa berlaku setiap kunci.
Gunakan data dalam output untuk mengidentifikasi kunci yang ingin Anda lacak dan salin ID uniknya.

Setelah Anda menemukan ID unik untuk kunci akun layanan, gunakan ID tersebut untuk memfilter hasil dari Activity Analyzer:

Untuk mendapatkan aktivitas autentikasi terbaru untuk kunci akun layanan tertentu, gunakan perintah gcloud policy-intelligence query-activity dengan filter.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

PROJECT_ID: ID project Google Cloud Anda. Project ID adalah string alfanumerik, seperti my-project.
FILTER: Filter yang menentukan nama resource lengkap kunci akun layanan yang penggunaannya ingin Anda lihat. Nama resource lengkap kunci akun layanan mencakup project ID, alamat email akun layanan yang terkait dengan kunci, dan ID kunci.

Untuk memfilter kunci akun layanan tunggal, gunakan filter dengan format berikut:
```
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
```
Untuk memfilter beberapa kunci akun layanan, gunakan OR untuk menentukan beberapa nama resource lengkap yang dapat diterima:
```
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"
```
Anda dapat memfilter hingga 10 kunci akun layanan.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Windows (PowerShell)

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication `
    --project=PROJECT_ID `
    --query-filter='FILTER'

Windows (cmd.exe)

Catatan: Jika perintah ini menggunakan ' untuk mengutip konten, ganti tanda kutip tunggal dengan tanda kutip ganda. Jika kutipan bertingkat, gunakan \" untuk meng-escape tanda kutip dalam.

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ^
    --project=PROJECT_ID ^
    --query-filter='FILTER'

Anda akan melihat respons seperti berikut:

activity:
  lastAuthenticatedTime: '2021-06-11T07:00:00Z'
  serviceAccountKey:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
    projectNumber: '232342569935'
    serviceAccountId: '103185812403937829397'
activityType: serviceAccountKeyLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-10T07:00:00Z'

Respons ini menjelaskan penggunaan terbaru untuk kunci akun layanan. Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.

REST

Pertama, identifikasi kunci akun layanan yang ingin Anda lihat penggunaan terbarunya:

Cantumkan kunci akun layanan:

Untuk mencantumkan semua kunci akun layanan untuk akun layanan, gunakan metode projects.serviceAccounts.keys.list IAM API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

PROJECT_ID: Project ID Google Cloud Anda Project ID adalah string alfanumerik, seperti my-project.
SA_NAME: Nama akun layanan yang kuncinya ingin Anda cantumkan.
KEY_TYPES: Opsional. Daftar yang dipisahkan koma untuk jenis kunci yang ingin Anda sertakan dalam respons. Jenis kunci menunjukkan apakah kunci dikelola oleh pengguna (USER_MANAGED) atau dikelola sistem (SYSTEM_MANAGED). Jika dibiarkan kosong, semua kunci akan ditampilkan.

Metode HTTP dan URL:

GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES"

PowerShell (Windows)

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES" | Select-Object -Expand Content

API Explorer (browser)

Buka halaman referensi metode. Panel API Explorer terbuka di sisi kanan halaman. Anda bisa berinteraksi dengan alat ini untuk mengirim permintaan. Lengkapi kolom yang wajib diisi, lalu klik Jalankan.

Respons menjelaskan penggunaan terbaru untuk kunci akun layanan:

{
  "keys": [
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c",
      "validAfterTime": "2020-03-04T17:39:47Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED"
    },
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8",
      "validAfterTime": "2020-03-31T23:50:09Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED"
    },
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e",
      "validAfterTime": "2020-05-17T18:58:13Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED",
      "disabled": true
    }
  ]
}

Gunakan metadata dalam respons untuk mengidentifikasi kunci yang ingin Anda lacak. Kemudian, salin ID unik kunci dari akhir kolom name.

Kolom name memiliki format berikut:
```
"name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
```
ID unik kunci adalah semuanya setelah keys/.

Misalnya, ID unik dalam nama kunci berikut adalah 0f561cc41650ff521899de2fd653bd3de08e2da4:
```
"name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"
```

Setelah Anda menemukan ID unik untuk kunci akun layanan, gunakan ID tersebut untuk memfilter hasil dari Activity Analyzer:

Untuk mendapatkan aktivitas autentikasi terbaru untuk kunci akun layanan tertentu, gunakan metode activities.query Policy Analyzer API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

PROJECT_ID: Project ID Google Cloud Anda Project ID adalah string alfanumerik, seperti my-project.
FILTER: Filter yang menentukan nama resource lengkap kunci akun layanan yang penggunaannya ingin Anda lihat. Nama resource lengkap kunci akun layanan mencakup project ID, alamat email akun layanan yang terkait dengan kunci, dan ID kunci.

