Melihat penggunaan terbaru untuk kunci dan akun layanan

Halaman ini menunjukkan cara menggunakan Activity Analyzer untuk melihat kapan akun dan kunci layanan Anda terakhir kali digunakan untuk memanggil Google API. Penggunaan ini disebut aktivitas autentikasi.

Aktivitas autentikasi terbaru dapat membantu Anda mengidentifikasi akun layanan dan kunci akun layanan yang tidak lagi digunakan. Sebaiknya nonaktifkan atau hapus kunci dan akun layanan yang tidak digunakan ini karena akan menimbulkan risiko keamanan yang tidak perlu.

Sebelum memulai

Pahami aktivitas autentikasi.
Enable the Policy Analyzer API.
Enable the API

Peran yang diperlukan

Untuk mendapatkan izin yang Anda perlukan guna mencantumkan aktivitas autentikasi terbaru untuk akun layanan dan kunci akun layanan Anda, minta administrator untuk memberi Anda peran IAM Activity Analysis Viewer (roles/policyanalyzer.activityAnalysisViewer) pada project tersebut. Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses.

Peran yang telah ditetapkan ini berisi izin yang diperlukan untuk mencantumkan aktivitas autentikasi terbaru untuk akun layanan dan kunci akun layanan Anda. Untuk melihat izin yang benar-benar diperlukan, perluas bagian Izin yang diperlukan:

Izin yang diperlukan

Izin berikut diperlukan untuk mencantumkan aktivitas autentikasi terbaru untuk akun layanan dan kunci akun layanan Anda:

policyanalyzer.serviceAccountKeyLastAuthenticationActivities.query
policyanalyzer.serviceAccountLastAuthenticationActivities.query

Anda mung juga bisa mendapatkan izin ini dengan peran khusus atau peran bawaanlainnya.

Melihat penggunaan terbaru untuk semua kunci atau akun layanan

Untuk mencantumkan tanggal aktivitas autentikasi terbaru untuk semua akun layanan atau kunci akun layanan Anda, gunakan Google Cloud CLI atau REST API.

gcloud

Untuk mencantumkan aktivitas autentikasi terbaru untuk akun atau kunci layanan Anda, gunakan perintah gcloud policy-intelligence query-activity:

gcloud policy-intelligence query-activity --activity-type=ACTIVITY_TYPE \
    --project=PROJECT_ID --limit=LIMIT

Ganti nilai berikut:

ACTIVITY_TYPE: Jenis aktivitas yang ingin Anda cantumkan. Untuk menampilkan daftar waktu penggunaan terakhir akun layanan Anda, gunakan serviceAccountLastAuthentication. Untuk mencantumkan waktu penggunaan terakhir untuk kunci akun layanan Anda, gunakan serviceAccountKeyLastAuthentication.
PROJECT_ID: ID project Google Cloud Anda. Project ID adalah string alfanumerik, seperti my-project.
LIMIT: Opsional. Jumlah hasil maksimum yang akan ditampilkan. Nilai defaultnya adalah 1000.

Responsnya mirip dengan berikut ini, yang mencantumkan waktu penggunaan terbaru untuk akun layanan project:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'
---
activity:
  lastAuthenticatedTime: '2021-02-09T08:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '234567890123456789012'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-01T07:00:00Z'

Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.

REST

Untuk mencantumkan aktivitas autentikasi terbaru untuk akun layanan atau kunci Anda, gunakan metode activities.query Policy Analyzer API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

PROJECT_ID: Project ID Google Cloud Anda Project ID adalah string alfanumerik, seperti my-project.
ACTIVITY_TYPE: Jenis aktivitas yang ingin Anda cantumkan. Untuk menampilkan daftar penggunaan terbaru untuk semua akun layanan Anda, gunakan serviceAccountLastAuthentication. Untuk menampilkan daftar penggunaan terbaru untuk semua kunci akun layanan Anda, gunakan serviceAccountKeyLastAuthentication.
PAGE_SIZE: Opsional. Jumlah hasil maksimum yang akan ditampilkan dari permintaan ini. Jika tidak ditentukan, server akan menentukan jumlah hasil yang akan ditampilkan. Jika jumlah aktivitas lebih besar dari ukuran halaman, respons akan berisi token penomoran halaman yang dapat Anda gunakan untuk mengambil halaman hasil berikutnya.
PAGE_TOKEN: Opsional. Token penomoran halaman yang ditampilkan dalam respons sebelumnya dari metode ini. Jika ditentukan, daftar aktivitas akan dimulai dari saat permintaan sebelumnya berakhir.

