Ver el uso reciente de claves y cuentas de servicio

En esta página se explica cómo usar el analizador de actividad para ver cuándo se usaron por última vez tus cuentas de servicio y claves para llamar a una API de Google. Estos usos se denominan actividades de autenticación.

La actividad de autenticación reciente puede ayudarte a identificar las cuentas de servicio y las claves de cuentas de servicio que ya no utilizas. Te recomendamos que inhabilite o elimine estas cuentas de servicio y claves que no se utilizan, ya que suponen un riesgo de seguridad innecesario.

Cuando consultes el uso de las cuentas de servicio, ten en cuenta que las solicitudes autenticadas por claves de API asociadas a cuentas de servicio no se registran en las métricas de uso de cuentas de servicio.

Antes de empezar

  • Consulta las actividades de autenticación.

  • Enable the Policy Analyzer API.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the API

.

Roles obligatorios

Para obtener los permisos que necesitas para consultar las actividades de autenticación más recientes de tus cuentas de servicio y claves de cuenta de servicio, pide a tu administrador que te conceda el rol de gestión de identidades y accesos lector de análisis de actividad (roles/policyanalyzer.activityAnalysisViewer) en el proyecto. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Este rol predefinido contiene los permisos necesarios para enumerar las actividades de autenticación más recientes de tus cuentas de servicio y claves de cuenta de servicio. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para enumerar las actividades de autenticación más recientes de tus cuentas de servicio y claves de cuenta de servicio, se necesitan los siguientes permisos:

  • policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query
  • policyanalyzer.serviceAccountLastAuthenticationActivities.query

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Ver el uso reciente de todas las cuentas de servicio o claves

Para enumerar las fechas de las actividades de autenticación más recientes de todas tus cuentas de servicio o claves de cuenta de servicio, usa la CLI de Google Cloud o la API REST.

gcloud

Para ver una lista de las actividades de autenticación más recientes de tus cuentas de servicio o claves, usa el comando gcloud policy-intelligence query-activity:

gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \
    --project=PROJECT_ID --limit=LIMIT

Sustituye los siguientes valores:

  • ACTIVITY_TYPE: el tipo de actividad que quieres listar. Para ver una lista de las horas de uso más recientes de tus cuentas de servicio, usa serviceAccountLastAuthentication. Para enumerar los tiempos de uso más recientes de las claves de tu cuenta de servicio, usa serviceAccountKeyLastAuthentication.
  • PROJECT_ID: tu ID de proyecto Google Cloud . Los IDs de proyecto son cadenas alfanuméricas, como my-project.
  • LIMIT: opcional. Número máximo de resultados que se devolverán. El valor predeterminado es 1000.

La respuesta es similar a la siguiente, que muestra los tiempos de uso recientes de las cuentas de servicio de un proyecto:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'
---
activity:
  lastAuthenticatedTime: '2021-02-09T08:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-01T07:00:00Z'

Para saber cómo interpretar estos resultados, consulta la sección Interpretar actividades de esta página.

REST

Para enumerar las actividades de autenticación más recientes de tus cuentas o claves de servicio, usa el método activities.query de la API Policy Analyzer.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • PROJECT_ID: tu ID de proyecto. Google Cloud Los IDs de proyecto son cadenas alfanuméricas, como my-project.
  • ACTIVITY_TYPE: el tipo de actividad que quieres listar. Para obtener una lista con los usos más recientes de todas tus cuentas de servicio, utiliza serviceAccountLastAuthentication. Para mostrar los usos más recientes de todas tus claves de cuentas de servicio, usa serviceAccountKeyLastAuthentication.
  • PAGE_SIZE: opcional. Número máximo de resultados que se devolverán en esta solicitud. Si no se especifica, el servidor determinará el número de resultados que se devolverán. Si el número de actividades es superior al tamaño de la página, la respuesta contiene un token de paginación que puedes usar para obtener la siguiente página de resultados.
  • PAGE_TOKEN: opcional. El token de paginación devuelto en una respuesta anterior de este método. Si se especifica, la lista de actividades empezará donde terminó la solicitud anterior.