Untuk memfilter kunci akun layanan tunggal, gunakan filter dengan format berikut:
```
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22
```
Untuk memfilter beberapa kunci akun layanan, gunakan %20OR%20 untuk menentukan beberapa nama resource lengkap yang dapat diterima:
```
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22
```
Anda dapat memfilter hingga 10 kunci akun layanan.

Metode HTTP dan URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER"

PowerShell (Windows)

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER" | Select-Object -Expand Content

Respons menjelaskan penggunaan terbaru untuk kunci akun layanan:

{
  "activities": [
    {
      "activity": {
        "lastAuthenticatedTime": "2021-06-11T07:00:00Z",
        "serviceAccountKey": {
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
          "projectNumber": "123456789012",
          "serviceAccountId": "123456789012345678901"
        }
      },
      "activityType": "serviceAccountKeyLastAuthentication",
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
      "observationPeriod": {
        "endTime": "2021-07-06T07:00:00Z",
        "startTime": "2020-04-20T07:00:00Z"
      }
    }
  ]
}

Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.

Memahami aktivitas

Konsol

Halaman hasil kueri mencantumkan parameter kueri dan hasil kueri.

Untuk kueri akun layanan, tabel hasil mencantumkan setiap akun layanan dari kueri dan kapan terakhir kali diautentikasi:

Untuk kueri kunci akun layanan, tabel hasil mencantumkan setiap kunci akun layanan dari kueri, akun layanan yang terkait, dan kapan terakhir kali diautentikasi.

Hasilnya mungkin tidak menyertakan peristiwa autentikasi yang sangat baru. Periksa tooltip untuk melihat rentang tanggal yang tepat yang digunakan selama analisis. Hasilnya tidak menyertakan peristiwa autentikasi yang terjadi di luar rentang ini.

Tabel hasil untuk kedua kueri juga mencantumkan peran IAM yang dimiliki akun layanan di project, beserta insight keamanan apa pun. Insight ini menyoroti pola dalam cara akun layanan Anda mengakses resource. Misalnya, beberapa insight menyoroti izin berlebih, atau izin yang tidak diperlukan oleh akun utama. Insight lainnya menyoroti akun layanan dengan izin pergerakan lateral, atau izin yang memungkinkan akun layanan meniru akun layanan di project lain.

Beberapa insight juga dilengkapi dengan rekomendasi peran yang menyarankan perubahan yang dapat Anda lakukan untuk mengurangi izin berlebih. Untuk mempelajari cara mengelola rekomendasi dan insight, lihat Meninjau dan menerapkan rekomendasi.

gcloud

Activity Analyzer melaporkan hasil sebagai daftar aktivitas. Aktivitas memiliki kolom berikut:

fullResourceName: Nama resource lengkap akun layanan atau kunci akun layanan yang aktivitasnya dilaporkan. Format ini dijelaskan di bagian berikut, dan di Nama resource lengkap.
activityType: Jenis aktivitas yang dilaporkan. Untuk aktivitas autentikasi akun layanan terbaru, nilainya adalah serviceAccountLastAuthentication. Untuk aktivitas autentikasi kunci akun layanan terbaru, nilainya adalah serviceAccountKeyLastAuthentication.
observationPeriod: Waktu mulai dan waktu berakhir yang menunjukkan rentang waktu saat akun layanan atau kunci diamati untuk aktivitas. Waktu dalam stempel waktu ini selalu T07:00:00Z.
activity: Detail aktivitas. Isi kolom ini bervariasi berdasarkan jenis aktivitas. Lihat bagian berikut untuk mengetahui detailnya.

Detail untuk aktivitas akun layanan

Kolom activity untuk aktivitas serviceAccountLastAuthentication berisi kolom berikut:

serviceAccount: Detail tentang akun layanan yang aktivitasnya dilaporkan, termasuk hal berikut:
- fullResourceName: Nama resource lengkap akun layanan, dalam format //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
- projectNumber: ID numerik project yang memiliki akun layanan.
- serviceAccountId: ID numerik akun layanan.
lastAuthenticatedTime: Stempel waktu yang mewakili tanggal terjadinya peristiwa autentikasi terbaru. Waktu dalam stempel waktu ini selalu T07:00:00Z, terlepas dari waktu yang tepat dari peristiwa autentikasi.

Hasilnya mungkin tidak menyertakan peristiwa autentikasi yang sangat baru. Periksa observationPeriod untuk melihat rentang tanggal yang tepat yang digunakan selama analisis. Hasilnya tidak menyertakan peristiwa autentikasi yang terjadi di luar rentang ini.

Kolom ini tidak disertakan untuk akun layanan yang belum pernah digunakan.