Metode HTTP dan URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke CLI gcloud dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login, atau menggunakan Cloud Shell, yang secara otomatis membuat Anda login ke CLI gcloud. Anda dapat memeriksa akun yang aktif saat ini dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN"

PowerShell (Windows)

Catatan: Perintah berikut mengasumsikan bahwa Anda telah login ke CLI gcloud dengan akun pengguna Anda dengan menjalankan gcloud init atau gcloud auth login. Anda dapat memeriksa akun yang aktif saat ini dengan menjalankan gcloud auth list.

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/ACTIVITY_TYPE/activities:query?pageSize=PAGE_SIZE&pageToken=PAGE_TOKEN" | Select-Object -Expand Content

Responsnya mirip dengan berikut ini, yang mencantumkan waktu penggunaan terbaru untuk akun layanan project:

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    },
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-29T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-2@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "234567890123456789012"
        }
      }
    }
  ],
  "nextPageToken": "AVgRrQV4b5nISN6cGJvTPFJ2v_"
}

Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.

Melihat penggunaan terbaru untuk akun layanan tertentu

Untuk mengetahui tanggal terakhir penggunaan akun layanan tertentu, gunakan Google Cloud Console, gcloud CLI, atau REST API.

Konsol

Di konsol Google Cloud, buka halaman Policy Analyzer.

Buka Penganalisis Kebijakan
Di bagian Analyze recent activity, temukan panel berlabel Kapan terakhir kali akun layanan ini digunakan? dan klik Create query di panel tersebut.
Di kotak Select query scope, masukkan nama project yang akun layanannya ingin Anda analisis.
Di bagian Add service accounts, klik kotak Service account. Daftar semua akun layanan di project Anda akan muncul. Daftar ini juga mencakup project yang dikaitkan dengan setiap akun layanan dan alamat email untuk setiap akun layanan.
Pilih akun layanan yang ingin Anda lihat penggunaan terbarunya.
Opsional: Untuk melihat penggunaan terbaru lebih dari satu akun layanan, klik Add account, lalu pilih akun layanan lain. Anda dapat menganalisis hingga 10 akun layanan sekaligus.
Di panel Query for access activities, klik Run query.

Halaman hasil menampilkan penggunaan terbaru untuk akun layanan. Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.

gcloud

Untuk mendapatkan aktivitas autentikasi terbaru untuk akun layanan tertentu, gunakan perintah gcloud policy-intelligence query-activity dengan filter:

gcloud policy-intelligence query-activity --activity-type=serviceAccountLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Ganti nilai berikut:

PROJECT_ID: ID project Google Cloud Anda. Project ID adalah string alfanumerik, seperti my-project.
FILTER: Filter yang menentukan nama resource lengkap akun layanan yang penggunaannya ingin Anda lihat. Nama resource lengkap akun layanan mencakup project ID dan alamat email akun layanan.

Untuk memfilter satu akun layanan, gunakan filter dengan format berikut:
```
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL"
```
Untuk memfilter beberapa akun layanan, gunakan OR untuk menentukan beberapa nama resource lengkap yang dapat diterima:
```
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL"
```
Anda dapat memfilter hingga 10 akun layanan.

Respons ini menjelaskan penggunaan terbaru untuk akun layanan:

---
activity:
  lastAuthenticatedTime: '2021-04-27T07:00:00Z'
  serviceAccount:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
    projectNumber: '123456789012'
    serviceAccountId: '123456789012345678901'
activityType: serviceAccountLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-03-12T07:00:00Z'

Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.

REST

Untuk mendapatkan aktivitas autentikasi terbaru untuk akun layanan tertentu, gunakan metode activities.query Policy Analyzer API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

PROJECT_ID: Project ID Google Cloud Anda Project ID adalah string alfanumerik, seperti my-project.