Método HTTP y URL: 

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Para enviar tu solicitud, despliega una de estas opciones:

La respuesta es similar a la siguiente, que muestra los tiempos de uso recientes de las cuentas de servicio de un proyecto: 

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    },
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-29T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "234567890123456789012"
        }
      }
    }
  ],
  "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_"
}

Para saber cómo interpretar estos resultados, consulta la sección Interpretar actividades de esta página.

Ver el uso reciente de cuentas de servicio específicas

Para saber la última fecha en la que se usaron cuentas de servicio específicas, usa la consolaGoogle Cloud , la CLI de gcloud o la API REST.

Consola

  1. En la Google Cloud consola, ve a la página Analizador de políticas.

    Ir a Analizador de políticas

  2. En Analizar la actividad reciente, busca el panel ¿Cuándo se usó por última vez esta cuenta de servicio? y haz clic en Crear consulta en ese panel.

  3. En el cuadro Seleccionar ámbito de la consulta, introduce el nombre del proyecto cuyas cuentas de servicio quieras analizar.

  4. En la sección Añadir cuentas de servicio, haz clic en el cuadro Cuenta de servicio. Aparecerá una lista de todas las cuentas de servicio de tu proyecto. La lista también incluye el proyecto al que está asociada cada cuenta de servicio y la dirección de correo de cada cuenta de servicio.

  5. Selecciona la cuenta de servicio cuyo uso reciente quieras ver.

  6. Opcional: Para ver el uso reciente de más de una cuenta de servicio, haz clic en Añadir cuenta y selecciona otra cuenta de servicio. Puedes analizar hasta 10 cuentas de servicio a la vez.

  7. En el panel Consultar actividades de acceso, haz clic en Ejecutar consulta.

En la página de resultados se muestra el uso más reciente de las cuentas de servicio. Para saber cómo interpretar estos resultados, consulta la sección Interpretar actividades de esta página.

gcloud

Para obtener la actividad de autenticación más reciente de cuentas de servicio específicas, usa el comando gcloud policy-intelligence query-activity con un filtro:

gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Sustituye los siguientes valores:

  • PROJECT_ID: tu ID de proyecto Google Cloud . Los IDs de proyecto son cadenas alfanuméricas, como my-project.

  • FILTER: filtro que especifica los nombres de recursos completos de las cuentas de servicio cuyo uso quieres ver. El nombre de recurso completo de una cuenta de servicio incluye el ID del proyecto y la dirección de correo de la cuenta de servicio.

    Para filtrar por una sola cuenta de servicio, usa un filtro con el siguiente formato:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"

    Para filtrar por varias cuentas de servicio, usa OR para especificar varios nombres de recursos completos aceptables:

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"

    Puedes filtrar hasta 10 cuentas de servicio.

La respuesta describe el uso más reciente de las cuentas de servicio:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'

Para saber cómo interpretar estos resultados, consulta la sección Interpretar actividades de esta página.

REST

Para obtener la actividad de autenticación más reciente de cuentas de servicio específicas, usa el método activities.query de la API Policy Analyzer.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • PROJECT_ID: tu ID de proyecto. Google Cloud Los IDs de proyecto son cadenas alfanuméricas, como my-project.

  • FILTER: filtro que especifica los nombres completos de los recursos de las cuentas de servicio cuyo uso quieres ver.

    Para filtrar por una sola cuenta de servicio, usa un filtro con el siguiente formato: 

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22

    Para filtrar por varias cuentas de servicio, usa %20OR%20 para especificar varios nombres de recursos completos aceptables: 

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22

Método HTTP y URL: 

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER

Para enviar tu solicitud, despliega una de estas opciones:

La respuesta describe el uso más reciente de las cuentas de servicio: 

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    }
  ]
}

Ver el uso reciente de claves de cuentas de servicio específicas

Para saber la última fecha en la que se usaron claves de cuenta de servicio específicas, identifica la clave de cuenta de servicio de la que quieras ver el uso reciente y, a continuación, crea una consulta con ese ID.