Detail untuk aktivitas kunci akun layanan

Kolom activity untuk aktivitas serviceAccountKeyLastAuthentication berisi kolom berikut:

serviceAccountKey: Detail tentang kunci akun layanan yang aktivitasnya dilaporkan, termasuk hal berikut:
- fullResourceName: Nama resource lengkap kunci akun layanan, dalam format //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
- projectNumber: ID numerik project yang memiliki akun layanan yang dikaitkan dengan kunci.
- serviceAccountId: ID numerik akun layanan yang dikaitkan dengan kunci.
lastAuthenticatedTime: Stempel waktu yang mewakili tanggal terjadinya peristiwa autentikasi terbaru. Waktu dalam stempel waktu ini selalu T07:00:00Z, terlepas dari waktu yang tepat dari peristiwa autentikasi.

Hasilnya mungkin tidak menyertakan peristiwa autentikasi yang sangat baru. Periksa observationPeriod untuk melihat rentang tanggal yang tepat yang digunakan selama analisis. Hasilnya tidak menyertakan peristiwa autentikasi yang terjadi di luar rentang ini.

Kolom ini tidak disertakan untuk kunci akun layanan yang belum pernah digunakan.

REST

Activity Analyzer melaporkan hasil sebagai daftar aktivitas. Aktivitas memiliki kolom berikut:

fullResourceName: Nama resource lengkap akun layanan atau kunci akun layanan yang aktivitasnya dilaporkan. Format ini dijelaskan di bagian berikut, dan di Nama resource lengkap.
activityType: Jenis aktivitas yang dilaporkan. Untuk aktivitas autentikasi akun layanan terbaru, nilainya adalah serviceAccountLastAuthentication. Untuk aktivitas autentikasi kunci akun layanan terbaru, nilainya adalah serviceAccountKeyLastAuthentication.
observationPeriod: Waktu mulai dan waktu berakhir yang menunjukkan rentang waktu saat akun layanan atau kunci diamati untuk aktivitas. Waktu dalam stempel waktu ini selalu T07:00:00Z.
activity: Detail aktivitas. Isi kolom ini bervariasi berdasarkan jenis aktivitas. Lihat bagian berikut untuk mengetahui detailnya.

Detail untuk aktivitas akun layanan

Kolom activity untuk aktivitas serviceAccountLastAuthentication berisi kolom berikut:

serviceAccount: Detail tentang akun layanan yang aktivitasnya dilaporkan, termasuk hal berikut:
- fullResourceName: Nama resource lengkap akun layanan, dalam format //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
- projectNumber: ID numerik project yang memiliki akun layanan.
- serviceAccountId: ID numerik akun layanan.
lastAuthenticatedTime: Stempel waktu yang mewakili tanggal terjadinya peristiwa autentikasi terbaru. Waktu dalam stempel waktu ini selalu T07:00:00Z, terlepas dari waktu yang tepat dari peristiwa autentikasi.

Hasilnya mungkin tidak menyertakan peristiwa autentikasi yang sangat baru. Periksa observationPeriod untuk melihat rentang tanggal yang tepat yang digunakan selama analisis. Hasilnya tidak menyertakan peristiwa autentikasi yang terjadi di luar rentang ini.

Kolom ini tidak disertakan untuk akun layanan yang belum pernah digunakan.

Detail untuk aktivitas kunci akun layanan

Kolom activity untuk aktivitas serviceAccountKeyLastAuthentication berisi kolom berikut:

serviceAccountKey: Detail tentang kunci akun layanan yang aktivitasnya dilaporkan, termasuk hal berikut:
- fullResourceName: Nama resource lengkap kunci akun layanan, dalam format //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
- projectNumber: ID numerik project yang memiliki akun layanan yang dikaitkan dengan kunci.
- serviceAccountId: ID numerik akun layanan yang dikaitkan dengan kunci.
lastAuthenticatedTime: Stempel waktu yang mewakili tanggal terjadinya peristiwa autentikasi terbaru. Waktu dalam stempel waktu ini selalu T07:00:00Z, terlepas dari waktu yang tepat dari peristiwa autentikasi.

Hasilnya mungkin tidak menyertakan peristiwa autentikasi yang sangat baru. Periksa observationPeriod untuk melihat rentang tanggal yang tepat yang digunakan selama analisis. Hasilnya tidak menyertakan peristiwa autentikasi yang terjadi di luar rentang ini.

Kolom ini tidak disertakan untuk kunci akun layanan yang belum pernah digunakan.

Langkah selanjutnya

Tinjau alat lain yang tersedia untuk memahami penggunaan akun layanan.
Pelajari cara menonaktifkan akun layanan atau menghapus akun layanan.
Pelajari cara menghapus kunci akun layanan.