FILTER: Filter yang menentukan nama resource lengkap akun layanan yang penggunaannya ingin Anda lihat.

Untuk memfilter satu akun layanan, gunakan filter dengan format berikut:

activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%22

Untuk memfilter beberapa akun layanan, gunakan %20OR%20 untuk menentukan beberapa nama resource lengkap yang dapat diterima:

activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%22

Metode HTTP dan URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER"

PowerShell (Windows)

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountLastAuthentication/activities:query?filter=FILTER" | Select-Object -Expand Content

Respons ini menjelaskan penggunaan terbaru untuk akun layanan:

{
  "activities": [
    {
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
      "activityType": "serviceAccountLastAuthentication",
      "observationPeriod": {
        "startTime": "2020-04-20T07:00:00Z",
        "endTime": "2021-05-17T07:00:00Z"
      },
      "activity": {
        "lastAuthenticatedTime": "2021-04-28T07:00:00Z",
        "serviceAccount": {
          "projectNumber": "123456789012",
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com",
          "serviceAccountId": "123456789012345678901"
        }
      }
    }
  ]
}

Melihat penggunaan terbaru untuk kunci akun layanan tertentu

Untuk mengetahui tanggal terakhir penggunaan kunci akun layanan tertentu, identifikasi kunci akun layanan yang ingin Anda lihat penggunaannya baru-baru ini, lalu buat kueri menggunakan ID tersebut.

Jika memiliki file kunci JSON, Anda dapat menemukan ID unik kunci akun layanan di kolom private_key_id file.

Jika tidak memiliki file kunci JSON, Anda dapat menemukan ID unik kunci akun layanan dengan mengikuti langkah-langkah berikut:

Konsol

Di konsol Google Cloud, buka halaman Policy Analyzer.

Buka Penganalisis Kebijakan
Di bagian Analyze recent activity, temukan panel berlabel When was the last time this service account key was used? dan klik Create query di panel tersebut.
Di kotak Pilih cakupan kueri, masukkan nama project yang kunci akun layanannya ingin Anda analisis.
Di bagian Add service account key, klik kotak Service account key. Daftar semua kunci akun layanan di project Anda akan muncul. Daftar ini juga mencakup project dan akun layanan yang terkait dengan setiap kunci.
Pilih kunci yang ingin Anda lihat penggunaan terbarunya.
Opsional: Untuk melihat penggunaan terbaru bagi lebih dari satu kunci, klik Add key, lalu pilih kunci lain. Anda dapat menganalisis hingga 10 kunci sekaligus.
Di panel Query for access activities, klik Run query.

Halaman hasil menampilkan penggunaan terbaru untuk kunci akun layanan. Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.

gcloud

Pertama, identifikasi kunci akun layanan yang ingin Anda lihat penggunaan terbarunya:

Buat daftar kunci akun layanan.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:
- SERVICE_ACCOUNT_EMAIL: Alamat email akun layanan yang terkait dengan kunci.
Jalankan perintah gcloud iam service-accounts keys list:
Linux, macOS, atau Cloud Shell

Catatan: Pastikan Anda telah menginisialisasi Google Cloud CLI dengan autentikasi dan sebuah project dengan menjalankan gcloud init; atau gcloud auth login dan gcloud config set project.
```
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
```
Windows (PowerShell)

Catatan: Pastikan Anda telah menginisialisasi Google Cloud CLI dengan autentikasi dan sebuah project dengan menjalankan gcloud init; atau gcloud auth login dan gcloud config set project.
```
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
```
Windows (cmd.exe)

Catatan: Pastikan Anda telah menginisialisasi Google Cloud CLI dengan autentikasi dan sebuah project dengan menjalankan gcloud init; atau gcloud auth login dan gcloud config set project.
```
gcloud iam service-accounts keys list --iam-account=SERVICE_ACCOUNT_EMAIL
```
Output-nya akan menampilkan daftar semua kunci yang dibuat pengguna yang terkait dengan akun layanan, termasuk ID unik, waktu pembuatan, dan waktu habis masa berlaku setiap kunci.
Gunakan data dalam output untuk mengidentifikasi kunci yang ingin Anda lacak dan salin ID uniknya.