Si tienes un archivo de clave JSON, puedes encontrar el ID único de la clave de una cuenta de servicio en el campo private_key_id del archivo.

Si no tienes un archivo de clave JSON, puedes encontrar el ID único de la clave de una cuenta de servicio siguiendo estos pasos:

Consola

  1. En la Google Cloud consola, ve a la página Analizador de políticas.

    Ir a Analizador de políticas

  2. En Analizar la actividad reciente, busca el panel ¿Cuándo se usó por última vez esta clave de cuenta de servicio? y haz clic en Crear consulta.

  3. En el cuadro Seleccionar ámbito de la consulta, introduce el nombre del proyecto cuyas claves de cuenta de servicio quieras analizar.

  4. En la sección Añadir clave de cuenta de servicio, haz clic en el cuadro Clave de cuenta de servicio. Aparecerá una lista de todas las claves de cuentas de servicio de tu proyecto. La lista también incluye el proyecto y la cuenta de servicio a los que está asociada cada clave.

  5. Selecciona la tecla de la que quieras ver el uso reciente.

  6. Opcional: Para ver el uso reciente de más de una llave, haz clic en Añadir llave y selecciona otra llave. Puedes analizar hasta 10 teclas a la vez.

  7. En el panel Consultar actividades de acceso, haz clic en Ejecutar consulta.

En la página de resultados se muestra el uso más reciente de las claves de cuenta de servicio. Para saber cómo interpretar estos resultados, consulta la sección Interpretar actividades de esta página.

gcloud

Primero, identifica la clave de cuenta de servicio cuyo uso reciente quieras ver:

.

  1. Lista las claves de la cuenta de servicio.

    Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

    • SERVICE_ACCOUNT_EMAIL: La dirección de correo de la cuenta de servicio a la que está asociada la clave.

    Ejecuta el comando gcloud iam service-accounts keys list:

    Linux, macOS o Cloud Shell

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

    Windows (PowerShell)

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

    Windows (cmd.exe)

    gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL

    El resultado muestra una lista de todas las claves creadas por el usuario asociadas a la cuenta de servicio, incluido el ID único, la hora de creación y la hora de vencimiento de cada clave.

  2. Utiliza los datos de la salida para identificar la clave que quieras monitorizar y copiar su ID único.

Una vez que haya encontrado los IDs únicos de las claves de la cuenta de servicio, úselos para filtrar los resultados de Analizador de actividad:

Para obtener la actividad de autenticación más reciente de claves de cuentas de servicio específicas, usa el comando gcloud policy-intelligence query-activity con un filtro.

Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:

  • PROJECT_ID: tu ID de proyecto. Google Cloud Los IDs de proyecto son cadenas alfanuméricas, como my-project.

  • FILTER: filtro que especifica los nombres de recursos completos de las claves de cuenta de servicio cuyo uso quieres ver. El nombre de recurso completo de una clave de cuenta de servicio incluye el ID del proyecto, la dirección de correo de la cuenta de servicio asociada a la clave y el ID de la clave.

    Para filtrar por una sola clave de cuenta de servicio, usa un filtro con el siguiente formato: 

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"

    Para filtrar por varias claves de cuenta de servicio, usa OR para especificar varios nombres de recursos completos aceptables: 

    activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"

    Puedes filtrar hasta 10 claves de cuenta de servicio.

Ejecuta el siguiente comando:

Linux, macOS o Cloud Shell

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Windows (PowerShell)

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication `
    --project=PROJECT_ID `
    --query-filter='FILTER'

Windows (cmd.exe)

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ^
    --project=PROJECT_ID ^
    --query-filter='FILTER'

Deberías recibir una respuesta similar a la siguiente:

activity:
  lastAuthenticatedTime: '2021-06-11T07:00:00Z'
  serviceAccountKey:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
    projectNumber: '232342569935'
    serviceAccountId: '103185812403937829397'
activityType: serviceAccountKeyLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-10T07:00:00Z'

En esta respuesta se describe el uso más reciente de las claves de cuenta de servicio. Para saber cómo interpretar estos resultados, consulta la sección Interpretar actividades de esta página.