Setelah Anda menemukan ID unik untuk kunci akun layanan, gunakan ID tersebut untuk memfilter hasil dari Activity Analyzer:

Untuk mendapatkan aktivitas autentikasi terbaru untuk kunci akun layanan tertentu, gunakan perintah gcloud policy-intelligence query-activity dengan filter.

Sebelum menggunakan salah satu data perintah di bawah, lakukan penggantian berikut:

PROJECT_ID: ID project Google Cloud Anda. Project ID adalah string alfanumerik, seperti my-project.
FILTER: Filter yang menentukan nama resource lengkap dari kunci akun layanan yang penggunaannya ingin Anda lihat. Nama resource lengkap kunci akun layanan mencakup project ID, alamat email akun layanan yang terkait dengan kunci, dan ID kunci.

Untuk memfilter satu kunci akun layanan, gunakan filter dengan format berikut:
```
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
```
Untuk memfilter beberapa kunci akun layanan, gunakan OR untuk menentukan beberapa nama resource lengkap yang dapat diterima:
```
activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_1_EMAIL/keys/KEY_ID_1" OR activities.full_resource_name="//iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_2_EMAIL/keys/KEY_ID_2"
```
Anda dapat memfilter hingga 10 kunci akun layanan.

Jalankan perintah berikut:

Linux, macOS, atau Cloud Shell

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication \
    --project=PROJECT_ID \
    --query-filter='FILTER'

Windows (PowerShell)

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication `
    --project=PROJECT_ID `
    --query-filter='FILTER'

Windows (cmd.exe)

Catatan: Jika perintah ini menggunakan ' untuk mengutip konten, ganti tanda kutip tunggal ini dengan tanda kutip ganda. Jika kutipan bertingkat, gunakan \" untuk meng-escape tanda kutip dalam.

gcloud policy-intelligence query-activity --activity-type=serviceAccountKeyLastAuthentication ^
    --project=PROJECT_ID ^
    --query-filter='FILTER'

Anda akan melihat respons seperti berikut:

activity:
  lastAuthenticatedTime: '2021-06-11T07:00:00Z'
  serviceAccountKey:
    fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
    projectNumber: '232342569935'
    serviceAccountId: '103185812403937829397'
activityType: serviceAccountKeyLastAuthentication
fullResourceName: //iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c
observationPeriod:
  endTime: '2021-07-06T07:00:00Z'
  startTime: '2020-09-10T07:00:00Z'

Respons ini menjelaskan penggunaan terbaru untuk kunci akun layanan. Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.

REST

Pertama, identifikasi kunci akun layanan yang ingin Anda lihat penggunaan terbarunya:

Cantumkan kunci akun layanan:

Untuk menampilkan daftar semua kunci akun layanan untuk akun layanan, gunakan metode projects.serviceAccounts.keys.list IAM API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

PROJECT_ID: Project ID Google Cloud Anda Project ID adalah string alfanumerik, seperti my-project.
SA_NAME: Nama akun layanan yang kuncinya ingin Anda cantumkan.
KEY_TYPES: Opsional. Daftar yang dipisahkan koma untuk jenis kunci yang ingin Anda sertakan dalam respons. Jenis kunci menunjukkan apakah kunci dikelola oleh pengguna (USER_MANAGED) atau dikelola sistem (SYSTEM_MANAGED). Jika dibiarkan kosong, semua kunci akan ditampilkan.

Metode HTTP dan URL:

GET https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES"

PowerShell (Windows)

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://iam.googleapis.com/v1/projects/PROJECT_ID/serviceAccounts/SA_NAME@PROJECT_ID.iam.gserviceaccount.com/keys?keyTypes=KEY_TYPES" | Select-Object -Expand Content

APIs Explorer (browser)

Buka halaman referensi metode. Panel APIs Explorer akan terbuka di sisi kanan halaman. Anda bisa berinteraksi dengan alat ini untuk mengirim permintaan. Lengkapi kolom yang wajib diisi, lalu klik Jalankan.

Respons ini menjelaskan penggunaan terbaru untuk kunci akun layanan:

{
  "keys": [
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/90c48f61c65cd56224a12ab18e6ee9ca9c3aee7c",
      "validAfterTime": "2020-03-04T17:39:47Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED"
    },
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/e5e3800831ac1adc8a5849da7d827b4724b1fce8",
      "validAfterTime": "2020-03-31T23:50:09Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED"
    },
    {
      "name": "projects/my-project/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com/keys/b97699f042b8eee6a846f4f96259fbcd13e2682e",
      "validAfterTime": "2020-05-17T18:58:13Z",
      "validBeforeTime": "9999-12-31T23:59:59Z",
      "keyAlgorithm": "KEY_ALG_RSA_2048",
      "keyOrigin": "GOOGLE_PROVIDED",
      "keyType": "USER_MANAGED",
      "disabled": true
    }
  ]
}

Gunakan metadata dalam respons untuk mengidentifikasi kunci yang ingin Anda lacak. Kemudian, salin ID unik kunci dari akhir kolom name.

Kolom name memiliki format berikut:
```
"name": "projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID"
```
ID unik kunci adalah semuanya setelah keys/.

Misalnya, ID unik dalam nama kunci berikut adalah 0f561cc41650ff521899de2fd653bd3de08e2da4:
```
"name": "projects/my-project/serviceAccounts/my-account@my-project.iam.gserviceaccount.com/keys/0f561cc41650ff521899de2fd653bd3de08e2da4"
```

Setelah Anda menemukan ID unik untuk kunci akun layanan, gunakan ID tersebut untuk memfilter hasil dari Activity Analyzer:

Untuk mendapatkan aktivitas autentikasi terbaru untuk kunci akun layanan tertentu, gunakan metode activities.query Policy Analyzer API.

Sebelum menggunakan salah satu data permintaan, lakukan penggantian berikut:

PROJECT_ID: Project ID Google Cloud Anda Project ID adalah string alfanumerik, seperti my-project.
FILTER: Filter yang menentukan nama resource lengkap dari kunci akun layanan yang penggunaannya ingin Anda lihat. Nama resource lengkap kunci akun layanan mencakup project ID, alamat email akun layanan yang terkait dengan kunci, dan ID kunci.

Untuk memfilter satu kunci akun layanan, gunakan filter dengan format berikut:
```
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_EMAIL%2Fkeys%2FKEY_ID%22
```
Untuk memfilter beberapa kunci akun layanan, gunakan %20OR%20 untuk menentukan beberapa nama resource lengkap yang dapat diterima:
```
activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_1_EMAIL%2Fkeys%2FKEY_ID_1%22%20OR%20activities.full_resource_name%3D%22%2F%2Fiam.googleapis.com%2Fprojects%2FPROJECT_ID%2FserviceAccounts%2FSERVICE_ACCOUNT_2_EMAIL%2Fkeys%2FKEY_ID_2%22
```
Anda dapat memfilter hingga 10 kunci akun layanan.

Metode HTTP dan URL:

GET https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER

Untuk mengirim permintaan, perluas salah satu opsi berikut:

curl (Linux, macOS, atau Cloud Shell)

Jalankan perintah berikut:

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER"

PowerShell (Windows)

Jalankan perintah berikut:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://policyanalyzer.googleapis.com/v1/projects/PROJECT_ID/locations/global/activityTypes/serviceAccountKeyLastAuthentication/activities:query?filter=FILTER" | Select-Object -Expand Content

Respons ini menjelaskan penggunaan terbaru untuk kunci akun layanan:

{
  "activities": [
    {
      "activity": {
        "lastAuthenticatedTime": "2021-06-11T07:00:00Z",
        "serviceAccountKey": {
          "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
          "projectNumber": "123456789012",
          "serviceAccountId": "123456789012345678901"
        }
      },
      "activityType": "serviceAccountKeyLastAuthentication",
      "fullResourceName": "//iam.googleapis.com/projects/my-project/serviceAccounts/service-account-1t@my-project.iam.gserviceaccount.com/keys/1c65fca351d6925e629059743428b7af243a728c",
      "observationPeriod": {
        "endTime": "2021-07-06T07:00:00Z",
        "startTime": "2020-04-20T07:00:00Z"
      }
    }
  ]
}

Untuk mempelajari cara memahami hasil ini, lihat Memahami aktivitas di halaman ini.