REST

Primero, identifica la clave de cuenta de servicio cuyo uso reciente quieras ver:

.

  1. Muestra las claves de la cuenta de servicio:

    Para enumerar todas las claves de cuenta de servicio de una cuenta de servicio, usa el método projects.serviceAccounts.keys.list de la API IAM.

    Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

    • PROJECT_ID: tu ID de proyecto. Google Cloud Los IDs de proyecto son cadenas alfanuméricas, como my-project.
    • SA_NAME: el nombre de la cuenta de servicio cuyas claves quieres enumerar.
    • KEY_TYPES: opcional. Lista de tipos de claves separadas por comas que quiere incluir en la respuesta. El tipo de clave indica si una clave la gestiona el usuario (USER_MANAGED) o el sistema (SYSTEM_MANAGED). Si se deja en blanco, se devuelven todas las claves.

    Método HTTP y URL: 

    GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES

    Para enviar tu solicitud, despliega una de estas opciones:

    La respuesta describe el uso más reciente de las claves de cuenta de servicio: 

    {
  "keys": [
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c",
      "validAfterTime": "2020-03-04T17:39:47Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED"
    },
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8",
      "validAfterTime": "2020-03-31T23:50:09Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED"
    },
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e",
      "validAfterTime": "2020-05-17T18:58:13Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED",
      "disabled": true
    }
  ]
}

  2. Usa los metadatos de la respuesta para identificar la clave que quieras monitorizar. A continuación, copia el ID único de la clave que aparece al final del campo name.

    El campo name tiene el siguiente formato:

    "name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"

    El ID único de la clave es todo lo que hay después de keys/.

    Por ejemplo, el ID único del siguiente nombre de clave es 0f561cc41650ff521899de2fd653bd3de08e2da4:

    "name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"

Una vez que haya encontrado los IDs únicos de las claves de la cuenta de servicio, úselos para filtrar los resultados de Analizador de actividad:

Para obtener la actividad de autenticación más reciente de claves de cuentas de servicio específicas, usa el método activities.query de la API Policy Analyzer.

Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

  • PROJECT_ID: tu ID de proyecto. Google Cloud Los IDs de proyecto son cadenas alfanuméricas, como my-project.

  • FILTER: filtro que especifica los nombres de recursos completos de las claves de cuenta de servicio cuyo uso quieres ver. El nombre de recurso completo de una clave de cuenta de servicio incluye el ID del proyecto, la dirección de correo de la cuenta de servicio asociada a la clave y el ID de la clave.

    Para filtrar por una sola clave de cuenta de servicio, usa un filtro con el siguiente formato: 

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22

    Para filtrar por varias claves de cuenta de servicio, usa %20OR%20 para especificar varios nombres de recursos completos aceptables: 

    activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22

    Puedes filtrar hasta 10 claves de cuenta de servicio.

Método HTTP y URL: 

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER

Para enviar tu solicitud, despliega una de estas opciones:

La respuesta describe el uso más reciente de las claves de cuenta de servicio: 

{
  "activities": [
    {
      "activity": {
        "lastAuthenticatedTime": "2021-06-11T07:00:00Z",
        "serviceAccountKey": {
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
          "projectNumber": "123456789012",
          "serviceAccountId": "123456789012345678901"
        }
      },
      "activityType": "serviceAccountKeyLastAuthentication",
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
      "observationPeriod": {
        "endTime": "2021-07-06T07:00:00Z",
        "startTime": "2020-04-20T07:00:00Z"
      }
    }
  ]
}

Para saber cómo interpretar estos resultados, consulta la sección Interpretar actividades de esta página.

Consultar actividades

Consola

En la página de resultados de la consulta se muestran los parámetros de la consulta y los resultados de la consulta.