Memahami aktivitas

Konsol

Halaman hasil kueri mencantumkan parameter kueri dan hasil kueri.

Untuk kueri akun layanan, tabel hasil mencantumkan setiap akun layanan dari kueri tersebut dan kapan terakhir kali diautentikasi:

Untuk kueri kunci akun layanan, tabel hasil mencantumkan setiap kunci akun layanan dari kueri, akun layanan yang terkait dengannya, dan kapan terakhir kali diautentikasi.

Hasilnya mungkin tidak menyertakan peristiwa autentikasi terbaru. Periksa tooltip untuk melihat rentang tanggal persis yang digunakan selama analisis. Hasilnya tidak menyertakan peristiwa autentikasi yang terjadi di luar rentang ini.

Tabel hasil untuk kedua kueri tersebut juga mencantumkan peran IAM yang dimiliki akun layanan pada project, beserta semua insight keamanan. Insight ini menyoroti pola terkait cara akun layanan Anda mengakses resource. Misalnya, beberapa insight menyoroti izin yang berlebihan, atau izin yang tidak diperlukan akun utama. Insight lain menandai akun layanan dengan izin gerakan lateral, atau izin yang memungkinkan akun layanan meniru akun layanan di project lain.

Beberapa insight juga dilengkapi dengan rekomendasi peran yang menyarankan perubahan yang dapat Anda lakukan untuk mengurangi izin berlebih. Untuk mempelajari cara mengelola rekomendasi dan insight, lihat Meninjau dan menerapkan rekomendasi.

gcloud

Activity Analyzer melaporkan hasil sebagai daftar aktivitas. Aktivitas memiliki kolom berikut:

fullResourceName: Nama resource lengkap akun layanan atau kunci akun layanan yang aktivitasnya dilaporkan. Format ini dijelaskan di bagian berikut, dan di Nama resource lengkap.
activityType: Jenis aktivitas yang dilaporkan. Untuk aktivitas autentikasi akun layanan terbaru, nilainya adalah serviceAccountLastAuthentication. Untuk aktivitas autentikasi kunci akun layanan terbaru, nilainya adalah serviceAccountKeyLastAuthentication.
observationPeriod: Waktu mulai dan berakhir yang menunjukkan rentang waktu saat akun layanan atau kunci diamati untuk aktivitas. Waktu dalam stempel waktu ini selalu T07:00:00Z.
activity: Detail aktivitas. Konten kolom ini bervariasi berdasarkan jenis aktivitas. Lihat bagian berikut untuk mengetahui detailnya.

Detail untuk aktivitas akun layanan

Kolom activity untuk aktivitas serviceAccountLastAuthentication berisi kolom berikut:

serviceAccount: Detail tentang akun layanan yang aktivitasnya dilaporkan, termasuk hal berikut:
- fullResourceName: Nama resource lengkap akun layanan, dalam format //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
- projectNumber: ID numerik project yang memiliki akun layanan.
- serviceAccountId: ID numerik akun layanan.
lastAuthenticatedTime: Stempel waktu yang mewakili tanggal saat peristiwa autentikasi terbaru terjadi. Waktu dalam stempel waktu ini selalu T07:00:00Z, terlepas dari waktu persisnya peristiwa autentikasi.

Hasilnya mungkin tidak menyertakan peristiwa autentikasi terbaru. Periksa observationPeriod untuk melihat rentang tanggal persis yang digunakan selama analisis. Hasilnya tidak mencakup peristiwa autentikasi yang terjadi di luar rentang ini.

Kolom ini tidak disertakan untuk akun layanan yang belum pernah digunakan.

Detail untuk aktivitas kunci akun layanan

Kolom activity untuk aktivitas serviceAccountKeyLastAuthentication berisi kolom berikut:

serviceAccountKey: Detail tentang kunci akun layanan yang aktivitasnya dilaporkan, termasuk hal berikut:
- fullResourceName: Nama resource lengkap kunci akun layanan, dalam format //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
- projectNumber: ID numerik project yang memiliki akun layanan yang terkait dengan kunci tersebut.
- serviceAccountId: ID numerik akun layanan yang terkait dengan kunci tersebut.
lastAuthenticatedTime: Stempel waktu yang mewakili tanggal saat peristiwa autentikasi terbaru terjadi. Waktu dalam stempel waktu ini selalu T07:00:00Z, terlepas dari waktu persisnya peristiwa autentikasi.

Hasilnya mungkin tidak menyertakan peristiwa autentikasi terbaru. Periksa observationPeriod untuk melihat rentang tanggal persis yang digunakan selama analisis. Hasilnya tidak mencakup peristiwa autentikasi yang terjadi di luar rentang ini.

Kolom ini tidak disertakan untuk kunci akun layanan yang belum pernah digunakan.

REST

Activity Analyzer melaporkan hasil sebagai daftar aktivitas. Aktivitas memiliki kolom berikut:

fullResourceName: Nama resource lengkap akun layanan atau kunci akun layanan yang aktivitasnya dilaporkan. Format ini dijelaskan di bagian berikut, dan di Nama resource lengkap.
activityType: Jenis aktivitas yang dilaporkan. Untuk aktivitas autentikasi akun layanan terbaru, nilainya adalah serviceAccountLastAuthentication. Untuk aktivitas autentikasi kunci akun layanan terbaru, nilainya adalah serviceAccountKeyLastAuthentication.
observationPeriod: Waktu mulai dan berakhir yang menunjukkan rentang waktu saat akun layanan atau kunci diamati untuk aktivitas. Waktu dalam stempel waktu ini selalu T07:00:00Z.
activity: Detail aktivitas. Konten kolom ini bervariasi berdasarkan jenis aktivitas. Lihat bagian berikut untuk mengetahui detailnya.

Detail untuk aktivitas akun layanan

Kolom activity untuk aktivitas serviceAccountLastAuthentication berisi kolom berikut:

serviceAccount: Detail tentang akun layanan yang aktivitasnya dilaporkan, termasuk hal berikut:
- fullResourceName: Nama resource lengkap akun layanan, dalam format //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL.
- projectNumber: ID numerik project yang memiliki akun layanan.
- serviceAccountId: ID numerik akun layanan.
lastAuthenticatedTime: Stempel waktu yang mewakili tanggal saat peristiwa autentikasi terbaru terjadi. Waktu dalam stempel waktu ini selalu T07:00:00Z, terlepas dari waktu persisnya peristiwa autentikasi.

Hasilnya mungkin tidak menyertakan peristiwa autentikasi terbaru. Periksa observationPeriod untuk melihat rentang tanggal persis yang digunakan selama analisis. Hasilnya tidak mencakup peristiwa autentikasi yang terjadi di luar rentang ini.

Kolom ini tidak disertakan untuk akun layanan yang belum pernah digunakan.

Detail untuk aktivitas kunci akun layanan

Kolom activity untuk aktivitas serviceAccountKeyLastAuthentication berisi kolom berikut:

serviceAccountKey: Detail tentang kunci akun layanan yang aktivitasnya dilaporkan, termasuk hal berikut:
- fullResourceName: Nama resource lengkap kunci akun layanan, dalam format //iam.googleapis.com/projects/PROJECT_ID/serviceAccounts/SERVICE_ACCOUNT_EMAIL/keys/KEY_ID.
- projectNumber: ID numerik project yang memiliki akun layanan yang terkait dengan kunci tersebut.
- serviceAccountId: ID numerik akun layanan yang terkait dengan kunci tersebut.
lastAuthenticatedTime: Stempel waktu yang mewakili tanggal saat peristiwa autentikasi terbaru terjadi. Waktu dalam stempel waktu ini selalu T07:00:00Z, terlepas dari waktu persisnya peristiwa autentikasi.

Hasilnya mungkin tidak menyertakan peristiwa autentikasi terbaru. Periksa observationPeriod untuk melihat rentang tanggal persis yang digunakan selama analisis. Hasilnya tidak mencakup peristiwa autentikasi yang terjadi di luar rentang ini.

Kolom ini tidak disertakan untuk kunci akun layanan yang belum pernah digunakan.

Langkah selanjutnya

Tinjau alat lain yang tersedia untuk memahami penggunaan akun layanan.
Pelajari cara menonaktifkan akun layanan atau menghapus akun layanan.
Pelajari cara menghapus kunci akun layanan.