En el caso de una consulta de cuenta de servicio, la tabla de resultados muestra cada cuenta de servicio de la consulta y cuándo se autenticó por última vez:

En el caso de una consulta de claves de cuenta de servicio, en la tabla de resultados se muestra cada clave de cuenta de servicio de la consulta, la cuenta de servicio a la que está asociada y cuándo se autenticó por última vez.

Es posible que los resultados no incluyan eventos de autenticación muy recientes. Consulta la descripción emergente para ver el intervalo de fechas exacto que se ha usado durante el análisis. Los resultados no incluyen eventos de autenticación que se hayan producido fuera de este intervalo.

La tabla de resultados de ambas consultas también muestra los roles de gestión de identidades y accesos que tiene la cuenta de servicio en el proyecto, junto con cualquier información valiosa de seguridad. Estas estadísticas destacan patrones sobre cómo acceden tus cuentas de servicio a los recursos. Por ejemplo, algunas estadísticas destacan los permisos excedentes, es decir, los permisos que no necesita una entidad. Otros detalles muestran cuentas de servicio con permisos de movimiento lateral o permisos que permiten que la cuenta de servicio suplante la identidad de una cuenta de servicio de otro proyecto.

Algunas estadísticas también incluyen recomendaciones de roles que sugieren cambios que puedes hacer para reducir los permisos excesivos. Para saber cómo gestionar las recomendaciones y las estadísticas, consulta el artículo Revisar y aplicar recomendaciones.

gcloud

El analizador de actividad muestra los resultados como una lista de actividades. Las actividades tienen los siguientes campos:

  • fullResourceName: nombre completo del recurso de la cuenta de servicio o de la clave de cuenta de servicio cuya actividad se está registrando. Este formato se describe en las secciones siguientes y en Nombres de recursos completos.
  • activityType: el tipo de actividad que se está denunciando. En el caso de la actividad de autenticación de cuentas de servicio reciente, el valor es serviceAccountLastAuthentication. En el caso de la actividad de autenticación reciente de la clave de cuenta de servicio, el valor es serviceAccountKeyLastAuthentication.
  • observationPeriod: horas de inicio y finalización que indican el periodo durante el que se ha observado la actividad de la cuenta de servicio o la clave. La hora de estas marcas de tiempo es siempre T07:00:00Z.
  • activity: los detalles de la actividad. El contenido de este campo varía en función del tipo de actividad. Consulta las siguientes secciones para obtener más información.

Detalles de las actividades de la cuenta de servicio

El campo activity de las actividades serviceAccountLastAuthentication contiene los siguientes campos:

  • serviceAccount: detalles sobre la cuenta de servicio cuya actividad se está registrando, incluidos los siguientes:

    • fullResourceName: nombre completo del recurso de la cuenta de servicio, con el formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
    • projectNumber: ID numérico del proyecto propietario de la cuenta de servicio.
    • serviceAccountId: ID numérico de la cuenta de servicio.

  • lastAuthenticatedTime: marca de tiempo que representa la fecha en la que se produjo el evento de autenticación más reciente. La hora de esta marca de tiempo siempre es T07:00:00Z, independientemente de la hora exacta del evento de autenticación.

    Es posible que los resultados no incluyan eventos de autenticación muy recientes. Consulta el observationPeriod para ver el periodo exacto que se ha usado durante el análisis. Los resultados no incluyen los eventos de autenticación que se hayan producido fuera de este intervalo.

    Este campo no se incluye en las cuentas de servicio que nunca se han usado.

Detalles de las actividades de las claves de cuentas de servicio

El campo activity de las actividades serviceAccountKeyLastAuthentication contiene los siguientes campos:

  • serviceAccountKey: detalles sobre la clave de la cuenta de servicio cuya actividad se está registrando, incluidos los siguientes:

    • fullResourceName: nombre completo del recurso de la clave de la cuenta de servicio, con el formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
    • projectNumber: ID numérico del proyecto propietario de la cuenta de servicio a la que está asociada la clave.
    • serviceAccountId: el ID numérico de la cuenta de servicio a la que está asociada la clave.

  • lastAuthenticatedTime: marca de tiempo que representa la fecha en la que se produjo el evento de autenticación más reciente. La hora de esta marca de tiempo siempre es T07:00:00Z, independientemente de la hora exacta del evento de autenticación.

    Es posible que los resultados no incluyan eventos de autenticación muy recientes. Consulta el observationPeriod para ver el periodo exacto que se ha usado durante el análisis. Los resultados no incluyen los eventos de autenticación que se hayan producido fuera de este intervalo.

    Este campo no se incluye en las claves de cuentas de servicio que nunca se han usado.

REST

El analizador de actividad muestra los resultados como una lista de actividades. Las actividades tienen los siguientes campos:

  • fullResourceName: nombre completo del recurso de la cuenta de servicio o de la clave de cuenta de servicio cuya actividad se está registrando. Este formato se describe en las secciones siguientes y en Nombres de recursos completos.
  • activityType: el tipo de actividad que se está denunciando. En el caso de la actividad de autenticación de cuentas de servicio reciente, el valor es serviceAccountLastAuthentication. En el caso de la actividad de autenticación reciente de la clave de cuenta de servicio, el valor es serviceAccountKeyLastAuthentication.
  • observationPeriod: horas de inicio y finalización que indican el periodo durante el que se ha observado la actividad de la cuenta de servicio o la clave. La hora de estas marcas de tiempo es siempre T07:00:00Z.
  • activity: los detalles de la actividad. El contenido de este campo varía en función del tipo de actividad. Consulta las siguientes secciones para obtener más información.

Detalles de las actividades de la cuenta de servicio

El campo activity de las actividades serviceAccountLastAuthentication contiene los siguientes campos:

  • serviceAccount: detalles sobre la cuenta de servicio cuya actividad se está registrando, incluidos los siguientes:

    • fullResourceName: nombre completo del recurso de la cuenta de servicio, con el formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
    • projectNumber: ID numérico del proyecto propietario de la cuenta de servicio.
    • serviceAccountId: ID numérico de la cuenta de servicio.

  • lastAuthenticatedTime: marca de tiempo que representa la fecha en la que se produjo el evento de autenticación más reciente. La hora de esta marca de tiempo siempre es T07:00:00Z, independientemente de la hora exacta del evento de autenticación.

    Es posible que los resultados no incluyan eventos de autenticación muy recientes. Consulta el observationPeriod para ver el periodo exacto que se ha usado durante el análisis. Los resultados no incluyen los eventos de autenticación que se hayan producido fuera de este intervalo.

    Este campo no se incluye en las cuentas de servicio que nunca se han usado.

Detalles de las actividades de las claves de cuentas de servicio

El campo activity de las actividades serviceAccountKeyLastAuthentication contiene los siguientes campos:

  • serviceAccountKey: detalles sobre la clave de la cuenta de servicio cuya actividad se está registrando, incluidos los siguientes:

    • fullResourceName: nombre completo del recurso de la clave de la cuenta de servicio, con el formato //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
    • projectNumber: ID numérico del proyecto propietario de la cuenta de servicio a la que está asociada la clave.
    • serviceAccountId: el ID numérico de la cuenta de servicio a la que está asociada la clave.

  • lastAuthenticatedTime: marca de tiempo que representa la fecha en la que se produjo el evento de autenticación más reciente. La hora de esta marca de tiempo siempre es T07:00:00Z, independientemente de la hora exacta del evento de autenticación.

    Es posible que los resultados no incluyan eventos de autenticación muy recientes. Consulta el observationPeriod para ver el periodo exacto que se ha usado durante el análisis. Los resultados no incluyen los eventos de autenticación que se hayan producido fuera de este intervalo.

    Este campo no se incluye en las claves de cuentas de servicio que nunca se han usado.

Siguientes pasos